Kategorie: IT-Recht

DSGVO-Bußgeld gegen Beamten und somit auch gegen Arbeitnehmer?

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat erstmals ein Bußgeld gegen einen Polizeibeamten verhängt. Und dieses Bußgeld zeigt, dass auch Arbeitnehmer für DSGVO-Verstöße mit einem Bußgeld sanktioniert werden können.

Sachverhalt

Ein Polizeibeamter hatte über seine dienstliche Benutzerkennung eine Halterabfrage beim Kraftfahrbundesamt und anschließend eine Anfrage bei der Bundesnetzagentur getätigt, um an die Handynummer einer privaten Zufallsbekannten zu kommen. Diese verwendete er dann, um sie zu kontaktieren.

Bußgeld der Aufsichtsbehörde

Die Aufsichtsbehörde verhängte gegen den Polizisten ein Bußgeld in Höhe von 1.400 € wegen Verstoßes gegen die DSGVO. Die Entscheidung ist aus zwei Gründen interessant: Normalerweise ist Adressat eines DSGVO-Bußgeldes immer der Arbeitgeber, nicht der Arbeitnehmer. Und öffentliche Stellen in Deutschland müssen sich zwar an das Datenschutzrecht halten, erhalten aber kein Bußgeld, da aufgrund gesetzlicher Regelungen (in Baden-Württemberg: § 28 LDSG) ein solches ausgeschlossen ist. Man möchte also nicht, dass öffentliche Stellen Bußgelder zahlen, die dann sozusagen von der linken in die rechte Tasche des Staates wandern.

Bußgeld für den Arbeitnehmer

Warum erhielt der Polizist das Bußgeld? Die meisten Menschen denken, ein Bußgeld treffe den Arbeitgeber, nicht den Arbeitnehmer. Dies ist grundsätzlich auch richtig, wenn ein Arbeitnehmer einen Datenschutzverstoß begeht im Rahmen der Datenverarbeitung des Arbeitgebers. In diesem Fall ist der Arbeitgeber grundsätzlich der Verantwortliche, den das Bußgeld trifft.… Weiterlesen

Duty-Free-Shop und die Boardkarte

Wer in einem Duty-Free-Shop einkauft, muss seine Boardkarte vorzeigen; diese wird dann gescannt. Ein Datenschützer, der in den Urlaub fliegen will, hat dann ein Problem: Er sucht nach der Rechtsgrundlage für die Datenverarbeitung.

Die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) scheidet aus: Es ist für den Kauf einer Zahnbürste nicht erforderlich, Flugdaten zu erfassen.

In Betracht kämen noch die berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO). Solche sind aber nicht ersichtlich und müssten ohnehin von dem Shopbetreiber gegenüber dem Käufer dargelegt und eine Interessenabwägung vorgenommen werden. Es müsste also gemäß Art. 13 DSGVO informiert und auf das Widerspruchsrecht (Art. 21 DSGVO) hingewiesen werden.

Auch eine Einwilligung, die ja immer freiwillig sein muss, liegt nicht vor. Dies sieht man daran, wenn man die Boardkarte nicht zeigt: Man bekommt dann keine Zahnbürste.

Es ist aber einfacher: Rechtsgrundlage ist die rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO). Im Duty-Free-Shop kommt man ggf. in den Genuss von umsatzsteuer- und/oder zollfreier Waren. Diese sind abhängig vom Reiseziel. Die Duty-Free-Shop-Betreiber sind verpflichtet, gegenüber den Finanzämtern bestimmte Nachweispflichten zu erfüllen.

Was allerdings auffällt: Eine Information über die Datenverarbeitung nach Art. 13 DSGVO erfolgt nicht.… Weiterlesen

EuGH zur Frage der Anwendbarkeit des Datenschutzrechts auf private YouTube-Videos

Der EuGH hat am 14. Februar 2019 ein Urteil gefällt, welches zwar noch unter der alten Datenschutzrichtlinie (Datenschutz-RL) spielte, allerdings auch für die Datenschutzgrundverordnung Geltung haben dürfe (Az. C-345/17).

Der Fall spielte in Lettland. Dort hatte ein Mann seine Befragung zu einer Ordnungswidrigkeit auf einer Polizeidienststelle gefilmt und anschließend auf YouTube veröffentlicht.

Der Fall warf zwei Fragen auf:

  1. Ist die Datenschutz-RL auch hier anwendbar, obwohl es sich um einen Privatmann und einen privaten Account handelt oder greift hier die Haushaltsausnahme (Art. 3 Abs. 2 Datenschutz-RL), wonach Datenschutzrecht keine Anwendung findet, wenn die Verarbeitung von natürlichen Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird?
  2. Kann sich der Mann auf das Medienprivileg (Art. 9 Datenschutz-RL) berufen?

