The Legal 500 2019: Schürmann Rosenthal Dreyer Rechtsanwälte erneut empfohlen!

Nachdem SRD Rechtsanwälte bereits in den Jahren 2017 und 2018 von „The Legal 500“ als Kanzlei im Bereich Datenschutz empfohlen wurde, folgt für 2019 eine erneute Nennung: Im Praxisbereich Informationstechnologie mit Schwerpunkt Datenschutz zählt The Legal 500 Schürmann Rosenthal Dreyer Rechtsanwälte zu den besten Kanzleien Deutschlands.

Schürmann Rosenthal Dreyer gilt als „sehr zuverlässiger Partner“, der „sowohl Experten für den Datenschutz als auch für die IT-Sicherheit“ zur Verfügung stellt und insbesondere im Bereich der digitalen Transformation „Lösungsvorschläge statt Problembeschreibungen“ liefert, so „The Legal 500“.
Partnerin und Rechtsanwältin Kathrin Schürmann wurde besonders hervorgehoben, da sie eine „absolute Datenschutzexpertin“ ist, „die stets unter Zeitdruck praktikable Branchenlösungen finden kann“.
Auch für Simone Rosenthal, ihrerseits ebenfalls Partnerin und Rechtsanwältin bei SRD Rechtsanwälte, findet „The Legal 500“ lobende Worte: Sie ist eine „sehr versierte Anwältin mit ausgeprägtem Verhandlungsgeschick“.
Darüber hinaus wurde auch Rechtsanwalt Philipp Müller-Peltzer positiv erwähnt, der während der Recherchen zum Associated Partner ernannt wurde: Er besitzt „große IT- und Datenschutzrechtsexpertise“ und er sei „insbesondere für Digitalisierungsprojekte der ideale Ansprechpartner“.

„The Legal 500“ ist ein weltweit anerkanntes juristisches Fachbuch, welches einen Überblick über rund 400 Wirtschaftskanzleien und 2700 Anwälte bietet. Durch qualitative Recherchen, Interviews mit hunderten Anwälten und 14.000 Mandantenbefragungen ist es „The Legal 500“ möglich, eine qualitative und fundierte Bewertung der Fähigkeiten und Leistungen von Kanzleien in vielen Praxisbereichen zu erstellen. In der Folge kürt ein unabhängiges Team zum Jahresende die besten Kanzleien und Anwälte. Das Handbuch wird bereits seit 1988 jährlich aufgelegt.

srd auf messe

SRD auf der Legal Revolution: Besuchen Sie uns!

Schürmann Rosenthal Dreyer präsentiert sich heute und morgen (vom 4. – 5. 12. 2018) gemeinsam mit dem LegalTech lawpilots GmbH auf der LEGAL®EVOLUTION.
Für Sie vor Ort: Rechtsanwältin und Partnerin Simone Rosenthal sowie Jurist und Consultant Philipp Kaufhold.

Wir würden uns freuen, Sie auf unserem Stand begrüßen zu können!
Wo? Stand 38/39 – Exhibition Zone, Darmstadtium

Über die Veranstaltung:
Die Legal Revolution ist die größte Kongressmesse für Legal Innovation in Europa und bezeichnet sich selbst als Transformationskongress. Kanzleien und Rechtsabteilungen erfahren, worauf es bei der digitalen Transformation ankommt und wie sie diese erfolgreich meistern. Besucher erfahren alles über die neuesten IT-Lösungen und Dienstleistungen für Rechtsabteilungen, Kanzleien und Compliance-Abteilungen.

dsgvo mythen

Die größten DSGVO-Mythen zur Auftragsdatenverarbeitung: Was stimmt?

Obwohl die DSGVO nun schon seit einiger Zeit gilt, ranken sich weiterhin hartnäckige Mythen um deren Anforderungen. Im Rahmen unserer Reihe „Mythen zur DSGVO“ beschäftigen wir uns heute mit dem Thema Auftragsverarbeitung. Wir wollen herausfinden, welche Annahmen es zu diesem Thema gibt und ob es sich dabei um die Wahrheit oder um Falschinformationen handelt.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Auftraggeber und Auftragsverarbeiter sind gemeinsam Verantwortliche!

Bereits der erste Mythos ist falsch. Zur Abgrenzung: Verantwortlicher ist gem. Art. 4 Nr. 7 DSGVO derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter hingegen ist diejenige Person oder Stelle, die (so Art. 4 Nr. 8 DSGVO) personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Das heißt, der Auftragsverarbeiter handelt ausschließlich auf Weisung des Auftraggebers und trifft vor allem bezüglich des Zwecks der Verarbeitung keine eigenen Entscheidungen. Auftraggeber und Auftragsverarbeiter schließen über ihre Zusammenarbeit einen Vertrag oder sonstiges Rechtsinstrument gemäß Art. 28 III DSGVO.

Ein arbeitsteiliges Zusammenwirken hingegen, bei dem der Zweck und die Mittel der Verarbeitung gemeinsam festgelegt werden, begründet eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO. Die gemeinsam Verantwortlichen sind stets auch Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO, d.h. sie sind verpflichtet, die einen Verantwortlichen treffenden Pflichten zu erfüllen. Hierüber muss gemäß Art. 26 DSGVO eine Vereinbarung zur Verteilung der Pflichten (Joint Controllership Agreement) getroffen werden.


Lesen Sie mehr zum Thema

Datenschutz und DSGVO


Jede Datenübermittlung ist eine Auftragsverarbeitung!

Immer dann, wenn von der Übertragung einer Aufgabe auf eine andere, rechtliche Einheit (innerhalb oder außerhalb der Unternehmensgruppe) auch personenbezogene Daten betroffen sind, stellt sich die Frage, ob eine Auftragsverarbeitung vorliegt und somit die entsprechenden Anforderungen der DSGVO einzuhalten sind. Ist das wesentliche Element der Dienstleistung auf die Verarbeitung personenbezogener Daten für Zwecke des Auftraggebers gerichtet und besteht kein eigenes Interesse des Dienstleisters an den Daten, so liegt in der Regel eine Auftragsverarbeitung vor. Spielt die Datenverarbeitung hingegen nur eine untergeordnete Rolle bei der Aufgabenübertragung, kann die Situation unter Umständen anders zu bewerten sein.  Im Übrigen kann es sich bei einer Datenübertragung oder -offenlegung gegenüber einer dritten Stelle auch um eine Datenübermittlung bzw. -offenlegung an diese Stelle als selbständig Verantwortliche handeln. Wann eine solche dritte Stelle als eigenständig Verantwortliche einzustufen ist und wann dagegen die dritte Stelle die Daten im Rahmen einer Auftragsverarbeitung verarbeitet, ist in jedem konkreten Einzelfall gemäß den diesbezüglich geltenden Abgrenzungskriterien festzustellen – sicherheitshalber unter Einbeziehung des für das jeweilige Unternehmen bestellten Datenschutzbeauftragten.


Auftragsverarbeiter dürfen keine Subunternehmen beauftragen!

Diese Annahme ist falsch. Subunternehmer dürfen für die Auftragsverarbeitung eingesetzt werden, allerdings nur unter gewissen Anforderungen. Will sich der Auftragsverarbeiter zur Erbringung der vereinbarten Dienstleistung Subunternehmer als weiterer Auftragsverarbeiter bedienen, so bedarf dies der vorherigen (schriftlichen oder elektronischen) Genehmigung durch den Verantwortlichen (Art. 28 Abs. 2 DSGVO). Später beabsichtigte Änderungen bei den eingesetzten Subunternehmen muss der Auftragsverarbeiter dem Auftraggeber als Verantwortlichen vorher mitteilen, wobei der Verantwortliche selbst entscheiden kann, ob er der Änderung zustimmt oder Einspruch erhebt. Der Vertrag zwischen dem Auftragsverarbeiter und dem Subunternehmer muss die gleichen vertraglichen Verpflichtungen enthalten, die der Auftragnehmer zugunsten des Auftraggebers übernommen hat.


Für den Vertrag über die Auftragsverarbeitung ist die Schriftform erforderlich!

Nach Art. 28 Abs. 9 DSGVO besteht die Verpflichtung, den Vertrag „schriftlich“ abzufassen. Dies führt durch die für den Laien verwirrenden Formvorschriften des BGB häufig zu der falschen Annahme, dass hiermit die Schriftform gemein ist. Das strenge Schriftformerfordernisse der §§ 126 f. BGB besagen, dass der Vertrag eigenständig zu unterschreiben oder durch eine elektronisch qualifizierte Signatur abzuschließen ist. Die Bezeichnung „schriftlich“ im Sinne der DSGVO bedeutet hingegen, dass der Vertrag auch im elektronischen Format (sog. Textform), d.h. ohne Unterschrift und Signatur, abgeschlossen werden kann. Dies wird auch durch den zweiten Halbsatz in Art. 28 Abs. 9 DSGVO explizit klargestellt.


An die Auswahl des Auftragsverarbeiters werden keine hohen Anforderungen gestellt!

Diese Annahme ist nicht nur falsch, sie kann auch schwerwiegende finanzielle Folgen haben, sowohl für den Verantwortlichen, als auch für den Auftragsverarbeiter. Gemäß Art. 28 DSGVO ist der Auftraggeber verpflichtet, den Auftragnehmer sorgfältig auszuwählen und er hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zum Schutz der betroffenen personenbezogenen Daten zu überzeugen. Der Auftragsverarbeiter hingegen muss dem Verantwortlichen hinreichende Garantien für eine datenschutzkonforme Auftragsverarbeitung anbieten. Zertifizierungen spielen dabei eine immer größere Rolle und sind für lukrative Aufträge nicht mehr wegzudenken. So z.B. über die Einhaltung von in der Informationssicherheit eingesetzten Maßnahmenkatalogen wie ISO/IEC DIS 29151 oder ISO/IEC 27001. Der Auftragsverarbeiter kann seine Datenverarbeitungsvorgänge von einer akkreditierten Zulassungsstelle und einer Aufsichtsbehörde zertifizieren lassen, um gegenüber seinem Auftraggeber den Nachweis für die Einhaltung seiner Pflichten nach DS-GVO zu erbringen. Eine Zertifizierung ist höchstens drei Jahre gültig und wird veröffentlicht. Neben dem Einsatz von Maßnahmenkatelogen sollten beim Technikeinsatz generell parallel auch die Grundsätze zu Datenschutz durch Technikgestaltung („Privacy-by-design“) und datenschutzfreundlicher Voreinstellungen („Privacy-by-default“) gem. Art.25 DSGVO beachtet und umgesetzt werden, sofern möglich.


Auftragsverarbeiter haben nach der DSGVO mehr Pflichten!

