BGH: Kundenzufriedenheits-Umfrage ist Werbung

Der Versand von E-Mail-Newslettern wurde die letzten Monate fälschlicherweise immer im Rahmen der neu anwendbaren Datenschutzgrundverordnung (DSGVO) problematisiert. Dabei ist dies weniger ein Problem des Datenschutzrechts als ein Problem des Wettbewerbsrechts – die Direktwerbung ist als berechtigtes Interesse im Rahmen des Art 6 Abs. 1. S. 1 lit f) DSGVO anerkannt, wie Erwägungsgrund 47 zeigt. § 7 UWG stuft aber Werbung unter Verwendung elektronischer Post ohne Einwilligung als unzumutbare Belästigung und damit als unlautere Handlung ein.

Eine aktuelle Entscheidung hierzu hat nun der Bundesgerichtshof getroffen (BGH, Urteil vom 10. Juli 2018 – VI ZR 225/17): Danach ist auch dann der Tatbestand der Werbung erfüllt, wenn zwar per E-Mail eine Rechnung übermittelt wird, in dieser E-Mail aber zugleich eine Kundenzufriedenheits-Umfrage durchgeführt wird. Dies zeigt nochmals, wie schnell man als Versender von E-Mails unter den Begriff der Werbung fällt. Hier sollte man genau aufpassen, um sich nicht Unterlassungs- und Aufwendungsersatzansprüchen auszusetzen.

Der BGH stellt in dieser Entscheidung übrigens auch noch einmal etwas klar, was in der Praxis oft falsch gemacht wird: Der Empfänger einer solchen Werbung kann seine Ansprüche nicht auf das UWG stützen, da er weder Mitbewerber noch Verbraucherschutzverband nach dem Unterlassungsklagensgesetz ist. Sein Anspruch ergibt sich allein aus dem Allgemeinen Persönlichkeitsrecht im Rahmen des § 823 Abs.Weiterlesen

OLG Frankfurt zur Verlinkung von Gesundheitsdaten durch Google

Jetzt ergehen die ersten Urteile zur neuen Datenschutzgrundverordnung (DSGVO). Auch wenn die Abmahnungen noch ausgeblieben sind, was vermutlich daran liegt, dass erstens ein konkretes Wettbewerbsverhältnis vorliegen muss und zweitens auch die Abmahner aufgrund der noch bestehenden Rechtsunsicherheit in vielen Punkten keine unberechtigte Abmahnung aussprechen möchten (diese würde nach einem Teil der Rechtsprechung einen Kostenerstattungsanspruch des Abgemahnten auslösen), kommt der ein oder andere datenschutzrechtliche Fall nun trotzdem vor die Gerichte.

Überraschend hat das Oberlandesgericht Frankfurt am Main (OLG Frankfurt am Main, Urt. v. 06.09.2018, Az. 16 U 193/17, zur Pressemitteilung) entschieden, dass durch Google verlinkte Gesundheitsdaten nicht gelöscht werden müssen, wenn sich im Rahmen einer Interessenabwägung ergebe, dass das Interesse der Presse an der Berichterstattung überwiegt. Hintergrund waren Berichte in Online-Medien über die Krankschreibung des Geschäftsführers einer bekannteren gemeinnützigen Organisation, welche über Google auffindbar waren. Das OLG Frankfurt hat entschieden, dass Google sie nicht löschen muss.

Die Entscheidung ist insofern interessant, als an die Verarbeitung von Gesundheitsdaten (und dazu gehört schon, ob jemand krank ist oder nicht, ohne die Krankheit näher zu bezeichnen), besonders hohe Anforderungen durch die DSGVO gestellt werden. Art. 9 DSGVO enthält hier einen abschließenden Katalog von gesetzlichen Erlaubnistatbeständen für die Verarbeitung. Ist hier keiner dabei, dürfen die Daten nicht verarbeitet werden.… Weiterlesen

CLOUD Act: Das Aus für den Datenschutz?

Jahrelang stritt Microsoft gegen die US-Regierung, um zu verhindern, dass die Regierung den Konzern zwingt, Daten herauszugeben, die auf Servern außerhalb der USA gespeichert werden. Eigentlich sollte der Supreme Court darüber entscheiden und dieses erwartete Urteil wurde bereits als „Entscheidung über die Zukunft unserer Privatsphäre“ bezeichnet (so etwa SPIEGEL ONLINE). Nun ist die US-Regierung durch ein Gesetz namens CLOUD Act (Clarifying Lawful Overseas Use of Data Act) dem Supreme Court zuvorgekommen: Dieser erklärte kurzerhand den Rechtsstreit für erledigt. Das Gesetz hat weitreichende Auswirkungen auf den Zugriff der US-Behörden auf Daten, welche außerhalb der USA gespeichert werden. Besonders prekär ist dabei, dass das Gesetz als Annex zum Haushaltsgesetz durchgewunken wurde. Eine Debatte darüber fand kaum statt.