Der EuGH stellte wenig überraschend nochmals klar, dass bereits das Filmen eine Verarbeitung personenbezogener Daten darstelle, ebenso das Veröffentlichen des Films auf YouTube.

Die Haushaltsausnahme greife nicht, da die durch die Veröffentlichung auf YouTube eine Zugänglichmachung für eine unbestimmte Vielzahl von Personen erfolge. Der private bzw. familiäre Bereich werde damit überschritten.

Das Medienprivileg greife nur, wenn eine Veröffentlichung ausschließlich zum Ziel hat, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten. Ob dies vorliegt, müssen die Instanzgerichte klären.

Da beide Vorschriften ähnlich in der DSGVO geregelt sind (Haushaltsausnahme: Art.Weiterlesen

Kein Hygieneproblem beim Widerruf von Matratzen?

Der Bundesgerichtshof hat dem EuGH die Frage vorgelegt, ob ein Widerrufsrecht auch bei Matratzen bestehe oder ob die Hygieneausnahme des Art. 16 lit. e) der Verbraucherrechterichtlinie (VRRL, RL 2011/83/EU) greife (BGH, Vorlagebeschl. v. 15.11.2017 – VIII ZR 194/16). Nun liegen die Schlussanträge des Generalanwalts vor.

Im deutschen Recht findet sich die Umsetzung der Ausnahme in § 312g Abs. 2 Nr. 3 BGB:

§ 312g Widerrufsrecht
(1) (…)

(2) Das Widerrufsrecht besteht, soweit die Parteien nichts anderes vereinbart haben, nicht bei folgenden Verträgen:

(…)

3.Verträge zur Lieferung versiegelter Waren, die aus Gründen des Gesundheitsschutzes oder der Hygiene nicht zur Rückgabe geeignet sind, wenn ihre Versiegelung nach der Lieferung entfernt wurde,

Im vorliegenden Fall hatte der Kläger auf Rückzahlung des Kaufpreises geklagt, nachdem er eine Matratze in einem Online-Shop bestellt und dann den Vertrag widerrufen hatte. Der Shopbetreiber hatte sich auf die Ausnahme gestützt, da die Matratze versiegelt gewesen war und das Siegel entfernt wurde. Die Ausnahme war auch in der Widerrufsbelehrung und den AGB aufgeführt. Das Amtsgericht und das Landgericht Mainz hatten dem Kläger recht gegeben, die Ausnahme greife nicht, da die Matratze kein Hygieneartikel sei, der von der Vorschrift umfasst sei.

Nun liegen die Schlussanträge des Generalanwalts vor.… Weiterlesen

Werbeanzeige im Freemail-Postfach keine unzulässige Werbung

Das OLG Nürnberg hat entschieden, dass eine Werbeanzeige im Posteingang eines kostenlosen E-Mail-Dienstes keine unzumutbare Belästigung im Sinne von § 7 Abs. 1 S. 1 UWG darstellt (Urt. v. 15.01.2019 – 3 U 724/18).

Anders hatte es noch das LG Nürnberg-Fürth (Urt. v. 22.03.2018 – 3 HK O 4495/17) gesehen: Da die Werbeanzeige wie eine E-Mail im Posteingang, eingereiht unter den E-Mails, dargestellt werde, seien die Voraussetzungen des Anspruchs erfüllt.

Das OLG sah die Voraussetzung der elektronischen Post für nicht erfüllt und greift auf die Definition der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) zurück:

„Aus der Gesamtschau der in der Definition von Art. 2 S. 2 lit. h Datenschutzrichtlinie verwendeten Begriffe „Post“, „Kommunikationsnetz“ und „Verschicken“ ergibt sich, dass elektronische Post nur bei der Versendung einer Nachricht von einem Nutzer an einen anderen Nutzer durch ein Dienstleistungsunternehmen (wie beispielsweise ein E-Mail-Provider), welches die elektronische Beförderung an die elektronische „Anschrift“ (wie beispielsweise eine E-Mail-Adresse) des zweiten Nutzers übernimmt, vorliegt. Diese Bedeutung wird bestätigt durch Erwägungsgrund 44, der von einem elektronischen Postsystem – welches begriffsnotwendig die Möglichkeit von Kommunikation voraussetzt – spricht. Auch aus den Erwägungsgründen 1, 12 und 40 sowie Art. 1 Abs. 1 Datenschutzrichtlinie ergibt sich, dass diese Regelungen dem Schutz der Privatsphäre der Nutzer im Bereich der elektronischen Kommunikation dienen sollen (vgl.