Dieser Mythos ist ausnahmsweise einmal wahr. Der Auftragsverarbeiter unterliegt künftig mehr Pflichten und muss selbst die Grundsätze der DSGVO einhalten. War der Auftraggeber nach dem BDSG ausschließlich für die Datenverarbeitung verantwortlich, so ist nunmehr auch der Auftragsverarbeiter mit in die Verantwortung für die Verarbeitung der Daten genommen worden. Er hat die Pflicht, technische und organisatorische Maßnahmen zu ergreifen und (in der Regel) einen betrieblichen Datenschutzbeauftragten zu bestellen.

Verstößt ein Auftragsverarbeiter gegen die Pflicht zur weisungsgebundenen Verarbeitung, indem er die Daten des Auftraggebers verordnungswidrig für eigene Zwecke oder Zwecke Dritter verarbeitet, gilt er nach Art. 28 Abs. 10 DSGVO insoweit selbst als Verantwortlicher – mit allen rechtlichen Folgen, z.B. auch der Pflicht zur Erfüllung der Betroffenenrechte.

Des Weiteren besteht für Auftragsverarbeiter die neue Pflicht, künftig auch ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen. Das Verzeichnis muss der Aufsichtsbehörde auf Anfrage nach Art. 30 Abs. 4 DSGVO, z. B. bei Kontrollen, zur Verfügung gestellt werden. Nach Art. 33 Abs. 2 DSGVO muss ein Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten nach Bekanntwerden unverzüglich dem Verantwortlichen melden.


Auftragsverarbeiter haften nicht!

Falsch. Entsteht einer Person, deren personenbezogene Daten im Rahmen einer Auftragsverarbeitung verarbeitet werden, wegen Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden, so hat sie nach Art. 82 Abs. 1 DSGVO Anspruch auf Schadenersatz. Neu ist, dass sich der Schadenersatzanspruch als direkter Anspruch auch gegen den Auftragsverarbeiter richtet. Hinzu kommt die Anwendung der Grundsätze der gesamtschuldnerischen Haftung für Auftraggeber und Auftragnehmer. Dadurch soll dem Betroffenen die effektive Durchsetzung seiner Ansprüche gewährleistet werden. Allerdings ist eine vertragliche Haftungsbeschränkung des Auftragnehmers denkbar.

Beschränkt wird die Haftung des Auftragsverarbeiters im Gegensatz zum gemeinsam Verantwortlichen jedoch auf Verstöße gegen spezifisch ihn betreffende Pflichten aus der DSGVO oder bei Handeln gegen rechtmäßig erteilte Weisungen des Verantwortlichen bzw. bei Handeln unter Nichtbeachtung dieser (Art. 82 Abs. 2 S. 2 DSGVO).


Auftragsverarbeiter müssen aus der EU stammen!

Auch wenn es sich bei der DSGVO um eine europarechtliche Vorschrift handelt, bedeutet dies nicht, dass die Verlagerung der Datenverarbeitung und die damit einhergehende Übermittlung von personenbezogenen Daten in sog. Drittstaaten (wozu auch die rein passive Offenlegung bzw. Zugänglichmachung zählt) verboten ist. Bei einer Verarbeitung außerhalb der Europäischen Union muss allerdings sichergestellt sein, dass auch bei einer Verarbeitung in diesen Drittstaaten ein angemessenes Datenschutzniveau herrscht. Gemäß Art. 45 DSGVO kann dies durch Angemessenheitsbeschlüsse der EU-Kommission geschehen, wie z.B. bei der Schweiz oder Israel. Aber auch durch die Verwendung von durch die EU-Kommission festgelegten Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) kann beim datenempfangenden Unternehmen ein angemessenes Datenschutzniveau hergestellt werden.

geoblocking

Die Geoblocking-Verordnung kommt – was ist zu beachten?

Verbraucherschutz wird in der EU groß geschrieben. Insbesondere sollen Diskriminierungen aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung verhindert werden. Ebendies ist laut einer Befragung der EU-Kommission allerdings im E-Commerce-Bereich häufig der Fall, wenn sog. Geoblocking-Praktiken zum Einsatz kommen, die es Kunden erschweren „barrierefrei“ online einzukaufen. Als Beispiel sei genannt, dass ein Verbraucher im Ausland über das Internet Waren einkaufen möchte und ihm aufgrund seiner IP-Adresse der Zugang auf eine Website des Verkäufers im EU-Ausland verweigert wird. Dies veranlasste  den europäischen Gesetzgeber zur Verabschiedung der Geoblocking-Verordnung (Geoblocking-VO), die ab dem 3. Dezember 2018 gilt. Ziel der Geoblocking-VO ist es unter anderem, den  E-Commerce im grenzüberschreitenden Verkehr zu fördern, indem ungerechtfertigtes Geoblocking und andere Formen der Diskriminierung verhindert werden.

Was ist Geoblocking?

Geoblocking ist zum einen das Sperren oder Beschränken des Zugangs zu Online-Benutzeroberflächen (z.B. Webseiten oder Apps) aufgrund des Aufenthaltsortes der Nutzer. Dies geschieht in der Regel durch eine Sperrung aller Zugriffsanfragen von IP-Adressen mit einer bestimmten Länderkennung. Zum anderen werden auch Nutzungsbeeinträchtigungen darunter gefasst, d.h. unterschiedliche Preis-, Zahlungs- oder Lieferbedingungen aufgrund der Staatsangehörigkeit oder des Wohnsitzes des Kunden. Durch die Geoblocking-VO sollen Kunden in der Lage sein, Waren und Dienstleistungen aus anderen Mitgliedstaaten zu EU-weit gleichen Bedingungen im Internet einzusehen und zu beziehen.

Was beinhaltet die Geoblocking-VO?

Die Geoblocking-VO regelt drei Fallkonstellationen, in denen eine Diskriminierung ungerechtfertigt ist, weil der Anbieter einen Kunden auf Grundlage seiner Staatsangehörigkeit, seines Wohnsitzes bzw. seiner Niederlassung oder seines Standortes benachteiligt: (1) Zugangsbeschränkungen zu Online-Benutzeroberflächen, (2) Diskriminierung bei Allgemeinen Geschäftsbedingungen und (3) Diskriminierung bei Zahlungsmethoden.

(1) Zugangsbeschränkung zu Online-Benutzeroberflächen
Die Sperrung oder Beschränkung des Zugangs zu Webseiten, Apps oder Plattformen wird durch die Geoblocking-VO verboten. Insbesondere soll die ungefragte Weiterleitung auf eine nationale Webseite (sog. Autoforwarding) ohne Zustimmung des Kunden unzulässig sein, sofern die Weiterleitung aus herkunftsbezogenen Gründen erfolgt. Alle Ländershops bzw. Webseiten müssen daher künftig  für alle europäischen Kunden erreichbar sein. Eine Blockierung oder Weiterleitung, die aufgrund mitgliedstaatlichen Rechts erfolgt, ist dem Kunden gegenüber zu begründen.
(2) Diskriminierung bei Allgemeinen Geschäftsbedingungen
Neben den Zugangsbeschränkungen für Online-Benutzerflächen verbietet die Geoblocking-VO zudem die Diskriminierung durch AGB bei Zugang zu bestimmten Dienstleistungen oder Waren. Diese Regelung bezieht sich insbesondere auf Fälle in denen bestimmte Kunden aufgrund ihrer Staatsangehörigkeit, Wohnsitz oder Niederlassung Waren oder Dienstleistungen gar nicht erwerben können oder jedenfalls nur zu ungünstigeren Bedingungen.
Achtung:Diese Regelung bedeutet nicht, dass Händler verpflichtet sind, Kunden in der ganzen EU zu beliefern. Händler können im Rahmen der geltenden Privatautonomie selbst entscheiden, welche Länder beliefert werden sollen.Allerdings müssen sie die Abholung der Ware oder aber eine selbstständige Organisation der Lieferung durch den Kunden ermöglichen. Der Händler darf auch freiwillig in bestimmte Länder liefern und bestimmte Länder von der Lieferung ausschließen. Zudem ist eine unterschiedliche Behandlung unzulässig, wenn Dienstleistungen auf elektronischem Weg in der gleichen Weise wie im Inland auch im Ausland erbracht werden können. Dies betrifft insbesondere rein digital erbrachte Dienste, wie Cloud-Dienste, Data-Warehousing, Webhosting und die Bereitstellung von Firewalls.
Weiterhin verbietet die Verordnung eine ungleiche Behandlung von Kunden auf der Grundlage von herkunftsbasierenden Faktoren im Falle nicht-elektronischer Dienstleistungen an einem physischen Standort. Musterbeispiele sind hier die Buchung von Hotelzimmern, Autovermietung oder Tickets für Konzerte.
(3) Zahlungsmethoden
Schließlich untersagt die Geoblocking-VO auch die Ungleichbehandlung von Kunden bei der Abwicklung von Zahlungsvorgängen. Anbieter müssen Kunden aus dem europäischen Ausland dieselben Zahlungsmethoden gewähren, die sie auch ihren inländischen Kunden zur Verfügung stellen. Allerdings begründet dies keine Pflicht für Händler, sämtliche in der EU vorkommenden Zahlungsmittel zu akzeptieren. Bietet ein Händler ausdrücklich eine bestimmte Zahlungsform an, darf er einen Kunden, der den Bezahlvorgang in der angebotenen Weise abschließen möchte, nicht mit der Begründung abweisen, dass das Zahlungsmittel in einem anderen EU-Land ausgestellt wurde.

Anwendungsbereich der Geoblocking-VO ist beschränkt

Die Geoblocking-VO ist lediglich für den Vertrieb an Endabnehmer vorgesehen. Zum einen betrifft dies den Vertrieb an natürliche Personen, welche nicht zu geschäftlichen Zwecken handeln. Zum anderen betrifft dies den Betrieb an gewerbliche Abnehmer, wenn sie Waren oder Dienstleistungen „zur Endnutzung“ erwerben und nicht zum Weiterverkauf oder zur Weiterverarbeitung.
Zusätzlich vom Anwendungsbereich der Geoblocking-VO ausgenommen sind audiovisuelle Dienstleistungen wie z.B. Streaming-Angebote, sowie Online-Spiele. Ebenfalls sind eine Reihe von Wirtschaftsbereichen aus dem Anwendungsbereich der Verordnung ausgenommen, insbesondere die Bereiche Finanzen, Verkehr, Gesundheitswesen und Soziales. Diesbezüglich verläuft der Anwendungsbereich parallel zur Dienstleistungsrichtlinie.
In räumlicher Hinsicht erfasst die Verordnung alle grenzüberschreitenden Sachverhalte innerhalb der europäischen Union.

