Bad Zwischenahn, 16. Oktober 2018
Hallo ,
Es ist nun schon etwa viereinhalb Monate her, dass ich meinen letzten Newsletter veröffentlicht habe. Und die DSGVO ist heute den 145. Tag gültig. Ob Sie es glauben oder nicht, ich bekomme immer noch Anfragen von Unternehmen, dass sie - wegen der DSGVO jetzt einen Datenschutzbeauftragten benötigen. Da frage ich mich manchmal, was haben diese Unternehmen in den letzten fünf Monaten (oder eigentlich den letzten Jahren) gemacht? Warum wachen sie gerade heute auf?
Die Abmahnwelle ist ausgeblieben. Aber es gibt doch die eine oder andere "interessante" Abmahnung (s.u.). Das es einige "klevere" Geschäftemacher gibt, die mit möglichst wenige Aufwand möglichst viel Geld aus dem Gültigwerden der DSGVO herausholen wollen, zeigt u.a. die sogenannte "Datenschutzzentrale" (vgl. u.a. https://www.datenschutz.de/zweifelhafte-datenschutzauskunft-zentrale-am-werk/).
Nach dem EuGH-Urteil vom Juni dieses Jahres zu Facebook-Fanpages (vgl. https://dsgvo.expert/EuGHFBFP) hatte die Deutsche Datenschutzkonferenz (DSK) bereits kurz nach der Veröffentlichung eine Entschließung hierzu herausgegeben (https://www.datenschutzkonferenz-online.de/media/en/20180605_en_fb_fanpages.pdf). Drei Monate später - am 05. September 2018 - hat die DSK nun einen Beschluß hierzu verfasst (https://www.datenschutzkonferenz-online.de/media/dskb/20180905_dskb_facebook_fanpages.pdf). Eine wesentliche Aussage aus diesem Beschluß lautet:
"Ohne Vereinbarung [mit Facebook] nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig."
Was bedeutet dies nun für die Betreiber von Facebook-Fanpages? Zumindest sollten sie bei Facebook einen Vertrag zur Regelung der gemeinsamen Verantwortlichen nach Art. 26 DSGVO bei Facebook einfordern. Auch ein Deaktivieren der Facebook-Fanpages kommt in betracht. Im Anhang zum Beschluß hat die DSK acht Fragen aufgeführt, die sowohl von Facebook als auch von den Betreibern der Facebook-Fanpages beantwortet werden müssen. Meine ganz persönliche Empfehlung hierzu ist: Abschalten!
Relativ unbemerkt - auch von der interessierten Fachöffentlichkeit - hat das Verwaltungsgerichts Bayreuths am 08. Mai 2018 einen Beschluss zu "Facebook Custom Audience" gefasst. Dieser ist unter http://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2018-N-9586?AspxAutoDetectCookieSupport=1 zu finden. Kanppest mögliche Kurzfassung: Die Nutzung von "Facebook Custom Audience" ist nur mit Einwilligung der betroffenen Personen möglich. Auch wenn dieser Beschluss noch auf Basis des "alten Datenschutzrechts" (was für ein Begriff!) getroffen wurde, ist er auch auf die Zeit nach dem Gültigwerden der DSGVO übertragbar. Bevor ich mir jetzt die Mühe mache, den Beschluss mit eigenen Worten zu erläutern, mache ich es mir einfach und verweise auf einen lesenswerten Artikel zu diesem VG-Beschluss: https://www.delegedata.de/2018/05/verwaltungsgericht-facebook-custom-audience-mit-kundenliste-ist-ohne-einwilligung-unzulaessig/
Bei diesem Urteil ist zwar auch eine Veröffentlichung von Fotos bzw. Videos (Lichtbilder) einer betroffenen Person auf Facebook die Ursache des Rechtsstreits. Es geht aber nicht um Facebook selbst, sonder in erster Linie darum, ob Fotos von identifizierbaren Personen auch als personenbezogene Daten und deren Veröffentlichung als Verarbeitung solcher im Sinne des Art. 4 DSGVO zu sehen ist und von daher neben den Regelungen insbesondere der §§ 22 und 23 Kunsturhebergesetzes (https://www.gesetze-im-internet.de/kunsturhg/index.html) auch die entsprechenden Regelungen der DSGVO zu berücksichtigen sind. Das Landgericht Frankfurt am Main entscheidet in seinem Urteil vom 13. September 2018 (http://www.lareda.hessenrecht.hessen.de/lexsoft/default/hessenrecht_lareda.html#docid:8136994):
"Die Klägerin kann von dem Beklagten die Unterlassung der weiteren Veröffentlichung des streitgegenständlichen Videos
aus den §§ 823, 1004 BGB, 22 f. KUG bzw. Art. 6 Abs. 1 DSGVO, jeweils i.V.m. Art. 79 Abs. 1, 85 DSGVO verlangen."