Weiterlesen

BGH: Kundenzufriedenheits-Umfrage ist Werbung

Der Versand von E-Mail-Newslettern wurde die letzten Monate fälschlicherweise immer im Rahmen der neu anwendbaren Datenschutzgrundverordnung (DSGVO) problematisiert. Dabei ist dies weniger ein Problem des Datenschutzrechts als ein Problem des Wettbewerbsrechts – die Direktwerbung ist als berechtigtes Interesse im Rahmen des Art 6 Abs. 1. S. 1 lit f) DSGVO anerkannt, wie Erwägungsgrund 47 zeigt. § 7 UWG stuft aber Werbung unter Verwendung elektronischer Post ohne Einwilligung als unzumutbare Belästigung und damit als unlautere Handlung ein.

Eine aktuelle Entscheidung hierzu hat nun der Bundesgerichtshof getroffen (BGH, Urteil vom 10. Juli 2018 – VI ZR 225/17): Danach ist auch dann der Tatbestand der Werbung erfüllt, wenn zwar per E-Mail eine Rechnung übermittelt wird, in dieser E-Mail aber zugleich eine Kundenzufriedenheits-Umfrage durchgeführt wird. Dies zeigt nochmals, wie schnell man als Versender von E-Mails unter den Begriff der Werbung fällt. Hier sollte man genau aufpassen, um sich nicht Unterlassungs- und Aufwendungsersatzansprüchen auszusetzen.

Der BGH stellt in dieser Entscheidung übrigens auch noch einmal etwas klar, was in der Praxis oft falsch gemacht wird: Der Empfänger einer solchen Werbung kann seine Ansprüche nicht auf das UWG stützen, da er weder Mitbewerber noch Verbraucherschutzverband nach dem Unterlassungsklagensgesetz ist. Sein Anspruch ergibt sich allein aus dem Allgemeinen Persönlichkeitsrecht im Rahmen des § 823 Abs.Weiterlesen

OLG Frankfurt zur Verlinkung von Gesundheitsdaten durch Google

Jetzt ergehen die ersten Urteile zur neuen Datenschutzgrundverordnung (DSGVO). Auch wenn die Abmahnungen noch ausgeblieben sind, was vermutlich daran liegt, dass erstens ein konkretes Wettbewerbsverhältnis vorliegen muss und zweitens auch die Abmahner aufgrund der noch bestehenden Rechtsunsicherheit in vielen Punkten keine unberechtigte Abmahnung aussprechen möchten (diese würde nach einem Teil der Rechtsprechung einen Kostenerstattungsanspruch des Abgemahnten auslösen), kommt der ein oder andere datenschutzrechtliche Fall nun trotzdem vor die Gerichte.

Überraschend hat das Oberlandesgericht Frankfurt am Main (OLG Frankfurt am Main, Urt. v. 06.09.2018, Az. 16 U 193/17, zur Pressemitteilung) entschieden, dass durch Google verlinkte Gesundheitsdaten nicht gelöscht werden müssen, wenn sich im Rahmen einer Interessenabwägung ergebe, dass das Interesse der Presse an der Berichterstattung überwiegt. Hintergrund waren Berichte in Online-Medien über die Krankschreibung des Geschäftsführers einer bekannteren gemeinnützigen Organisation, welche über Google auffindbar waren. Das OLG Frankfurt hat entschieden, dass Google sie nicht löschen muss.

Die Entscheidung ist insofern interessant, als an die Verarbeitung von Gesundheitsdaten (und dazu gehört schon, ob jemand krank ist oder nicht, ohne die Krankheit näher zu bezeichnen), besonders hohe Anforderungen durch die DSGVO gestellt werden. Art. 9 DSGVO enthält hier einen abschließenden Katalog von gesetzlichen Erlaubnistatbeständen für die Verarbeitung. Ist hier keiner dabei, dürfen die Daten nicht verarbeitet werden.… Weiterlesen

EuGH zum Widerrufsrecht auf einer Messe

Wir hatten es an dieser Stelle schon zweimal besprochen (hier und hier), jetzt hat der EuGH entschieden (EuGH, Urteil v. 7. August 2018) :

Ob Verbraucher bei Käufen auf einem Messestand ein Widerrufsrecht haben, hängt vom Erscheinungsbild des Messestandes ab. Es geht, auf den Punkt gebracht, um die Frage, ob der Verbraucher damit rechnen konnte, dass ein Unternehmer dort seine Tätigkeiten ausübt und ihn anspricht, um einen Vertrag zu schließen. Konnte er damit rechnen, handelt es sich nicht um einen außerhalb von Geschäftsräumen geschlossenen Vertrag im Sinne von § 312b BGB. Dann gibt es auch kein Widerrufsrecht.