Abgrenzung zur Portabiltätsverordnung

Wie bereits angedeutet muss bei audiovisuellen Dienstleistungen (z.B. Streaming- Dienste) differenziert werden. Inhalte dieser Art werden von der Geoblocking-VO nicht erfasst. Allerdings ist insoweit die seit Anfang April geltende Portabilitätsverordnung (Portabilitäts-VO) zu beachten. Überschreiten Kunden die Grenze zu einem anderen EU-Land, müssen sie weiter Zugriff auf die im Heimatland gebuchten Dienste haben. Die Regelung ist für allerdings nur für kostenpflichtige Dienste wie z.B. Netflix oder Spotify relevant. Weiterhin wird die PortabiltitätsVO dahingehend eingeschränkt, dass sie nur für „vorübergehende Aufenthalte“ gilt und Studienaufenthalte (z.B. ein ERASMUS-Semester) ausgenommen sein sollen. Welche Zeitspanne als „vorübergehender Aufenthalt“ gilt, benennt die Portabilitäts-VO nicht, mit der Folge, dass hier vor allem für die Anbieter erhebliche Rechtsunsicherheit vorliegt. Für endgültige Klarheit über die Begrifflichkeiten werden betroffene Unternehmen wohl auf eine diesbezügliche Rechtsprechung des EuGH warten müssen.

Empfehlungen für die Praxis

Um Verstöße gegen die Geoblocking-VO zu vermeiden, sollten Unternehmen, die im E-Commerce tätig sind, bis Dezember 2018 insbesondere prüfen, ob auf ihrer Webseite Geoblockingmaßnahmen zum Einsatz kommen und inwieweit etwaige Benutzeroberflächen beschränkt werden. Zudem sollten die eigenen AGB  auf Verstöße gegen die Geoblocking-VO überprüft werden, vor allem im Hinblick auf mögliche herkunftsbasierte Diskriminierungen bei den Lieferbedingungen von Waren. Schließlich sollten Händler auch ihre Zahlungsmodalitäten überprüfen. Auch wenn keine Pflicht besteht, alle Zahlungsmittel zu akzeptieren, müssen die tatsächlich angebotenen dennoch konsistent und diskriminierungsfrei sein.

auszeichnung-juve-srd

JUVE: Empfehlung für SRD Rechtsanwälte!

Schürmann Rosenthal Dreyer Rechtsanwälte im JUVE HANDBUCH Wirtschaftskanzleien 2018/2019: Wir dürfen uns zu den besten Rechtsanwaltskanzleien Deutschlands im Bereich Datenschutz zählen!

„Darüber hinaus schafft die Kanzlei es aber insbesondere durch die enge Verbindung zu angrenzenden Rechtsgebieten, wie dem Wettbewerbs- oder Urheberrecht, sich als Beraterin für Mandate im Zusammenhang mit Ad-Tech-Lösungen u. dem Einsatz von Marketing Tools zu platzieren, auch mit Blick auf die kommende E-Privacy-VO. Die Ernennung von 2 Sal.-Partnern im Datenschutzteam spricht für weiteres Wachstum, für das ein solides Fundament bereits vorhanden ist“, so der JUVE-Verlag.

Das JUVE Handbuch Wirtschaftskanzleien wurde in diesem Jahr bereits zum 21. Mal veröffentlicht. Dabei hat es sich zu einem Referenzwerk des deutschen Anwaltsmarkts entwickelt. Umfangreiche Recherchen bei Kanzleien, Unternehmensverantwortlichen, Behördenvertretern und Mitarbeitern aus Recht und Wissenschaft schaffen die Grundlage für diese Publikation. Die unabhängig arbeitende Redaktion greift dabei auf inzwischen 21 Jahre Erfahrung auf dem Anwaltsmarkt zurück.

Die Anwälte von Schürmann Rosenthal Dreyer Rechtsanwälte sind in den vergangenen Jahren bereits vielfach in Juristen-Rankings empfohlen worden:

  • Rechtsanwältin und Partnerin Kathrin Schürmann wurde bereits viermal von Best Lawyers und Handelsblatt im Bereich Gewerblicher Rechtsschutz empfohlen.
  • Mehrfache Nennungen bei kanzleimonitor.de: Die Studie zählt die Kanzlei in den Rechtsgebieten Datenschutzrecht, Gewerblicher Rechtsschutz, IT-Recht, Medien- und Presserecht sowie dem Vertragsrecht zu den besten Kanzleien Deutschlands. In der Gesamtwertung zählen wir zu den Top 100 Kanzleien in Deutschland. Im Ranking nach Regionen nehmen wir in der Region Ost den 20. Platz ein.
    Wie bereits im Vorjahr gehören wir auch diesmal wieder zu den Hidden Champions: In diesem Ranking belegen wir mit einer Empfehlungsquote von grandiosen 150% den 15. Platz.
  • Mehrfach empfohlene Kanzlei bei The Legal 500 im Praxisbereich Informationstechnologie und Outsourcing mit dem Schwerpunkt Datenschutz.

Unser Kanzlei-Dossier bei Juve können Sie hier als PDF öffnen.

likebutton facebook

Gefällt mir? Die Facebook-Like-Button-Problematik

Wieder Facebook, wieder EuGH. Zum zweiten Mal innerhalb weniger Monate beschäftigt sich der Europäische Gerichtshof („EuGH“) mit datenschutzrechtlichen Fragen rund um das soziale Netzwerk. Nachdem im Juni ein Urteil zur datenschutzrechtlichen Verantwortlichkeit beim Betrieb von Fanpages gefällt wurde, geht es nun um den allseits bekannten Facebook-Like-Button. Speziell um seine Integrierung auf der Website per Plug-in. Die rechtliche Fragestellung ist hier die gleiche: Wer ist für die Verarbeitung der User-Daten verantwortlich? Facebook? Seitenbetreiber? Oder beide gemeinsam?

Der Hintergrund

Wie auch bei den Fanpages wird der EuGH im Rahmen eines Vorabentscheidungsverfahrens entscheiden. Den EuGH angerufen hat das OLG Düsseldorf mit der Fragestellung, wer denn für die Verarbeitung der durch den Like-Button generierten Daten verantwortlich sei (OLG Düsseldorf, Beschl. v. 19.01.2017 – I-20 U 40/16).
Ursprünglich wurde der Fall vor dem Landgericht Düsseldorf verhandelt (Urt. v. 9.3.2016 – 12 O 151/15). Die Verbraucherzentrale NRW hielt die Einbindung des Like-Buttons auf der Website der Fashion ID GmbH & Co. KG (ein Online-Shop für Bekleidung) für wettbewerbswidrig. Durch den Like-Button werden mittels Plug-Ins Daten zum Surfverhalten der Website-Besucher an Facebook übermittelt (z.B. die IP-Adresse), unabhängig davon, ob der Like-Button angeklickt wurde oder nicht. Da diesbezüglich von Fashion ID keine Einwilligung von den Seitenbesuchern eingeholt wurde, klagte die Verbraucherzentrale NRW auf Unterlassung.
Der Auffassung der Verbraucherzentrale hat sich das Gericht angeschlossen und der Klage weitestgehend stattgegeben. Aufgrund der fehlenden Einwilligung in die Weitergabe der Daten von Seitenbesuchern und dem Fehlen einer Information über die Datenverarbeitung sahen die Richter in der Einbindung des Plug-Ins einen Wettbewerbsverstoß im Sinne des § 3a UWG i.V.m. §§ 12, 13 TMG. Dabei stellten sie sich auf den – nicht unumstrittenen – Standpunkt, dass es sich bei jedem Datenschutzverstoß nach TMG auch um einen Wettbewerbsverstoß handele. Durch die Einbindung des Social-Plug-Ins in den Online-Shop habe die Fashion-ID die Erhebung und Verwendung der Daten ermöglicht und sei dementsprechend nach § 3 Abs. 7 BDSG (a.F.) für die Verarbeitung datenschutzrechtlich verantwortlich, so die Begründung. Die Fashion-ID legte Berufung beim OLG Düsseldorf ein, das wiederum die Sache zur Vorabentscheidung dem EuGH vorlegte.

Das „Fanpage“-Urteil könnte die Entscheidung des EuGH beeinflussen

In wenigen Monaten wird das Urteil des EuGH erwartet. Die Frage, die sich jetzt schon stellt: Kann die Rechtsprechung zu den Facebook-Fanpages auf die Like-Buttons übertragen werden?
Zur Erinnerung: Beim Aufrufen einer Facebook-Fanpage, wird beim Seitenbesucher (unabhängig davon ob er bei Facebook registriert ist) ein Cookie platziert, welches Daten der Benutzer erhebt. Die Fanpage-Betreiber selbst erhalten keinen Zugriff auf die personenbezogenen Daten der Besucher, sondern lediglich statistische Informationen. Dies reiche laut EuGH jedoch aus, um eine (Mit)verantwortung des Fanpage-Betreibers zu begründen. Grund dafür sei, dass Facebook den Betreibern die besagten statistischen Daten der Nutzer zur Verfügung stelle “die [sie] darüber informieren wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten“ (Pressemitteilung des EuGH). Diese Entscheidungsmöglichkeit der Betreiber über die Daten der Nutzer macht sie laut EuGH zu Verantwortlichen im Sinne des Datenschutzrechts.
Die Tatsache, dass der Seitenbetreiber selbst keinen Zugriff auf personenbezogene Daten habe sei irrelevant, denn bei gemeinsamer Verantwortlichkeit müssten weder alle Betreiber Zugriff auf die Daten haben noch zu gleichen Teilen an der Verarbeitung beteiligt sein.

Gemeinsame Verantwortlichkeit auch beim Like-Button?

Die Ausgangslage beim Like-Button-Problem ist mit dem der Fanpages vergleichbar: Personenbezogene Daten von Seitenbesuchern werden an Facebook übertragen und Seitenbetreiber haben keinen Zugriff auf diese Daten.
Im Unterschied zu den Fanpages werden bei den Like-Buttons dem Seitenbetreiber keine statistischen Daten über die Besucher zur Verfügung gestellt, welche sie für weitere Zwecke verwenden könnten. Dies war jedoch der zentrale Grund für die Entscheidung des EuGH eine Mitverantwortlichkeit der Seitenbetreiber zu bejahen. Müsste eine Mitverantwortlichkeit in diesem Fall also verneint werden?
An dieser Stelle muss auf den wesentlichen Unterschied zwischen den beiden Problematiken hingewiesen werden. Facebook-Fanpagebetreiber können die Verarbeitung der User-Daten durch Facebook nicht verhindern, das soziale Netzwerk erhebt sie in jedem Fall. Beim Like-Button liegt die Entscheidung, ob dieser auf der eigenen Website integriert werden soll, beim Seitenbetreiber selbst. Erst durch die bewusste Verwendung des Social-Plug-Ins wird die Verarbeitung der Besucher-Daten durch Facebook ermöglicht. Dies könnte in dem kommenden Urteil des EuGH entscheidender Faktor sein, um ebenfalls eine Mitverantwortlichkeit zu bejahen. Insbesondere die Tatsache, dass auch Daten von Personen erhoben werden, die nicht bei Facebook registriert sind, wird wohl ins Gewicht fallen.