Das Gesetz sieht den ungehinderten Zugriff der US-Behörden auf Daten außerhalb der USA vor, wenn US-Unternehmen diese Daten kontrollieren. Damit wird genau das wahr, was Microsoft verhindern wollte. Das Gesetz sieht weiter die Möglichkeit bilateraler Abkommen vor, welche den Datenzugriff untereinander regeln. Nur mit einem solchen Abkommen wird es möglich sein, Rechtsmittel und -kontrollen für Nicht-US-Bürger zu implementieren. Die EU hat, obwohl sie sich massiv gegen den Datenzugriff der US-Behörden auf europäische Server in dem Microsoft-Verfahren eingesetzt hatte, bereits Interesse an einem solchen Abkommen signalisiert, ja einen ähnlichen Vorschlag sogar selbst unterbreitet.… Weiterlesen

Datenschutzbeauftragter: Ist der „Beschäftigte“ „beschäftigt“?

Große Unsicherheit besteht derzeit darüber, ab wie vielen Personen im Unternehmen ein Datenschutzbeauftragter bestellt werden muss.

Nach Art. 38 BDSG-neu müssen alle Unternehmen bzw. Sonstigen Verantwortlichen einen Datenschutzbeauftragten bestellen, wenn sie “in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen”.

Hier der Art. 38 BDSG-neu im Wortlaut:

§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen
(1) 1 Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 2Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Die Regel scheint klar: Wenn 10 Personen erreicht sind, die ständig automatisiert Daten verarbeiten, so benötigt man einen Datenschutzbeauftragten. Aber wen zählt man mit? Dies ist weniger deutlich. Eines ist klar: Im Gegensatz zu der bisherigen Regelung des § 4f BDSG wird nicht mehr danach unterschieden, ob die Daten automatisiert oder “auf andere Weise” verarbeitet werden.… Weiterlesen

DSGVO: Handreichung des BayLDA für kleine Unternehmen und Vereine

64 Tage: So lange haben Unternehmen noch Zeit, sich auf die Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) vorzubereiten. Trotz der langen Übergangszeit von zwei Jahren sind viele Unternehmen jetzt erst dabei, die entsprechenden Maßnahmen zu ergreifen. Dies zeigt auch die anwaltliche Praxis von uns Datenschutzanwälte, die wir uns derzeit vor Anfragen nicht mehr „retten“ können.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun Handreichungen für kleine Unternehmen und Vereine veröffentlicht, die diese bei der Umsetzung der Datenschutzmaßnahmen unterstützen sollen.

Arztpraxen

Sie enthalten auch überraschende Äußerungen der Datenschutzbehörde: So soll in Arztpraxen mit weniger als 10 Mitarbeitern, die ständig automatisiert Daten verarbeiten, nach Ansicht des BayLDA kein Datenschutzbeauftragter notwendig sein. Darüber kann man aber trefflich streiten: Art. 37 DSGVO sieht vor, dass ein Datenschutzbeauftragter auch dann bestellt werden soll, wenn

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Unklar ist, was unter Kerntätigkeit zu verstehen ist. Bei Ärzten ist zwar die Kerntätigkeit die Behandlung von Patienten, man hätte aber durchaus argumentieren können, dass im Rahmen dieser Behandlung ja auch die besonderen Kategorien personenbezogener Daten in Form von Gesundheitsdaten anfallen, sodass sie auch bei weniger als 10 Personen unter die Verpflichtung zur Bestellung eines Datenschutzbeauftragten fallen.… Weiterlesen

Neue Regelungen für Berufsgeheimnisträger in Kraft getreten

Am heutigen Tag tritt das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen in Kraft. Die Verkündung im Bundesgesetzblatt erfolgte gestern.

Damit können Berufsgeheimnisträger nun Dienstleister einbeziehen, was erstmals ein rechtskonformes Outsourcing und auch die Nutzung von Cloud-Diensten ermöglicht, sofern der Dienstleister auf die Verschwiegenheit verpflichtet wird. Dazu werden insbesondere § 203 StGB sowie die einzelnen Berufsordnungen geändert. Für Rechtsanwälte wurde der neue § 43e BRAO geschaffen.

Nähere Informationen finden Sie in meinen früheren Posts hier, hier und hier.

