Lüneburg, 25. Oktober 2018

Hallo ,

nach nur neun Tagen erhalten Sie meinen nächsten Newsletter. Und dies nicht, weil die DSGVO heute fünf Monate gültig ist. Sondern es gibt  ja wieder vieles zu berichten.

So gibt es ein weiteres Urteil zum Thema Abmahnungen. Wie die Betreffzeile schon vermuten läßt, hat nun ein Landgericht entschieden, dass Verstöße gegen Art. 13 und 14 nicht abmahnfähig sind (s.u.). Und ja, Sie haben richtig gelesen, es gibt nicht nur ein 2. DSAnpUG sondern auch ein DSUAnpaG (inoffizielle Abkürzung). Und beide haben es in sich.

Die Themen heute:

  1. Klingel-Schilda
  2. 1:1 bei den DSGVO-Abmahnurteilen
  3. Österreichische Ratspräsidentschaft hat neuen Textentwurf der ePrivVO vorgelegt
  4. 400.000 € Geldbuße für Krankenhaus.
  5. 2. DSAnpUG-EU und DSUAnpaG

1.) Klingel-Schilda

Wenn es nicht so traurig wäre, wäre es ja schon wieder zum Lachen. Da hat sich doch in Wien ein Mieter beschwert, dass die Offenbarung des Namens auf dem Klingelschild ein Verstoß gegen die DSGVO wäre. Die für Datenschutzangelegenheiten der Stadt zuständige Magistratsabteilung 63 prüfte und kam zu dem Schluß: Der Mieter hat Recht. Daraufhin hat die Wiener Wohnen (eine städtische Wohnungsgesellschaft) beschlossen, auf allen ihren 220.000 Klingelschildern die Namen zu entfernen. Als ich dies am 12. Oktober das erste Mal gelesen hatte, dachte ich mir, "Irgendwie seltsam. Aber die deutschen Hausverwaltungen sind sicher vernünftiger." Denn, wenn diese Klingelschilder tatsächlich gegen die DSGVO vertoßen würden - sprich ohne Rechtsgrundlage angebracht sind - was war dann die Rechtsgrundlage bis zum 24. Mai 2018. Auch in Österreich gab es einen Datenschutz vor der DSGVO. Wie Sie sicher mitbekommen haben, ist das Thema dann auch nach Deutschland herübergeschwappt. Nach sechs (1) Tagen hat sogar die BILD-"Zeitung" getitelt: "Datenschutz-Irrsinn - Unsere Klingelschilder müssen weg!" Da dachte ich mir noch, "Okay, die Bildzeitung ist ja nun nicht gerade für besonders gründliche Recherchen bekannt, die deutschen Hausverwaltungsverbände werden sich da sicher nicht beirren lassen." Doch weit gefehlt: Da werden von den entsprechenden Verbänden doch glatt Empfehlungen herausgegeben, dass die Vermieter und Verwaltungen die Klingelschilder entfernen sollen! Geht's noch? Da sahen sich doch die Datenschutzaufsichtsbehörden genötigt, entsprechendende Stellungnahmen abzugeben. Hier nur zwei Beispiele:

Ich bin ja nur froh, dass unseres Hausverwaltung im Rahmen der letzten Maßnahme zur Vereinheitlichung der äußeren Erscheinung der Hauseingänge die Eigentümer*innen bzw. Mieter*innen gefragt hat, was auf den Klingelschildern stehen soll, so dass unser Klingelschild diesem Wahnsinn nicht zum Opfer gefallen ist. Schade ist hierbir insbesondere, dass durch solche unbedachten Aktionen der Datenschutz unberechtigterweise in Mißkredit gebracht wird.

2.) 1:1 bei den DSGVO-Abmahnurteilen

Nach dem Beschluß im Eilverfahren des Landgericht Würzburg, von dem ich in meinem letzten Newsletter berichtete ist nun ein Urteil des Landgerichts Bochum 07.08.2018(Az. I-12 O 85/18, http://www.justiz.nrw.de/nrwe/lgs/bochum/lg_bochum/j2018/I_12_O_85_18_Teil_Versaeumnis_und_Schlussurteil_20180807.html) bekannt geworden, das die wettbewerbsrechtliche Abmahnbarkeit bei Verstößen gegen Art, 13 und 14 DSGVO verneint. Wer das Urteil nun liest und sich nur für die DSGVO-bezogenden Teile interessiert, muss über den Tenor hinweglesen und kommt dann nach dem zusätzlichen Antrag des Verfügungsklägers zu der in Bezug auf die DSGVO wesentlichene Aussage des Gerichts:

"Keinen Erfolg hatte der Antrag hingegen, soweit ein Verstoß gegen Artikel 13 der Datenschutzgrundverordnung geltend gemacht wird. Denn dem Verfügungskläger steht ein solcher nicht zu, weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält. Die Kammer verkennt dabei nicht, dass diese Frage in der Literatur umstritten ist und die Meinungsbildung noch im Fluss ist. Die Kammer in ihrer derzeitigen Besetzung schließt sich der besonders von Köhler (ZD 2018, 337 sowie in Köhler/Bornkamm/Feddersen, UWG, 36. Aufl. 2018, § 3 a Rn. 1.40 a und 1.74 b, im Ergebnis auch Barth WRP 2018, 790; anderer Ansicht Wolff, ZD 2018, 248) vertretenen Auffassung an. Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler, ZD 2018, 337, 338). Wegen der weiteren Einzelheiten der Argumentation kann auf die zitierten Literaturstellen Bezug genommen werden."

Die Argumentation ist aus meiner Sicht schlüssig. Von daher bleibt nun abzuwarten, wie andere Gerichte entscheiden und ob hier es zu einem Rechtsbehelf kommt. Unabhängig von diesen beiden Entscheidungen, ist es aber nach Ansicht von  RA Prof. Niko Härting gut möglich, dass es doch relativ rasch zu einer Entscheidung des EuGH kommt: "Wenn der EuGH „Fashion ID“ entscheidet, wird sich zugleich entscheiden, ob von einer „Sperrwirkung“ im Köhlerschen Sinne die Rede sein kann oder nicht. Bis dahin bleibt die Frage der „Abmahnfähigkeit“ von DSGVO-Verstößen offen." (in: https://www.cr-online.de/blog/2018/10/18/weshalb-der-eugh-die-abmahnfaehigkeit-von-dsgvo-verstoessen-schon-bald-klaeren-duerfte/). Es bleibt also spannend.

3.) Österreichische Ratspräsidentschaft hat neuen Textentwurf der ePrivVO vorgelegt

Am 19. Oktober hat die österreichischen Ratspräsidentschaft einen neuen Entwurf einer Stellungnahme des Rats veröffentlicht (vgl. https://www.parlament.gv.at/PAKT/EU/XXVI/EU/03/91/EU_39172/imfname_10848802.pdf). Ob es sich lohnt, diesen Entwuf genauer zu lesen, darüber gehen die Meinungen auseinander. So bin ich der Auffassung, dass es wichtig ist, diesen Entwurf zu lesen. Stimmen aus dem EU-Parlament sagen aber, es lohne sich nicht den österreichischen Entwurf vom 19. Oktober 2018 zu lesen, weil

Eventuell wird das derzeitige EUParlament noch abschließend über den ePrivVO-Entwurf entscheiden (was normalerweise erst nach den Trilogverhandlungen erfolgt) um zumindest die parlamentarische Beratung zur ePrivVO abzuschließen. Dadurch wäre dann auch das Ende Mai neugewählte Parlament bei den Trilogverhandlungen an der Stellungnahme des derzeitigen Parlaments gebunden.

Ein wesentliche Streitpunkt (und für das Fernmeldegeheimnis und den Datenschutz die wesentliche Regelung) ist: Der Wunsch der Wirtschaft, die Nutzung von Standortdaten auch  für "kompatible Zwecke" auf Basis der Interessenabwägung zu erlauben. Der Entwurf der Kommissionund die Stellungnahme des EU-Parlaments sehen vor, dass Standortdaten nur soweit genutzt werden dürfen, wie dies für die Erbringung des Dienstes erforderlich ist oder soweit die Einwilligung der betroffenen Person erforderlich ist. Siehe hierzu auch: https://edps.europa.eu/press-publications/press-news/blog/urgent-case-new-eprivacy-law_de.

4.) 400.000 € Geldbuße für Krankenhaus

Erst Österreich mit 4.800 € Geldbuße und nun Deutschland, .... nein, nicht Deutschland,  Portugal mit 400.000 € Geldbuße. Ein Krankenhaus in Portugal wurde von der dortigen Datenschutz-Aufsichtsbehörde wegen DSGVO-Verstößen mit einer Geldbuße von 400.000 € belegt. Das Krankenhaus will allerdings gegen diese Geldbuße klagen. Ob die Klage Aussicht auf Erfolg hat, würde ich auf Basis des Zeitungsartikels (http://www.faz.net/aktuell/wirtschaft/diginomics/dsgvo-strafe-krankenhaus-in-portugal-muss-400-000-euro-zahlen-15852321.html) allerdings bezweifeln: "Laut dem Zeitungsbericht hat der Krankenhausbetreiber Untersuchungen der Datenschützer zufolge „bewusst“ IT-Technikern Zugang zu Daten verschafft, die eigentlich nur von Ärzten hätten eingesehen werden dürfen. Durch einen Test sei festgestellt worden, dass solch ein Profil mit unbegrenztem Zugang problemlos erstellt werden konnte. - Und nicht nur das: Obwohl 2018 nur 296 Ärzte in dem Krankenhaus arbeiten, waren in dem System insgesamt 985 aktive Benutzer als „Arzt“ registriert."