Die Folgen einer (möglichen) Mitverantwortlichkeit

Sollte der EuGH in seinem Urteil tatsächlich von einer gemeinsamen Verantwortlichkeit von Seitenbetreibern und Facebook ausgehen, zöge dies Rechtsfolgen nach sich, die nunmehr in der DSGVO geregelt sind. Gemäß Art. 26 DSGVO sind gemeinsam Verantwortliche dazu verpflichtet, in transparenter Form eine Vereinbarung darüber zu treffen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt (sog. Joint-Controllership-Agreement). Zu den von der DSGVO geregelten Pflichten gehören insbesondere die Wahrung der Rechte der von der Verarbeitung betroffenen Personen, wie z.B. das Recht auf Information und Auskunft im Sinne der Art. 13 bis 15 DSGVO.
Für die Fanpage-Betreiber hat Facebook bereits eine solche Vereinbarung durch eine Ergänzung der Nutzungsbedingungen zur Verfügung gestellt. Darin wurde festgelegt, dass Facebook die primäre Verantwortung für die Verarbeitung der User-Daten übernimmt. Dies gilt insbesondere für die in den Art. 12 bis 22 DSGVO geregelten Betroffenenrechte sowie die in Art. 32-34 DSGVO normierte Datensicherheit und Meldung von Datenschutzverletzungen.
Eine ähnliche Vereinbarung wäre auch für Website-Betreiber denkbar, die Like-Buttons in ihren Internetauftritt integrieren. Allerdings hat die Fanpage-Vereinbarung die Betreiber nicht von jeglichen datenschutzrechtlichen Pflichten ausgenommen.

Welche Pflichten treffen die Website-Betreiber?

Wird eine gemeinsame Verantwortlichkeit durch den EuGH bejaht, müssen Website-Betreiber die Anforderungen der DSGVO erfüllen. Theoretisch müssten sie die Betroffenen über Art, Zweck und Umfang der Datenverarbeitung informieren und Maßnahmen ergreifen, um alle Betroffenenrechte (wie z.B. Löschung der Daten) garantieren zu können. Allerdings wird dies für Betreiber praktisch kaum umzusetzen sein, denn Zweck und Umfang der Datenverarbeitung entzieht sich ihnen jeder Kenntnis.
Bei den Fanpages kommt Facebook den Betreibern entgegen, indem es nun die Haupt-Verantwortung für die Verarbeitung der Daten übernimmt. Im Fall der Fälle ist ein ähnliches Vorgehen auch bei den Like-Buttons wahrscheinlich. Facebook hat ein nicht unerhebliches Interesse an der Verwendung dieses Plug-Ins, auf die die Betreiber zukünftig bei so viel Verantwortung verzichten könnten.
Wie genau eine solche Vereinbarung aussehen könnte und ob es sie überhaupt geben wird bleibt abzuwarten. Allerdings kann davon ausgegangen werden, dass Seitenbetreiber nicht vollständig von allen Pflichten nach der DSGVO entbunden werden. Aufschluss darüber könnte die Vereinbarung mit den Facebook-Fanpage-Betreibern geben. Diese müssen User über die Verarbeitung informieren und eine Rechtsgrundlage für die Verarbeitung benennen können (wohl Art. 6 Abs. 1 S. 1 lit. b bzw. f DSGVO).
Es ist Website-Betreibern zu empfehlen, insbesondere ihre Datenschutzerklärungen zu überprüfen und gegebenenfalls mit einem entsprechenden Textbaustein zu ergänzen. Zusätzlich kann das Risiko einer rechtlichen Inanspruchnahme reduziert werden, indem lediglich Links zu den sozialen Netzwerken, die sog. „2-Klick“-Lösung oder das Tool „Shariff“ eingesetzt werden.

Fazit

Wie sich der EuGH in dieser Sache entscheiden wird, kann nicht mit Sicherheit vorhergesagt werden. Es bleibt jedoch zu hoffen, dass das „Like-Button“-Urteil im Gegensatz zum „Fanpage“-Urteil aufschlussreicher sein wird. Letzteres ließ alle Beteiligten zunächst etwas ratlos zurück, was die Schließung einiger Fanpages zur Folge hatte. Die Aussichten sind allerdings nicht allzu schlecht, denn das OLG hat für den Fall der Bejahung der Mitverantwortlichkeit weitere Vorlagefragen formuliert, die dem EuGH die Möglichkeit bieten, deutlichere Ausführungen zur gemeinsamen Verantwortlichkeit zu machen als er es bisher getan hat.

fax datenschutzzentrale

Warnung vor Betrug: Fax von „Die Datenschutzauskunft-Zentrale“

Seit dem 1.10.2018 versendet ein Unbekannter unter dem Pseudonym „Datenschutzauskunft-Zentrale“ Faxe an Unternehmen, Kanzleien und sonstige Empfänger mit der Aufforderung, Angaben zu fehlenden Unternehmensdaten zu machen. Als Begründung wird die „gesetzliche (…) Pflicht zur Umsetzung des Datenschutzes“ und zur Umsetzung der „Anforderungen der seit 25.05.2018 geltenden europäischen Datenschutzgrundverordnung (EU-DSGVO)“ genannt. Ausgefüllt soll das Schreiben schließlich per Fax zurück an die „Datenschutzauskunft-Zentrale“ geschickt werden. Als Frist wird der 09.10.2018 genannt.  

Es ist dringend davon abzuraten auf dieses Fax zu antworten!

  • Das Schreiben erweckt den Eindruck von einer staatlichen Behörde zu stammen. Eine solche Behörde mit dem Namen „Datenschutzauskunft-Zentrale“ existiert jedoch nicht.Wer genau hinter der „Datenschutzauskunft-Zentrale“ steckt, ist nicht bekannt. Die telefonische Vorwahl „00800“ deutet auf einen nicht-seriösen Ursprung. Sowohl die Bundesrepublik Deutschland als auch die einzelnen Länder verfügen über Datenschutzbehörden und Bundes- bzw. Landesbeauftragte für den Datenschutz. Eine „Datenschutzauskunft-Zentrale“ existiert hingegen weder auf Bundes- noch auf Landesebene.
  • Im Fax der „Datenschutzauskunft-Zentrale“ wird auf die „gebührenfreie“ Faxstelle verwiesen, an die das unterschriebene Formular gesendet werden soll. Im Kleingedruckten folgt jedoch ein Hinweis darauf, dass mit Absenden des unterschriebenen Formulars eine Bestellung eines „Leistungsschutzpaket Datenschutz“ für mindestens drei Jahre erfolgt. Die Kosten betragen jährlich mindestens 498 Euro. Das Paket soll (angeblich) aus Informationsmaterial zur DSGVO bestehen. Letztlich erfolgt mit der Rücksendung des Formulars zunächst eine Pflicht zur Zahlung von mindestens. ca. 1500,00 €.


DAS FORUMALR SOLLTE DAHER IN KEINEM FALL BEANTWORTET WERDEN.

  • Falls das Formular dennoch bereits unterschrieben zurückgesandt wurde, sollte jeder Absender seine Erklärung sofort widerrufen. Zudem besteht ein Recht auf Anfechtung wegen arglistiger Täuschung und zudem möglicherweise die Notwendigkeit einer Strafanzeige wegen (versuchten) Eingehungsbetruges. Bezüglich des Widerrufes und Anfechtung genügt grundsätzlich der Hinweis darauf, dass die eigene Erklärung widerrufen wird.
  • Wer sich absichern möchte, sollte sich rechtlich beraten.
  • Offizielle Warnungen vor dem Fax der „Datenschutzauskunft-Zentrale“ finden sich hier.
geheimnisschutz

Geheimnisschutz in Deutschland und der EU: Was ist der Status Quo?

Am 17. August 2018 veröffentlichte das Amt der Europäischen Union für Geistiges Eigentum („EUIPO“) seinen Bericht „The Baseline of Trade Secret Litigation in the EU Member States“( deutsche Zusammenfassung hier ). Darin wird auf Basis von Expertenbefragungen der Stand des rechtlichen Schutzes von Geschäftsgeheimnissen in allen EU-Mitgliedstaaten vor Umsetzung der sog. Know-how-Schutz-Richtlinie dargestellt. Dieser Blogbeitrag nimmt den Bericht zum Anlass, um über den aktuellen Stand des Geheimnisschutzes in Deutschland zu berichten.

Hintergrund

Geschäftsgeheimnisse sind für viele Unternehmen von hoher wirtschaftlicher Bedeutung. Innerhalb der EU-Mitgliedstaaten besteht jedoch ein uneinheitliches rechtliches Schutzniveau gegen Angriffe auf Geschäftsgeheimnisse durch Mitarbeiter oder Externe. Die „EU-Richtlinie 2016/943 über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“ soll zu einer Harmonisierung der Rechtsordnungen beitragen. Sie hätte eigentlich schon bis zum 9. Juni 2018 von allen EU-Mitgliedstaaten umgesetzt werden müssen. Bisher haben aber nur wenige Staaten wie Schweden, Italien und Großbritannien die Richtlinie tatsächlich umgesetzt. Der deutsche Gesetzgeber hingegen hat, wie die meisten Mitgliedstaaten, die fristgemäße Umsetzung versäumt. Immerhin beschloss die Bundesregierung im Juli 2018 einen entsprechenden Gesetzentwurf.

Das EUIPO betrachtet jedoch nicht den aktuellen Umsetzungsstand der Richtlinie, wie man aufgrund des Zeitpunkts der Veröffentlichung vermutet, sondern hält vielmehr den Satus Quo des Geheimnisschutzes vor der Umsetzung der Richtlinie fest. Dadurch soll ein Referenzwert für einen zukünftigen Bericht über die Entwicklungen im Zuge der Anwendung der Richtlinie geschaffen werden. Diesen muss das EUIPO nach Art. 18 Abs. 1 der Richtlinie bis zum 9. Juni 2021 erstellen.

Inhalt des Berichts

Der aktuelle Bericht enthält eine Bestandsaufnahme über den derzeitigen rechtlichen Schutz von Geschäftsgeheimnissen in den 28 EU-Mitgliedstaaten. Zwar sehen alle Mitgliedsstaaten bereits jetzt Maßnahmen vor, die einen gewissen rechtlichen Schutz vor der Offenbarung von Geschäftsgeheimnissen durch Mitarbeiter gewährleisten, jedoch zeigt der Bericht auch erhebliche Unterschiede und Unzulänglichkeiten auf. Beispielsweise existiert in einigen Mitgliedsstaaten, so auch in Deutschland, bisher keine Legaldefinition des Geschäftsgeheimnisses. Die dadurch entstehende Rechtsunsicherheit wurde bisher durch umfangreiche Rechtsprechung teilweise ausgeglichen. Künftig ist jedoch EU-weit eine einheitliche gesetzliche Definition vorgesehen.