Eigentlich ist das Urteil nicht sehr überraschend, aber trotzdem lesenswert.
Bei diesem Eilbeschluss des Landgerichts Würzburg vom 13. September 2018 (https://www.anwaltskanzlei-online.de/wp-content/uploads/2018/09/img-926112108.pdf) scheiden sich die Geister. Unstrittig ist, dass die abgemahnte Rechtsanwältin (ja, auch denen kann es passieren), auf ihrer Website eine siebenzeilige Datenschutzerklärung hatte, die nicht den Anforderungen der DSGVO entsprach. Unstrittig ist auch, dass bei Nutzung von Kontaktformularen (nicht erst seit dem Gültigwerden der DSGVO!) eine Transportverschlüsselung der Daten erforderlich ist, sprich, ein Kontaktformular zwingend über eine https-Seite angeboten werden muss (am besten ist es selbstverständlich die komplete Website über https anzubieten, das war aber nicht Gegenstand des Verfahrens). Verstöße gegen die Datenschutzgrundverordnung liegen (bzw. lagen - ich gehe mal davon aus, dass die Anwältin ihre Website inzwischen überarbeitet hat) also vor.
Strittig ist unter den Rechtsexperten, ob das Landgericht nicht doch eine mündliche Verhandlung hätte durchführen müssen und noch strittiger ist die Fragestellung, ob die DSGVO eine "gesetzlichen Vorschrift" ist, "die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln", sprich, ob eine Abmahnung auf Basis des § 3a UWG (https://www.gesetze-im-internet.de/uwg_2004/__3a.html). In einem Beitrag der Rechtsanwätel Löffel und Abrar, der ursprünglich am 02. Mai 2018 erstellte wurde und des öfteren aktualisiert wurde (https://loeffel-abrar.com/newsblog/sind-verstoesse-gegen-die-datenschutz-grundverordnung-wettbewerbswidrig/) wird diese Fragestellung ausführlich erörtert.
Und wo wir gerade bei offensichtlichen Verstößen gegen die DSGVO sind, stellt sich ja vielleicht die Frage, wann verjähren diese den? Bisher galt ja eine Verjährungsfrist von sechs Monaten. Wenn bis dahin die Aufsichtsbehörde nicht tätig geworden war, hatte das Unternehmen, die verantwortliche Stelle, Glück gehabt. Wenn Sie sich jetzt fragen, "Warum sollte sich an dieser Verjährungsfrist etwas ändern?" kann ich nur sagen, die Antwort findet sich auf Umwegen im § 31 Ordnungswidrigkeitengesetz (https://www.gesetze-im-internet.de/owig_1968/__31.html). Dort ist für Ordnungswidrigkeiten, "die mit Geldbuße im Höchstmaß von mehr als fünfzehntausend Euro bedroht sind", eine Verjährungsfrist von drei Jahren angegeben, wobei die Dreijahresfrist mit dem Begehen der Ordnungswidrigkeit beginnt. Diese Regelung ist anzuwenden, weil in der DGSVO zur Verjährung der Ordnungswidrigkeiten nichts geregelt ist, und das BDSG für die Ahnung von Verstößen nach Art 83 DSGVO allgemein auf das Ordnungswidrigkeitengesetz verweist.
Von daher kann es sinnvoll sein, Unterlagen, die die Einhaltung der DSGVO dokumentieren, für drei Jahre aufzubewahren. Dazu gehört dann auch der Nachweis, dass Auskunftsersuchen beantwortet wurden.