Sehr streitig wird noch werden, was unter Dienstleistungen zu verstehen ist, die unmittelbar einem Mandat dienen (§ 43e Abs. 5 BRAO). Hierzu reicht die Verpflichtung zur Verschwiegenheit nämlich nicht aus, sondern es bedarf zusätzlich der Einwilligung des Mandanten. In der Gesetzesbegründung sind die Beauftragung eines Sachverständigen, eines Detektivs oder eines Übersetzers genannt (BT-Drucks.  18/11936, S. 36).  Entscheidend dafür, ob die Dienstleistung unmittelbar einem Mandat dient, soll laut Gesetzesbegründung nicht die Vertragsgestaltung sein, sondern die Frage, ob für die jeweilige Dienstleistung, die in Anspruch genommen werden soll, ein besonderer Bedarf im einzelnen Mandat besteht. Hier sehe ich noch Unklarheiten mit der Folge, dass trotz der Neufassung eine gewisse Rechtsunsicherheit bestehen bleibt.… Weiterlesen

Datenschützer kritisiert unverschlüsselte E-Mails bei Berufsgeheimnisträgern

In seinem 8. Tätigkeitsbericht für den Landtag kritisiert der sächsische Datenschutzbeauftragte Andreas Schurig, dass die viele Rechtsanwälte unverschlüsselt über E-Mail kommunizieren. Er begründet dies mit „Zeit und Kostendruck“ (8. Tätigkeitsbericht, Ziffer 8.13, Seite 8, zum Bericht bei heise.de).

Weiter schreibt er:

Ich gehe daher davon aus bzw. fordere dies gegebenenfalls, dass Rechtsanwälte ihre EMails zukünftig verschlüsseln oder aber ihre Schriftsätze per Fax und/oder Briefpost versenden.

Hier kann ich nur widersprechen: Es liegt nicht daran, dass wir Rechtsanwälte nicht verschlüsseln möchten, sondern dass zum Verschlüsseln bei der asymmetrischen Verschlüsselung immer zwei Personen notwendig sind. Der Mandant muss also auch etwa PGP/GPG einsetzen. Obwohl dies kostenlos möglich ist, ist anscheinend die technische Hürde noch so hoch, dass Mandanten dies nicht wünschen. Selbst in meinem IT-Recht-Umfeld, in dem die meisten Mandanten technisch versiert sind.

Ich biete den Mandanten immer an, verschlüsselt zu kommunizieren, allerdings ist ihnen dies meist zu umständlich. Wirklich daran ändern wird sich nur etwas, wenn die PGP-/GPG-Verschlüsselung in der Bevölkerung mehr Verbreitung findet. Initiativen, wie sie etwa United Internet (GMX, Web.de), Mailbox.org oder Posteo mit der Implementation von PGP im Webmailer mit dem Plugin Mailvelope oder auch ProtonMail ergreifen, sind sehr wichtig, haben aber zumindest meiner Erfahrung nach noch nicht zu einem Umdenken bei den meisten Internetnutzern geführt.… Weiterlesen

Neue Regeln für Berufsgeheimnisträger passieren Bundesrat

Am Freitag, 22. September 2017, hat nach dem Bundestag auch der Bundesrat den Änderungen des § 203 StGB zugestimmt (Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen).

Damit werden die Änderungen, die auch Berufsgeheimnisträgern wie Rechtsanwälten oder Ärzten ein Outsourcing ermöglichen, nach der Prüfung durch den Bundespräsidenten vermutlich noch diesen Herbst in Kraft treten. Eine Regelung, die überfällig war, da sie Berufsgeheimnisträgern einen zeitgemäßen IT-Einsatz ermöglicht.

Über den Gesetzentwurf hatte ich hier berichtet.… Weiterlesen

Neue Regeln für Berufsgeheimnisträger

Im Bundestag befindet sich aktuell ein Gesetzentwurf, der es Berufsgeheimnisträgern wie Rechtsanwälten oder Ärzten ermöglichen soll, IT-Dienstleister einzuschalten, ohne dass deren Einschaltung den Straftatbestand des § 203 StGB erfüllt.

Geplant ist eine Änderung des § 203 StGB und der BRAO. Die IT-Dienstleister sollen einerseits in den Straftatbestand des § 203 StGB einbezogen werden und andererseits soll kein Offenbaren vorliegen, wenn Geheimnissen IT-Dienstleistern zugänglich gemacht werden. Notwendig wird eine Verpflichtung der Dienstleister zur Verschwiegenheit sein.

Ausländische Dienstleister dürfen nur dann in Anspruch genommen werden, wenn der Schutz von Geheimnissen demjenigen im Inland „vergleichbar“ ist (§ 43e Abs. 4 BRAO-E).

Der Entwurf ist dringend notwendig, da die meisten Berufsgeheimnisträger kaum ohne externe IT-Dienstleister auskommen dürften und sich diese derzeit nicht nur in einem rechtlichen Grau- sondern bereits schwarzen Bereich befinden dürften.

Den Gesetzentwurf finden Sie hier.… Weiterlesen