Interessant ist auch, dass einige Länder – wie Italien und Spanien – Geschäftsgeheimnisse als „geistiges Eigentum“ betrachten, d.h. der Geheimnisträger kann in diesen Ländern grundsätzlich umfassend über die geschützte Information bestimmen. Demgegenüber werden Geschäftsgeheimnisse in den meisten anderen Mitgliedsstaaten nur gegen bestimmte Angriffsformen geschützt, so auch in Deutschland.

Der einzige Mitgliedsstaat, der schon ein eigenes Gesetz für den Schutz von Gesetzgeheimnissen hatte, war Schweden. Künftig werden jedoch viele Länder, so auch Deutschland, die Richtlinie in einem eigenen Stammgesetz umsetzen.

Im Rahmen der Rechtsdurchsetzung gibt es auch erhebliche Unterschiede. Das EUIPO bemängelt in einigen Mitgliedstaaten, auch in Deutschland, den mangelhaften Schutz von Geschäftsgeheimnissen in Gerichtsverfahren, die Schwierigkeiten des Geheimnisträgers, die Rechtswidrigkeit (Unbefugtheit) einer Offenbarung nachzuweisen und das Fehlen von speziellen Gerichten für Verhandlungen über Geschäftsgeheimnisse.

Aufgrund dieser und weiterer Unterschiede im Schutzniveau wird der Schutz von Geschäftsgeheimnissen bei grenzüberschreitenden Sachverhalten laut der vom EUIPO befragten Experten bisher als schwach eingestuft.

Zukünftige Entwicklung

Die Richtlinie soll zur Harmonisierung des teilweise lückenhaften Geheimnisschutzes beitragen. Das EUIPO weist jedoch zu Recht darauf hin, dass die Mitgliedsstaaten die Richtlinie unterschiedlich interpretieren und umsetzen werden, weshalb letztlich erst die Rechtsprechung des EuGH wirkliche Rechtssicherheit bei grenzüberschreitenden Sachverhalten, wie dem Transfer von Geschäftsgeheimnissen innerhalb der EU, schaffen wird.

Der deutsche Entwurf eines Umsetzungsgesetzes verzichtet weitgehend auf Interpretationen, sondern orientiert sich eng am Wortlaut der Richtlinie. Danach sollen Informationen, die nicht allgemein bekannt, bzw. von wirtschaftlichem Wert und Gegenstand von angemessenen Geheimhaltungsmaßnahmen sind, künftig umfassend in einem neuen Stammgesetz, dem sog. Geschäftsgeheimnisgesetz (GeschGehG), geschützt werden. Das deutsche Gesetz wird nach derzeitigem Stand frühestens Ende 2018 in Kraft treten und damit mehrere Monate nach der eigentlichen Umsetzungsfrist.

Wenn ein Mitgliedsstaat eine Richtlinie nicht rechtzeitig umsetzt, so wie hier geschehen, liegt darin ein Verstoß gegen das EU-Recht. Als Reaktion kann die EU-Kommission ein förmliches Vertragsverletzungsverfahren einleiten, über das dann am Ende der Europäische Gerichtshof entscheidet, der gegebenenfalls Sanktionen verhängen kann. Die meisten Fälle werden jedoch vorher zwischen der Kommission und dem Mitgliedsstaat geklärt, insbesondere wenn der Mitgliedsstaat bereits an einem Umsetzungsgesetz arbeitet. 

Bedeutung der Richtlinie für die Praxis

Bevor das neue Geschäftsgeheimnisgesetz (GeschGehG) aber in Deutschland tatsächlich umgesetzt worden ist, kann die Richtlinie in Deutschland unter engen Voraussetzungen unmittelbare Anwendung finden. Zudem muss das geltende Recht richtlinienkonform ausgelegt werden. Welche konkreten Auswirkungen dies in Deutschland hat, muss je nach Einzelfall geklärt werden. Beispielsweise ist das sog. Reverse Engineering (der Rückbau eines Produkts, um ihm innewohnende Geschäftsgeheimnisse zu ermitteln) nach der Richtlinie ausdrücklich rechtmäßig, wohingegen solche Verhaltensweisen nach bisherigem deutschen Recht teilweise noch als rechtswidrig eingestuft wurden.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Als Vorbereitung auf die anstehende Umsetzung ins deutsche Recht sollten deutsche Unternehmen sich schon jetzt über die Angemessenheit ihrer Maßnahmen zur Geheimhaltung von Geschäftsgeheimnissen Gedanken machen. Während das alte Recht nämlich keine besonderen Sicherungsmaßnahmen vorgeschrieben hat, wird es nach der Richtlinie und dem deutschen Umsetzungsentwurf zwingend notwendig, angemessene Geheimhaltungsmaßnahmen zu treffen, um überhaupt in den Genuss des Geheimnisschutzes zu kommen. Was als angemessene Geheimhaltungsmaßnahme einzustufen ist, muss im Einzelfall geprüft werden. Einen ersten Orientierungspunkt stellen jedoch die technischen und organisatorischen Maßnahmen aus Art. 32 der Datenschutz-Grundverordnung (DSGVO) dar. Unternehmen können hierbei Synergien mit dem Datenschutzrecht nutzen, um den Umsetzungsaufwand zu minimieren.

facebook urteil srd

Facebook-Fanpages: Was müssen Fanpage-Betreiber jetzt beachten?

In die Debatte über das datenschutzkonforme Betreiben einer Facebook-Fanpage kommt wieder Bewegung.

Zunächst nahm die Konferenz der unabhängigen Datenaufsichtsbehörden des Bundes und der Länder (DSK) am 05.09.2018 zum zweiten Mal Stellung zum viel diskutierten „Fanpage“- Urteil des EuGH. In dem neuen Beschluss werden nun -im Gegensatz zur eher vagen ersten Stellungnahme- konkrete Vorgaben für Fanpage-Betreiber gemacht. Dabei thematisiert die DSK insbesondere die Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Der EuGH hatte in seinem Urteil festgestellt, dass neben Facebook selbst, auch die Fanpage-Betreiber für die Verarbeitung der Daten von Fanpage-Besuchern verantwortlich seien. Gemäß dem Art. 26 DSGVO sind gemeinsam Verantwortliche dazu verpflichtet, in transparenter Form eine Vereinbarung darüber zu treffen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt (sog. Joint-Controllership-Agreement). Zu den von der DSGVO geregelten Pflichten gehören insbesondere die Wahrung der Rechte der von der Verarbeitung betroffenen Personen, wie z.B. das Recht auf Information und Auskunft im Sinne der Art. 13 bis 15 DSGVO.

Facebook stellt Dokument über „Ergänzung“ zur Verfügung

Nachdem Facebook bereits wenige Tage nach dem Urteil eine entsprechende Vereinbarung angekündigt hatte, kamen zunächst keine weiteren Schritte, was zusätzliche Unsicherheit bei Seitenbetreibern hervorrief. Nun allerdings hat Facebook wenige Tage nach der Stellungnahme der DSK reagiert und ein Dokument mit dem Titel „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ zur Verfügung gestellt. Zwar geht aus der Überschrift nicht hervor, dass es sich hierbei um die von der DSGVO geforderte Vereinbarung handelt, allerdings ist dies nach Art. 26 DSGVO auch nicht erforderlich, entscheidend ist der Inhalt des Dokuments. Aus diesem geht hervor, dass die Seitenbetreiber und Facebook Ireland gemeinsame Verantwortliche für die Verarbeitung von Insights-Daten sind. Mithilfe dieser von Facebook bereitgestellten Daten können Seitenbetreiber eine statistische Auswertung über die Besucher ihrer Seite vornehmen. Die Möglichkeit der Nutzung dieser Daten war der ausschlaggebende Punkt in der Entscheidung des EuGH, Seitenbetreiber datenschutzrechtlich zu verpflichten.

Im Umkehrschluss bedeutet dies allerdings auch, dass die Ergänzung der Nutzungsbedingungen nicht für jegliche Datenverarbeitung auf der Fanpage, sondern nur für die Verarbeitung der Insights-Daten gilt.

Zudem garantiert Facebook die zur Verfügungstellung der „wesentlichen Aspekte“ des Dokuments für alle betroffenen Personen, womit auch das Kriterium „in transparenter Form“ i.S.d. Art. 26 DSGVO erfüllt werden soll.

Facebook übernimmt primäre Verantwortung

Wie im Vorfeld bereits zu erwarten war, übernimmt Facebook Ireland die primäre Verantwortung für die Verarbeitung von Insights-Daten. Dies gilt insbesondere für die in den Art. 12 bis 22 DSGVO geregelten Betroffenenrechte.

Zusätzlich wird vereinbart, dass Verantwortlicher für die Datenverarbeitung Facebook Ireland (Hauptniederlassung von Facebook in der EU) sein wird. Dies hat gem. Art 56 DSGVO zur Folge, dass die irischen Datenschutzbehörden europaweit „federführend“ in allen diesbezüglichen Angelegenheiten sein werden. Gerichts- und Streitstand wird ebenso Irland sein. Anfragen nationaler Datenschutzbehörden sind innerhalb von 7 Tagen an Facebook Ireland weiterzuleiten (hierfür wurde ein Formular zur Verfügung gestellt).

Pflichten für Seitenbetreiber

Allerdings sprechen die ergänzten Nutzungsbedingungen für Fanpages die Seitenbetreiber nicht von allen datenschutzrechtlichen Pflichten frei. Die Seitenbetreiber müssen dafür Sorge tragen, dass die Verarbeitung der Insights-Daten auf einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO beruht. In Betracht wird hierbei wohl vor allem eine Erlaubnis nach Art. 6 Abs. 1 S. 1 lit. f DSGVO kommen. Dieser legitimiert die Verarbeitung von personenbezogenen Daten, wenn der Verarbeitende ein dem Betroffenen gegenüber überwiegendes Interesse an der Verarbeitung hat (z.B. Direktwerbung).

Zusätzlich hat der Seitenbetreiber die Pflicht, die Betroffenen über die Verarbeitung der Daten zu informieren, indem auf der Fanpage im Infobereich unter Datenrichtlinie ein Link zur eigenen Datenschutzerklärung aufgeführt und den Nutzern angezeigt wird.

Dementsprechend muss die eigene Datenschutzerklärung mit einem Textbaustein zur gemeinsamen Verantwortlichkeit beim Betrieb der Fanpage samt Rechtsgrundlage ergänzt werden.