Seit einiger Zeit hat die deutsche Datenschutzkonferenz (DSK) eine eigene Website, die unter https://www.datenschutzkonferenz-online.de zu finden ist. Hier sind u.a. folgende Dokuemente zu finden:
Der sogenannte "Düsseldorfer Kreis" ist nun der "Arbeitskreis Wirtschaft" der DSK. Seine Beschlüsse sind unter https://www.datenschutzkonferenz-online.de/beschluesse-dk.html zu finden. Ebenso sind Protokolle und Pressemitteilungen der DSK als auch Beschlüsse des Europäischen Datenschutzausschusses (EDSA) sowie Leitlinien des Vorgängergremiums, der Art-29-Gruppe zu finden. Ein Besuch dieser Website lohnt sich also immer wieder mal.
Es ist ja kein Geheimnis, dass ich bei diversen Veranstaltern und insbesondere beim RKW Bayern als Referent für Datenschutzseminare tätig bin. Die Seminare des RKW-Bayern, bei denen ich der Referent bin, finden Sie unter https://dsgvo.expert/RKW-BY. Dort gibt es halbtägige Workshops zu den Thmen "Umsetzung der Informationspflichten aus Art. 13/14 und 21", "Auftragsverarbeitung (Art. 28 DSGVO)" und "Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) sowei ein eintägiges Seminar "Datenschutz für IT-ler_innen und ein Intensivseminar "Datenschutz-Management" (3 Tage) als auch ein Aufbauseminar "Datenschutzbeauftragte/r" (2 Tage). Schauen Sie mal hinein, wenn es in Ihrem Unternehmen noch Fortbildungsbedarf gibt. Alle Seminare werden von mir auch als Inhouse-Seminare angeboten.
Ich glaube so langsam aber sicher, es reicht für dieses Mal. Ich verspreche aber , dass der nächste Newsletter nicht erst in viereinhalb Monaten erscheint.
Kohleausstieg selbst in die Hand nehmen: Jetzt weg von der Kohle zu ökologischem Strom wechseln: http://links.naturstrom.de/lrou (Hinweis: Für jede*n, die/der über diesen Link zu Naturstrom wechselt, gibt es 30,-- € Startguthaben, zusätzlich gibt es 30,-- € für den BUND und - ja ich gebe es zu - auch 30,-- € Rechnungsgutschrift für mich).
Und wenn Sie Ihr nächsten Hotel über den Kurzlink http://hzbv.de bestellen, dann würde mich das auch freuen (keine Sorge, sie werden auf eine verschlüsselte Seite von Hotel.de weitergeleitet).
Viele Grüße,
Werner Hülsmann
P.S.: Wenn Sie diesen Newsletter weiterempfehlen wollen,
reichen Sie bitte diesen Link weiter: https://dsgvo.expert/NEWSL
_________________________________________________
Um Ihre Newsletter-Einstellungen zu ändern oder Ihre Daten zu berichtigen, bitte hier klicken. - Um Ihre Daten zu Auskunftszwecken gemäß Art. 15 der EU-Datenschutz-Grundverordnung (DSGVO) oder zum Zwecke der Datenübertragbarkeit gemäß Art. 20 DSGVO herunterzuladen, bitte hier klicken - Sollten Sie Ihre Einwilligung widerrufen und sich wieder abmelden wollen, dann bitte hier klicken - Die Datenschutzerklärung finden Sie hier
-----------------------------------------------
Meine Infoseite zur Europäischen Datenschutz- grundverordnung (DSGVO): <https://dsgvo.expert> ----------------------------------------------- -- Datenschutzwissen.de - Dipl. Inform. Werner Hülsmann - Datenschutzgutachter - Datenschutzexperte - * Münchener Str. 101 - Gebäude 1 / 1. OG - D-85737 Ismaning Tel.: 089 / 51 30 569-7, FAX: -8 * Pappelhof 12 - D-14478 Potsdam Tel. 030 / 22 43 84 36 Mobil: 0177 / 28 28 681 E-Mail: wh@datenschutzwissen.de - http://www.datenschutzwissen.de