Bei dem Merkmal “dauerhafte Ausübung der Geschäftstätigkeit” und “gewöhnliche Ausübung der Geschäftstätigkeit” (beide notwendig für das Vorliegen eines Geschäftsraumes, vgl. § 312b Abs. 2 BGB, Art. 2 Nr. 9 VRRL [RL 2011/83/EU) komme es laut EuGH gerade nicht darauf an, wie oft ein Unternehmer auf einer Messe ist. Dies würde ja auch zu dem absurden Ergebnis führen, dass auf dem Messestand links ein Widerrufsrecht besteht, weil der Unternehmer häufig auf Messen ist und auf dem Messestand rechts daneben keines, weil der Unternehmer vielleicht nur einmal im Jahr einen Messestand hat. Entscheidend sei also nicht, wie häufig der Unternehmer einen Messestand hat, sondern wie sein Stand aussieht: Ganz im Sinne des Verbraucherschutzes, welcher darauf abstellt, ob der Verbraucher mit einem Vertragsschluss rechnen musste oder nicht.… Weiterlesen

Anwaltsvertrag als Fernabsatzvertrag

Wenig überraschend hat der BGH in einem Urteil den Anwaltsvertrag als Fernabsatzvertrag im Sinne des § 312c BGB qualifiziert, wenn er mit Fernkommunikationsmitteln abgeschlossen wurde (BGH, Urt. v. 23.11.2017 – Az. IX ZR 204/16).

Streitig war der zweite Teil des Absatzes 1 des § 312c BGB:

Fernabsatzverträge sind Verträge, bei denen der Unternehmer oder eine in seinem Namen oder Auftrag handelnde Person und der Verbraucher für die Vertragsverhandlungen und den Vertragsschluss ausschließlich Fernkommunikationsmittel verwenden, es sei denn, dass der Vertragsschluss nicht im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems erfolgt.

In der Literatur wurde zum Teil die – meines Erachtens etwas abwegige -Meinung vertreten, dass aufgrund der besonderen Vertrauensbeziehung des Rechtsanwalts zu seinem Mandanten niemals ein für den Fernabsatz organisiertes Vertriebs- oder Dienstleistungssystem vorliegen kann. Dem hat der BGH in der Entscheidung eine klare Absage erteilt.

Er hat aber auch deutlich gemacht, dass die Formulierung „es sei denn“ eine Vermutungswirkung aufstellt: Trägt der Anwalt also nichts vor, was gegen ein solches organisiertes Vertriebs- oder Dienstleistungssystem spricht und kann er dies nicht beweisen, greift der Ausschluss nicht. Dies dürfte nur sehr schwer zu erreichen sein. Dem Rechtsanwalt in dem Verfahren gelang es nicht.… Weiterlesen

CLOUD Act: Das Aus für den Datenschutz?

Jahrelang stritt Microsoft gegen die US-Regierung, um zu verhindern, dass die Regierung den Konzern zwingt, Daten herauszugeben, die auf Servern außerhalb der USA gespeichert werden. Eigentlich sollte der Supreme Court darüber entscheiden und dieses erwartete Urteil wurde bereits als „Entscheidung über die Zukunft unserer Privatsphäre“ bezeichnet (so etwa SPIEGEL ONLINE). Nun ist die US-Regierung durch ein Gesetz namens CLOUD Act (Clarifying Lawful Overseas Use of Data Act) dem Supreme Court zuvorgekommen: Dieser erklärte kurzerhand den Rechtsstreit für erledigt. Das Gesetz hat weitreichende Auswirkungen auf den Zugriff der US-Behörden auf Daten, welche außerhalb der USA gespeichert werden. Besonders prekär ist dabei, dass das Gesetz als Annex zum Haushaltsgesetz durchgewunken wurde. Eine Debatte darüber fand kaum statt.

Das Gesetz sieht den ungehinderten Zugriff der US-Behörden auf Daten außerhalb der USA vor, wenn US-Unternehmen diese Daten kontrollieren. Damit wird genau das wahr, was Microsoft verhindern wollte. Das Gesetz sieht weiter die Möglichkeit bilateraler Abkommen vor, welche den Datenzugriff untereinander regeln. Nur mit einem solchen Abkommen wird es möglich sein, Rechtsmittel und -kontrollen für Nicht-US-Bürger zu implementieren. Die EU hat, obwohl sie sich massiv gegen den Datenzugriff der US-Behörden auf europäische Server in dem Microsoft-Verfahren eingesetzt hatte, bereits Interesse an einem solchen Abkommen signalisiert, ja einen ähnlichen Vorschlag sogar selbst unterbreitet.… Weiterlesen