Weiterhin schreibt die Vereinbarung den Seitenbetreibern vor, den für die Datenverarbeitung Verantwortlichen zu benennen. Laut einem englischen Hinweis von Facebook können die Angaben zum verantwortlichen Unternehmen und dessen Datenschutzbeauftragetn einschließlich deren Kontaktdaten im Bereich „About“ über „Edit Page Info“ eingetragen werden.

Fazit

Dieser Schritt von Facebook wird die Diskussion um den datenschutzkonformen Betrieb einer Fanpage größtenteils beenden, da die vorhandenen „Regelungslücken“ durch die Vereinbarung geschlossen werden können. Allerdings ist die Reaktion der deutschen Datenschutzbehörden abzuwarten.

Zusätzlich ist darauf hinzuweisen, dass der oben erwähnte neue Beschluss der DSK im Anhang einen Fragenkatalog enthält, den alle Seitenbetreiber (und Facebook) beantworten können sollten. Dieser geht teilweise über die Vereinbarung nach Art. 26 DSGVO hinaus, weshalb trotz der Reaktion von Facebook weiter Klärungsbedarf in Sachen Facebook-Fanpages bestehen wird. Da naturgemäß nur Facebook über alle erforderlichen Informationen verfügt, wird wiederum ein Schritt von dieser Seite notwendig sein.

ki dsgvo

Künstliche Intelligenz – trotz DSGVO ein Markt der Zukunft?!

Unternehmen sammeln Daten der Bürger, die etwa bei Behörden hinterlegt sind, um die Entwicklung und Nutzung von Künstlicher Intelligenz zu beschleunigen? Sieht so der Plan der Bundesregierung aus? Oder was steckt hinter der Strategie „Künstliche Intelligenz“? Und was hat die DSGVO eigentlich damit zu tun?

Hintergrund

Das Bundeskabinett hat die Eckpunkte für die Strategie „Künstliche Intelligenz“ in Deutschland beschlossen. Die Strategie soll Ende des Jahres vorgestellt werden. Diese Eckpunkte betreffen Forschung, Lehre und Entwicklung sowie Nutzung der Künstlichen Intelligenz. Deutschland soll in diesem Bereich weltweit führendes Niveau erreichen. In der entsprechenden Pressemitteilung heißt es: „Die Nutzung Künstlicher Intelligenz soll verantwortungsvoll und zum Wohle der Gesellschaft vorangebracht und neue Wertschöpfungspotenziale sollen erschlossen werden“.

Dabei scheint es ein Ziel der Strategie zu sein, Kooperationen zwischen privater Wirtschaft und dem Staat zu ermöglichen und dabei auch Zugriff auf Bürgerdaten, d.h. „Daten der öffentlichen Hand und Wissenschaft“ zu nehmen. Die Menge an zu verarbeitenden Daten soll dabei deutlich erhöht werden, da sich gerade damit wirtschaftliche Gewinne einstellen würden, zugleich solle aber der Schutz personenbezogener Daten gewährleistet werden. Die DSGVO stelle dafür nur einen ersten Schritt dar, in Zukunft sollen nationale Gesetze folgen, die speziell die Nutzung von personenbezogenen Daten im Falle von KI regeln und Unternehmen dabei den Zugriff auf solche Daten (etwa anonymisierte Nahverkehrsdaten zur Erstellung von Fahrplänen) ermöglichen, ohne den Datenschutz zu vernachlässigen. Dabei stellt sich allerdings die Frage, ob die DSGVO selbst der Entwicklung und Nutzung der Künstlichen Intelligenz in Deutschland im Wege steht.

KI im Ausland versus KI in Deutschland

Die Bundesregierung sieht China und die USA als aktuell führend im Bereich der Nutzung personenbezogener Daten für Zwecke der Künstlichen Intelligenz an, was u.a. auf die größere Menge an zur Verfügung stehenden Daten zurückgeführt wird. Diese Datenmenge lässt sich u.a. mit dem geltenden Recht in China und den USA begründen, das die Verarbeitung personenbezogener Daten erleichtert. Zudem sieht die Bundesregierung das Fehlen einer eigenen KI-Strategie als mitursächlich an und versucht diesem Problem nun entgegenzuwirken. Experten in der Wirtschaft sehen vor allem die massive Datensammlung gerade durch den Staat in den USA und v.a. durch das chinesische „Social Scoring“ als Ursache für den Vorsprung beider Länder im KI-Bereich. Entsprechende Hemmnisse könnten in Deutschland durch die DSGVO begründet sein.

Dagegen sieht jedoch die Bunderegierung die DSGVO als geeigneten rechtlichen Rahmen zum Umgang mit KI an:

„Die Datenschutz-Grundverordnung (DSGVO) bildet einen verlässlichen gesetzlichen Rahmen für innovative Technologien und Anwendungen auch im Bereich der KI. Sie enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Die Überarbeitung der E-Privacy-Verordnung soll dieses Schutzkonzept abrunden.“

Whitepaper zur KI Verordnung

Wann wird KI im Alltag relevant?

KI wird u.a. bei der Optimierung der bezahlten Suchergebnisse von Suchmaschinen relevant. Algorithmen ermöglichen es durch Auswertung von Daten Suchbegriffe zu filtern und gezielte Werbeanzeigen einzublenden. Auch Smarthomes und Smartcars basieren auf dem automatischen Erkennen von Bedürfnissen durch Auswertung personenbezogener Daten wie Standortdaten. Im Unternehmensalltag wird KI v.a. im Zusammenhang mit Machine Learning und Prozessoptimierung relevant. So erregte die selbstlernende App AlphaGo 2016 Aufmerksamkeit, nach dem sie Millionen von Partien eines Brettspiels analysierte und dann einen menschlichen Großmeister besiegte. Mit leichten Modifikationen soll die App auch außerhalb von Spielen zur Verbesserung der Abläufe in Unternehmen einsetzbar sein. Auch bei der Kreditvergabe werden zunehmend selbstlernende Algorithmen herangezogen, um aus einer Menge zur Verfügung stehender Daten wie Pünktlichkeit von Zahlungen, Gehalt etc. die Kreditwürdigkeit eines Bewerbers zu beurteilen.

Welche Herausforderungen stellen sich bei Anwendung der DSGVO auf KI?

Die DSGVO stärkt entsprechend einem ihrer Primärziele die Rechte des Betroffenen. Als gänzlich neues Recht führt die DSGVO dabei das Recht auf Datenübertragbarkeit ein. Dieses Recht ermöglicht es Betroffenen von Unternehmen die vollständige Übertragung ihrer personenbezogenen Daten auf ein anderes Unternehmen zu verlangen. Es stellt sich die Frage wie dieses Recht etwa im Falle von Machine Learning umgesetzt werden kann. So können selbstlernende Apps etwa nicht ohne weiteres vorher verwendete Daten vollständig „übertragen“ werden, da die Daten bereits Grundlage der selbstlernenden Vorgänge der Apps wurden und selbst bei Übertragung der Ausgangsdaten noch im System vorhanden sind. Hier ist es sowohl an Unternehmen technische Möglichkeiten für eine solche vollständige Übertragung zu entwickeln als auch an der Rechtsprechung konkrete Leitlinien für die Umsetzung dieses Rechts vorzugeben. Diese Leitlinien müssen das (von der DSGVO geschützte) wirtschaftliche Interesse von Unternehmen an der Verarbeitung personenbezogener Daten und das Recht des Betroffenen auf Informationelle Selbstbestimmung sowie die Grundsätze der Datensparsamkeit und Transparenz einem fairen Ausgleich zuführen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Dasselbe Problem stellt sich darüber hinaus bezüglich des Rechts auf Löschung. Auch hier kann es für Unternehmen insbesondere im Bereich des Machine Learning schwer werden das Recht auf Löschung umzusetzen. Vor allem in Zusammenhang mit Smart Cars (Berechnung von Unfallwahrscheinlichkeiten, Stauumgehungen durch Auswertung des bevorstehenden Andrangs von Fahrzeugen) und Smart Homes (Energieersparnis) stellt sich zudem die Frage, ob das Recht auf Vergessenwerden ausnahmsweise nicht besteht, weil gemäß Art. 17 Abs.3c. ein öffentliches Interesse an der Datenverarbeitung und Sammlung besteht. Sollte das Recht auf Vergessenwerden jedoch auch hier greifen, ohne dass eine Ausnahme besteht, so wäre der Verstoß gegen dieses Betroffenenrecht, wie bei allen Betroffenenrechten, bußgeldbewehrt.

Macht der Betroffene von seinem Recht auf Auskunft Gebrauch, ist ihm nicht nur mitzuteilen welche personenbezogenen Daten für welche Zwecke verarbeitet werden; vielmehr ist ihm darüber hinaus auch in transparenter, verständlicher Sprache Auskunft über die Art und Weise der Verarbeitung zu geben. Dies kann u.U. mit dem Interesse von Unternehmen an der Wahrung von Geschäftsgeheimnissen – wie Algorithmen – kollidieren – aber auch schlichtweg an mangelndem Wissen bei selbstlernenden Technologien, insbesondere im Bereich Deep Learning, scheitern. Auch hier gilt es technische Möglichkeiten und Vorgaben durch die Rechtsprechung zu entwickeln, die sowohl Auskunftsrecht und Transparenzgebot als auch die wirtschaftlichen Interessen von Unternehmen schützen.

KI basiert häufig auf dem Einsatz von Big-Data-Analysen und automatisierter Entscheidungsfindung. Dagegen räumt Art. 22 DSGVO jedem Betroffenen das Recht „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden“, wenn sie rechtliche oder ähnliche Wirkung entfaltet. Der Betroffene hat also das Recht, dass immer eine menschliche Entscheidung ergeht und er seinen Standpunkt gegenüber einem menschlichen Entscheidungsträger vortragen kann.  Demgemäß müssen Unternehmen für einen solchen Fall in der Regel eine Einwilligung des Betroffenen einholen oder Verträge abschließen, die solche Analysen ermöglichen. Betroffenen muss das Recht auf eine menschliche Intervention und auf Widerspruch eingeräumt werden, wenn etwa Fragen zur Kreditwürdigkeit von einem KI-basierten System entschieden werden.

Weiteres zentrales Anliegen der DSGVO ist der Schutz von Transparenz- und Informationspflichten  der Betroffenen. Willigt der Betroffene in die Verarbeitung personenbezogener Daten mittels KI ein, sind folgende Grundsätze zu beachten:

Allgemein muss der Betroffene bei Einwilligung über alle Betroffenenrechte informiert werden, also über das eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit. Zudem muss der Betroffene darüber informiert werden, inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht. Dabei ist zu berücksichtigen, dass der betroffenen Person die Informationen sofort bei Einwilligung in die Datenerhebung übermittelt werden. Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Dabei lässt die DSGVO eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Allerdings ist es im Zusammenhang mit KI häufig nicht möglich vollständige Informationen zur Datenverarbeitung zu übermitteln, da KI-basierte Systeme häufig selbst Analysen durchführen und Daten selbstständig weiterentwickeln, sodass dem Betreiber im Vorfeld gar nicht möglich sein kann zu erfassen, welche Daten in welcher Weise verarbeitet werden. Auch hier müssen Rechtsprechung und Unternehmen praktikable Lösungen entwickeln.