5.) 2. DSAnpUG-EU und DSUAnpaG

Zwar ist die Initiative aus Bayern im Bundesrat, der sich Baden-Württemberg angeschlossen hat, die deutschen Regelungen zur Pflicht zur Benennung betrieblicher Datenschutzbeauftragter des § 38 Abs. 1 zu streichen bzw. deutlich aufzuweichen im Bundesrat erst einmal gescheitert (nur Baden-Württemberg hat noch dafür gestimmt), aber das Thema ist damit nicht vom Tisch. Aber der Reihe nach:

Die Entwürfe der folgenden Gesetze

sind am 07.09.2018 in den Bundesrat und am 01.10.2018 in den Bundestag eingebracht worden. Mit diesen beiden Gesetzentwürfen sollen über 170 Gesetze an die DSGVO (Verordnung (EU) 2016/679) angepasst bzw. zur Umsetzung der JI-Richtlinie (Richtlinie (EU) 2016/680) geändert werden.

Beide Gesetzentwürfe wurde bereits am 02.10.2018 im federführenden Ausschuss für Innere Angelegenheiten sowie im Wirtschaftsausschuss des Bundesrats beraten. Die Beschlussempfehlung dieser beiden Ausschüsse (https://www.bundesrat.de/drs.html?id=430-1-18) enthält auch zum Entwurf des 2. DSAnpUG-EU auch Vorschläge zur Änderung des BDSG, insbesondere die Streichung oder Abschwächung der Pflicht zur Benennung von Datenschutzbeauftragten für nichtöffentliche Stellen (Änderungsvorschläge 2 bis 5). Der Bundesrat hat hierüber und über die Änderungsvorschläge der beiden Ausschüsse in seiner Sitzung am 19. Oktober für die erste Runde abschließend beraten und die Änderungsvorschläge zur § 38 Abs. 1 BDSG abgelehnt.

Die erste Beratung im Bundestag ist am 12. Oktober 2018 erfolgt (vgl. das zu diesem Punkt sehr lesenswerte Plenumsprotokoll: http://dipbt.bundestag.de/dip21/btp/19/19056.pdf#P.6211). Es erfolgte - erwartungsgemäß - eine Überweisung an die Ausschüsse. Eine - in Bezug auf die Benennungspflicht - wichtige Aussage aus dem Protokoll will ich Ihnen nicht vorenthalten:

Marc Henrichmann (CDU/CSU):
"In den anstehenden Beratungen werden wir noch einige Änderungswünsche besprechen müssen. Da geht es um die Bestellung (sic!) des betrieblichen Datenschutzbeauftragten, die sogenannte Zehner-Schwelle."

Ich werde die Entwicklung im Auge behalten und hierüber im Newsletter berichten.

Diesmal bin ich mir ziemlich sicher, dass dieser Newsletter lang genug geworden ist. Neue Themen stehen schon auf der Liste, so dass der nächste Newsletter bald erscheinen dürfte.

Viele Grüße,

Werner Hülsmann

P.S.: Wenn Sie diesen Newsletter weiterempfehlen wollen,
reichen Sie bitte diesen Link weiter: https://dsgvo.expert/NEWSL
_________________________________________________
Um Ihre Newsletter-Einstellungen zu ändern oder Ihre Daten zu berichtigen, bitte hier klicken. - Um Ihre Daten zu Auskunftszwecken gemäß Art. 15 der EU-Datenschutz-Grundverordnung (DSGVO) oder zum Zwecke der Datenübertragbarkeit gemäß Art. 20 DSGVO herunterzuladen,  bitte hier klicken - Sollten Sie Ihre Einwilligung widerrufen und sich wieder abmelden wollen, dann bitte hier klicken  - Die Datenschutzerklärung finden Sie hier

 


-----------------------------------------------
Meine  Infoseite  zur Europäischen Datenschutz-
grundverordnung (DSGVO): <https://dsgvo.expert>
-----------------------------------------------

-- 

Datenschutzwissen.de - Dipl. Inform. Werner Hülsmann
- Datenschutzgutachter - Datenschutzexperte -

* Münchener Str. 101 - Gebäude 1 / 1. OG -  D-85737 Ismaning
  Tel.: 089 / 51 30 569-7, FAX: -8  
* Pappelhof 12 - D-14478 Potsdam
  Tel. 030 / 22 43 84 36
Mobil: 0177 / 28 28 681 
E-Mail: wh@datenschutzwissen.de - http://www.datenschutzwissen.de