Zudem können dieselben Logarithmen zu Berechnung von Kreditfähigkeit, Zuverlässigkeit (z.B. bei Anmietung von Wohnungen) etc. herangezogen werden. Dabei ist das Diskriminierungsverbot der DSGVO zu berücksichtigen. Die Diskriminierung kann zum Beispiel bereits dann beginnen, wenn trotz gleicher Suchbegriffe, bestimmte Dienstleistungen oder Waren nicht jedem Kunden, der diese Suchbegriffe eingibt, angeboten oder angezeigt werden. Auch dies kann einen Verstoß gegen Betroffenenrechte und das Transparenzgebot darstellen und bußgeldbewehrt sein.

Welche Chancen bietet die DSGVO für den Einsatz von KI?

Während die Umsetzung der Betroffenenrechte und des Diskriminierungsverbotes der DSGVO in Verbindung mit KI zur Herausforderung werden kann, bietet die DSGVO auch Chancen. Die von der DSGVO verlangte Datenschutz-Folgenabschätzung kann eine Möglichkeit darstellen, um die datenschutzrechtlichen aber auch ökonomischen Risiken beim Einsatz von KI bereits während der Planungsphase (etwa der Software-Entwicklung) abzuschätzen und Bußgelder zu vermeiden. Zudem lässt die Datenschutz-Folgenabschätzung Risiken erkennen, die aus dem Design und den technischen Voreinstellungen von Produkten oder Anwendungen resultieren. Damit lassen sich die Vorgaben der DSGVO an Privacy by Design und Privacy by Default, also datenschutzfreundliches Design und datenschutzfreundliche technische Voreinstellungen ebenfalls erkennen und Bußgelder können vermieden werden. Zudem privilegiert die DSGVO die Nutzung pseudonymisierter Daten (etwa im Rahmen einer Interessenabwägung zwischen Unternehmensinteressen und Rechten der Betroffenen). Gerade solche werden im Zusammenhang mit KI häufig verwendet und können daher gerade innerhalb des Geltungsbereichs der DSGVO gewinnbringend genutzt werden.

Ausblick

Trotz der Herausforderungen v.a. im Bereich der Betroffenenrechte, automatischer Entscheidungsfindung und Transparenz bietet die DSGVO auch Vorteile beim Einsatz von KI. Die zunehmenden Datenskandale um NSA, Facebook und Cambridge Analytica zeigen, dass das Vertrauen der Nutzer in KI in kürzester Zeit schwinden und damit die zur Verfügung stehende Datenmenge abnehmen kann. Gerade das Vertrauen in den sicheren Umgang mit personenbezogenen Bürgerdaten auf Grundlage der DSGVO kann zukünftig also einen erheblichen Wettbewerbsvorteil darstellen. Auf diese Weise kann insbesondere der Vorsprung Chinas und der USA bezüglich der zur Verfügung stehenden Datenmenge dadurch ausgeglichen werden, dass wegen der größeren Sicherheit qualitativ hochwertigere Daten im deutschen und europäischen Markt zunehmen.

Einwilligung nach DSGVO

Die Einwilligung nach der DSGVO: Die 10 größten Unwahrheiten

Auch nach dem Wirksamwerden der DSGVO herrscht allgemeine Verunsicherung über die Umsetzung der neuen Regelungen: das gilt auch und insbesondere für das sensible Thema Einwilligungen. So gab es z.B. eine Flut von Newsletter-Mailings vor und nach dem 25. Mai 2018, mit der Aufforderung erneut eine Einwilligung abzugeben oder sogar schlicht mit der Information, dass Newsletter aufgrund fehlender Einwilligung in Zukunft nicht mehr verschickt werden. Wahr ist, dass das Gesetz strenge Anforderungen an die Einwilligung stellt.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

In unserer Aufzählung erfahren Sie, was die größten Unwahrheiten über die Einwilligung sind, die im Zusammenhang mit der Datenschutz-Grundverordnung kursieren:

  • Einwilligungen müssen ausschließlich in Schriftform eingeholt werden!

Bisher war in § 4a BDSG-alt, die Schriftform für Einwilligungen in die Verarbeitung personenbezogener Daten angeordnet. Nach der Datenschutz-Grundverordnung ist dies nun nicht mehr erforderlich. Eine „Erklärung oder sonstige bestätigende Handlung“ genügt – theoretisch. Verantwortliche müssen nachweisen können, dass die Einwilligung wirksam erteilt wurde (Dokumentations- und Beweispflicht). Stattdessen reicht bereits das aktive Anklicken eines Kontrollkästchens (Opt-in) aus.

  • Einwilligungen, die vor dem 25.5.2018 erteilt wurden, müssen nun erneut eingeholt werden!

Das ist falsch! Der Gesetzgeber hat zugunsten der Verarbeiter entschieden, dass auch Einwilligungen, die vor dem Wirksamwerden der DSGVO eingeholt wurden, fortgelten sollen. Vorher eingeholte Einwilligungen müssen selbstverständlich den Vorgaben der DSGVO entsprechen. Da die bisherigen Anforderungen denen der DSGVO weitestgehend gleichen, wird in den meisten Fällen ein erneutes Einholen der Einwilligung nicht notwendig sein. Es gelten jedoch besondere Voraussetzungen für die Einwilligung von Minderjährigen!

  • Minderjährige können keine wirksame Einwilligung abgeben!

Die DSGVO sieht strengere Altersgrenzen für die wirksame Abgabe einer Einwilligung vor. Nach dem BDSG-alt kam es lediglich auf die Einsichtsfähigkeit und geistige Reife der betroffenen Person an. Nach der Datenschutz-Grundverordnung dürfen Minderjährige erst ab 16 Jahren wirksam in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Für die Verarbeitung personenbezogener Daten von unter 16-jährigen benötigen Verantwortliche stets die Genehmigung des gesetzlichen Vertreters. Diese Altersgrenze kann von den Mitgliedsstaaten noch bis zur absoluten Untergrenze von 13 Jahren herabgesetzt werden.

  • Einwilligungen können auch später eingeholt werden!

Das ist nicht richtig. „Einwilligung“ ist ein juristischer Begriff und bedeutet übersetzt vorherige Zustimmung. Das Gegenteil der Einwilligung ist die „Genehmigung“, d.h. nachträgliche Zustimmung, die eine Verarbeitung personenbezogener Daten nicht legitimiert.

  • Das Double-Opt-in-Verfahren ist Pflicht!

Einwilligungen, die als Opt-in ausgestaltet sind, müssen aktiv erteilt werden. Fraglich ist nun, ob das sog. Double-Opt-in für die Erteilung der Einwilligung zwingend ist. Neben dem Ankreuzen eines Kästchens muss außerdem ein zur Verfügung gestellter Link, z.B. bei der Newsletter-Anmeldung, zur Bestätigung der Einwilligung angeklickt werden. Vorteil dieses Verfahrens ist, dass es einen erleichterten Nachweis über die Erteilung der Einwilligung bietet, welcher für die Dokumentations- und Beweispflicht des Verantwortlichen zwingend erforderlich ist. Kann dieser Nachweis auch mit dem Single-Opt-in Verfahren erbracht werden reicht dies aus, sodass ein Double-Opt-in nicht zwingend durchgeführt werden muss.

  • Eine Einwilligung für alle Verarbeitungen reicht aus!

Das ist falsch!  Die Grundsätze der Einwilligung sind Freiwilligkeit und Zweckbindung. Der Betroffene muss genauestens darüber informiert werden, zu welchem Zweck seine Daten verwendet werden. Daraufhin muss er selbst entscheiden können, in welche Verarbeitungsvorgänge er einwilligen möchte.

Achtung: Freiwilligkeit ist nicht gegeben, wenn die Erbringung einer Leistung davon abhängig gemacht wird, dass in eine Verarbeitung eingewilligt wird, die zur Erbringung der Leistung nicht notwendig ist (sog. Kopplungsverbot).

  • Das Widerrufsverfahren muss eins zu eins der Erteilung entsprechen!

Es bleibt dabei: Eine einmal erteilte Einwilligung muss auch widerrufen werden können. Neu ist jedoch die Regelung des Art. 7 Abs. 3 S.4 DSGVO: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Das bedeutet allerdings nicht, dass das Widerrufsverfahren demjenigen der Erteilung eins zu eins entsprechen muss. Es reicht, eine einfache Möglichkeit zum Widerruf der Einwilligunganzubieten. Dies geht in Newsletter z.B. durch einen Unsubscribe-Link am Ende der Mail, oder eine Opt-out-Option in der Datenschutzerklärung. Wichtig ist es, stets auf die Möglichkeit des Widerrufs hinzuweisen.

  • Ohne Einwilligung kann ich keine Daten verarbeiten!

Fehlt es an einer Einwilligung, bzw. einem Einverständnis gem. Art. 6 Abs. 1 lit. b und c DSGVO, kann eine Verarbeitung unter bestimmten Voraussetzungen auch auf berechtigte Unternehmensinteressen gestützt werden, soweit diese die Rechte und Interessen des Betroffenen überwiegen (Art. 6 Abs. 1 lit. f DSGVO). Auch ohne Einwilligung kann es im Datenschutzrecht also gehen. Denn nach der DSGVO werden laut den Erwägungsgründen ausdrücklich auch wirtschaftliche Interessen und dabei namentlich auch die Direktwerbung als berechtigtes Unternehmensinteresse anerkannt. Allerdings müssen Unternehmen eine Interessenabwägung auch tatsächlich vornehmen und diese muss zugunsten des Unternehmens ausfallen.

  • Man benötigtes für jedes Cookie eine eigene Einwilligung!

Fest steht, dass es sich bei Cookies um personenbezogene Daten handelt, die sich an der DSGVO messen lassen müssen. Das bedeutet, dass die Verwendung von Cookies grundsätzlich verboten ist, es sei denn die betroffene Person hat eingewilligt, oder es liegt einer der Erlaubnisgründe des Art. 6 DSGVO vor. Wie oben bereits beschrieben, kann die Datenverarbeitung gemäß Art. 6 Abs. 1 lit. f) DSGVO auch dann erlaubt sein, wenn dafür ein berechtigtes Interesse besteht. Es ist abzuwägen, ob das Interesse an der Datenverarbeitung das Interesse des Betroffenen am Schutz der Daten überwiegt. Die DSK (Datenschutzkonferenz), in der sich die Datenschutzbehörden des Bundes und der Länder auf gemeinsame Positionen verständigen, hat diesbezüglich ein streitbares Positionspapier veröffentlicht. Darin fordern sie die zwingende Einholung einer informierten Einwilligung (Opt-in) bevor Cookies platziert werden. Wer auf Nummer sicher gehen möchte sollte daher eine Einwilligung einholen.

Allerdings kann man mit guten Gründen das Setzen von Cookies zu Werbezwecken auch auf ein überwiegendes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO stützen, solange die Daten nur pseudonymisiert gesammelt werden. Durch die Pseudonymisierung würde den schutzwürdigen Interessen der Nutzer Rechnung getragen. Im Ergebnis wäre man dann wieder beim Opt-out. Sinnvoll ist aber auch in dieser Konstellation die Nutzung eines Cookie-Banners, über den der Website User über das Setzen von Cookies und deren Zwecke informiert wird.

Achtung: Dem Betroffenen muss immer die Möglichkeit des Widerspruchs eingeräumt und darüber deutlich informiert werden.

Werkvertragsrecht

Das neue Kauf- und Werkvertragsrecht: Was sind die Auswirkungen auf die IT-Wirtschaft?

Seit dem 1. Januar 2018 gelten neue Regelungen in einigen Teilbereichen des Kauf- und Werkvertragsrechts. Diese Gesetzesänderungen haben primär eine Reform des Bauvertragsrechts zum Ziel, gleichwohl gehen damit jedoch Änderungen auch auf die IT-Wirtschaft und Verträge im Rahmen von IT-Projekten einher. Insbesondere mit Blick auf Zahlungspflichten, Beweislastregeln sowie Kündigungsmöglichkeiten sind bei IT-Verträgen die neuen Regelungen künftig zu beachten.

Für welche Verträge gelten die neuen Regelungen?

Die neuen Regelungen gelten nur für Verträge, die nach dem 1. Januar 2018 geschlossen werden. Damit gelten die Regelungen nicht für solche Verträge, die zwar nach dem 1. Januar 2018 umgesetzt werden, jedoch vor dem 1. Januar 2018 abgeschlossen wurden. Entscheidend ist der Zeitpunkt des Vertragsschlusses, nicht der Zeitpunkt der Vertragsausführung.

Welche Auswirkungen hat das neue Kaufvertragsrecht auf IT-Projekte?

Der Gesetzgeber hat im Rahmen der vorgenommenen Gesetzesänderungen entschieden, dass der Verkäufer bei Verbindungen einer mangelhaften Kaufsache mit einer anderen mangelfreien Sache des Käufers grundsätzlich sowohl für den Ausbau der mangelhaften Sache als auch für den Einbau einer neuen Sache die Kosten zu tragen hat. Der sog. „Nacherfüllungsanspruch“ des Käufers ist damit im Umfang ausgedehnt worden.

Es stellt sich die Frage für welche Arten von IT-Verträgen diese Änderung relevant wird. Unzweifelhaft Anwendung findet sie bei einer körperlichen Verbindung von Kaufsache und Eigentum des Käufers, also vor allem bei Hardwarekomponenten (im Rahmen von Standard-Software-Verträgen). Dies gilt etwa, wenn ein Auftraggeber IT-Systemkomponenten kauft, die nicht einfach aufgestellt, sondern eingebaut werden müssen („Peripherie-Geräte“ wie Drucker, Scanner oder unter Umständen sogar Festplatten.)

Gilt das neue Kaufvertragsrecht auch ohne körperliche Verbindung?

Fraglich ist indessen, wie diese Gesetzesänderung sich auswirkt, wenn keine körperliche Verbindung besteht, also wenn etwa eine Deinstallation von Software oder Konfiguration technischer Systeme erfolgt und Teile davon trotz Mängeln verkauft werden. Wortlaut und Systematik des Gesetzestextes sprechen zwar für eine körperliche Verbindung, der Zweck der Gesetzesänderung (Ausdehnung des Nacherfüllungsanspruchs des Käufers) legt hingegen die Anwendung auch ohne körperliche Verbindung nahe.. Ferner entspricht dieser Zweck auch den Vorgaben des europäischen Gesetzgebers, welche der Ausgangspunkt für die Gesetzesänderungen im deutschen Kaufrecht war. Rechtsklarheit wird es hier letztlich nur bei einer Klärung durch die Rechtsprechung geben.

Was ändert sich im Werkvertragsrecht?

  • Abschlagszahlungen und Wert der Leistung

Häufig erfolgt die Vergütung im Rahmen von Werkverträgen durch Abschlagszahlungen. Die Grundlage für die Berechnung dieser Abschlagszahlungen war bisher der Wertzuwachs beim Besteller der Software. Für Verträge, die nach dem 1. Januar 2018 geschlossen wurden, ist Grundlage jedoch nun der Wert der vom Software-Entwickler geschuldeten und erbrachten Leistung. Abschlagszahlungen können damit leichter berechnet werden. Zudem können Zahlungen beim Erreichen von Meilensteinen“ im Verlauf eines Projekts individuell vereinbart werden, wenn Grundlage der Berechnung von vornherein der Wert der Leistung ist und nicht erst der Wertzuwachs ermittelt werden muss.

  • Behauptung der Mangelhaftigkeit

Der Auftraggeber kann nach dem neuen Werkvertragsrecht die Abschlagszahlung ganz oder zum Teil verweigern, wenn er behauptet, dass die Leistung nicht dem mangelfrei oder hinter dem vertraglich Geschuldeten zurückgeblieben ist. Die Beweislast trägt dann der Software-Entwickler. Problematisch ist diese Regelung jedoch bei Freelancern, da diese häufig auf die Abschlagszahlung angewiesen sind und die Ressourcen für den Beweis der Mangelfreiheit nicht aufbringen können.

Zudem regelt das neue Werkvertragsrecht Obergrenzen für Abschlagszahlungen in AGB, sodass Softwarehersteller ihre AGB dahingehend überprüfen sollten.

  • Welche Neurungen gibt es bezüglich der Abnahme?

Grundsätzlich wird die Vergütung von Software als Werkleistung mit deren Abnahme fällig. Die Abnahme setzt die Besitzübertragung und Annahme als mangelfreie, geschuldete Leistung voraus. Dies bleibt zwar auch unter dem neuen Werkvertragsrecht so, allerdings wird die Abnahme dann angenommen („fingiert“), wenn der Besteller (also der Auftraggeber der Software) nicht innerhalb einer vertraglich bestimmten Frist die Abnahme verweigert und einen Mangel als Grund anführt. Gleiches gilt, wenn zwar keine Frist vereinbart wurde, aber der Softwarehersteller die Abnahme verlangt. Bleibt der Kunde also untätig, wird die Abnahme fingiert. Dies hat neben der Fälligkeit der Vergütung vor allem Auswirkungen auf die Beweislast. Behauptet der Besteller nach der (fingierten) Abnahme einen Mangel, so hat er diesen zu beweisen. Daraus folgt, dass der Besteller bei Unsicherheit über das Bestehen eines Mangels diesen bloß behaupten muss, um die Abnahme und Beweislastumkehr zu verhindern. Es bleibt abzuwarten, wie die Gerichte mit der Möglichkeit des bloßen Bestreitens in der Rechtsprechungspraxis umgehen.

  • Wie sollten Unternehmen auf die Neuerungen im Bereich der Abnahme reagieren?

Sowohl Auftraggeber als auch Auftragnehmer von Software sollten auf diese Gesetzesänderung reagieren. Für Auftraggeber, also Unternehmen, die regelmäßig Software bestellen, gilt es ein Abnahme- und Fristenmanagementsystem zu installieren. Verstreichen Abnahmefristen und tritt die Abnahmefiktion ein, so hat der Besteller u.U. die Vergütung für ein Werk zu entrichten, was erheblich mangelhaft ist und muss Prozessrisiken in Kauf nehmen um die Zahlungen rückgängig zu machen.

Softwarehersteller sollten ebenfalls Fristsysteme einführen um etwa regelmäßige Abnahmeverlangen auszusprechen, wenn solche nicht bereits vereinbart wurden, um die Abnahmefiktion und Beweislastumkehr auszulösen.

  • Welche Unklarheiten gibt es bezüglich der Abnahme aktuell?

Bisher nicht eindeutig geklärt ist, ob vertragliche Vereinbarungen (vor allem in AGB) zulässig sind, wonach die Abnahmefiktion nur durch Behauptung eines wesentlichen Mangels ausgeschlossen werden kann.

Ebenfalls durch die Rechtsprechung zu klären ist die Frage, ob die Abnahmefiktion durch Behauptung eines tatsächlich nicht bestehenden Mangels ausgeschlossen werden kann und dies u.U. sogar dann, wenn der Besteller weiß, dass der Mangel nicht existiert. Die Grenzen zum Rechtsmissbrauch müssen hier deutlich gezogen werden. Rechtsmissbräuchlich könnte es auch sein, wenn verschiedene Mängel nach und nach genannt werden um die Abnahme und Vergütungspflicht zu verzögern. Auch insoweit besteht aktuell Unklarheit über die Zulässigkeit eines solchen Vorgehens.

  • Teilkündigung

Das neue Werkvertragsrecht beinhaltet die Möglichkeit der Teilkündigung aus wichtigem Grund. Voraussetzung ist, dass das Projekt sich in abgrenzbare Teilleistungen aufgliedern lässt. Es stellt sich die Frage, ob diese Möglichkeit auch bei agilen Softwareprojekten besteht, also bei solchen Projekten, die gerade keinen festen Strukturen und Arbeitsschritten folgen und somit abgrenzbare Teilleistungen schwer erkennbar machen. Hier sind Praxis und Rechtsprechung gleichermaßen gefragt um praktikable Lösungen für eine „Abgrenzbarkeit“ und für die Erfassung messbarer Erfolge zu entwickeln ohne Programmierer zu stark bei der Entwicklung einzelfallbezogener Problemlösungen einzuschränken.

Bei der Feststellung des Leistungsstandes treffen den Auftraggeber Mitwirkungspflichten. Um diese selbstständig einklagbar zu machen, sollten sie eigenständig vertraglich geregelt werden, da das Gesetz hier wiederum nicht eindeutig ist.

Fazit

Das neue Kaufvertragsrecht bleibt in seinen Auswirkungen auf die IT-Wirtschaft übersichtlich. Dagegen beinhaltet das neue Werkvertragsrecht zahlreiche Neuerungen, die sich auf IT-Projekte auswirken. Wichtig ist eine detaillierte vertragliche Regelung aller relevanten Fristen und Vertragspflichten. Zur Vermeidung von Risiken durch die geänderten Regelungen sollten IT-Unternehmen darüber hinaus interne Fristen- und Abnahmemanagementsysteme einrichten.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.