Februar 7

Eröffnung des Insolvenzverfahrens kein wichtiger Grund i.S.d. § 626 BGB

Die Eröffnung eines Insolvenzverfahrens stellt allein keinen wichtigen Grund i.S.d. § 626 BGB dar und kann folglich den Widerruf der Bestellung und die Kündigung eines Beauftragten für den Datenschutz gem. § 4f Absatz 3 Satz 5 Bundesdatenschutzgesetz (BDSG) nicht begründen.

 Bei der Aufsichtsbehörde für den Datenschutz in Baden-Württemberg beschwerte sich ein betrieblicher Datenschutzbeauftragter einer insolventen Ladenkette darüber, dass der eingesetzte Insolvenverwalter ihn nach Insolvenzeröffnung mit sofortiger Wirkung freigestellt und gleichzeitig von seiner Funktion als betrieblicher Datenschutzbeauftragter entbunden habe. Gleichzeitig sei ein Nachfolger als neuer Datenschutzbeauftragter bestellt worden (vgl. 31. Tätigkeitsbericht 2012/2013 S. 133ff.).

Bereits der Widerruf der Bestellung eines betrieblichen Datenschutzbeauftragten ist nach § 4f Absatz 3 Satz 4 BDSG an hohe Hürden, um die Unabhängigkeit des Beauftragten sicherzustellen. Nach § 4f Absatz 3 Satz 4 BDSG kann die Bestellung zum betrieblichen Datenschutzbeauftragten nur in entsprechender Anwendung von § 626 BGB oder auf Verlangen der Aufsichtsbehörde, widerrufen werden.

Februar 6

Angabe der vollständigen Bankverbindung in unverschlüsselten E-Mail Rechnungen unzulässig

Die Angabe der vollständigen Bankverbindung in per E-Mail versendeten Rechnungen offenbart nach Ansicht des Landesdatenschutzbeauftragten von Rheinland-Pfalz ein fragwürdiges Datenschutzverständnis und stellt einen Datenschutzverstoß dar.  Die Telekom Deutschland GmbH hatte auf den Rechnungen, die sie im Zusammenhang mit der Umstellung auf das europaweit einheitliche SEPA-Zahlungsverfahren versendet hatte, Rechnungen mit Angabe der vollständigen Bankverbindung verschickt. Datenschutzrechtlich wäre es erforderlich gewesen, dass diese sensiblen personenbezogenen Daten, zu denen Bankverbindungen zählen, bei der elektronischen Übertragung angemessen zu schützen.

Januar 30

Vermeiden Sie Bußgelder durch die Datenschutzaufsichtsbehörden

Die Verletzung datenschutzrechtlicher Vorgaben kann  zu einem Vertrauensverlust bei Kunden und Geschäftspartnern führen. Zusätzlich kann es zu einem Bußgeldverfahren durch die für den Datenschutz zuständige Aufsichtsbehörde kommen. Aufsichtsbehörde im Sinne des § 38 Bundesdatenschutzgesetz ist für Unternehmen mit Sitz in NRW der Landesbeauftragte für Daten-schutz und Informationsfreiheit (vgl. § 22 Abs. 5 DSG-NRW). Das muss jedoch nicht sein! Die meisten Bußgelder können vermieden werden, wenn im Vorfeld Vorsichtsmaßnahmen getroffen werden.

Januar 28

Bundesgerichtshof entscheidet über Umfang einer von der SCHUFA zu erteilenden Auskunft

 Wie hier bereits berichtet, hat der Bundesgerichtshof heute über den Umfang einer von der Schufa zu erteilenden Auskunft gem. § 34 BDSG entschieden und damit die Klage einer Frau aus Hessen abgewiesen.

„Einen darüber hinausgehenden Auskunftsanspruch der Klägerin hat das Berufungsgericht zu Recht verneint. Die von ihr beanspruchten konkreten Angaben zu Vergleichsgruppen zählen nicht zu den Elementen des Scoringverfahrens, über die nach § 34 Abs. 4 Satz 1 Nr. 4 BDSG Auskunft zu erteilen ist. Gleiches gilt für die Gewichtung der in den Scorewert eingeflossenen Merkmale. Dem Auskunftsanspruch des § 34 Abs. 4 BDSG liegt die gesetzgeberische Intention zugrunde, trotz der Schaffung einer größeren Transparenz bei Scoringverfahren Geschäftsgeheimnisse der Auskunfteien, namentlich die sog. Scoreformel, zu schützen. Die Auskunftsverpflichtung soll dazu dienen, dass der Betroffene den in die Bewertung eingeflossenen Lebenssachverhalt erkennen und darauf reagieren kann. Hierzu bedarf es keiner Angaben zu Vergleichsgruppen und zur Gewichtung einzelner Elemente. Das gesetzgeberische Ziel eines transparenten Verfahrens wird dadurch erreicht, dass für den Betroffenen ersichtlich ist, welche konkreten Umstände als Berechnungsgrundlage in die Ermittlung des Wahrscheinlichkeitswerts eingeflossen sind. Dieses Ziel wird durch die der Klägerin erteilten Auskünfte erreicht.“

Die Pressemitteilung kann im Original hier nachgelesen werden. 

Januar 16

EU Parlament fordert Kündigung des Safe-Harbour-Abkommens

Wie verschiedene Online-Medien (vgl. Heise und ORF) heute berichteten haben Vertreter aller Fraktionen des EU-Parlaments die EU-Kommission aufgefordert, das Safe-Harbour-Abkommen zu kündigen. Dabei) handelt es sich um eine zwischen der Europäischen Union und den USA im Jahre 2000 getroffene Vereinbarung, die gewährleisten soll, dass personenbezogene Daten legal in die USA übermittelt werden können. Das Safe-Harbour-Abkommen beruht auf Art. 25 und 26 der EU-Datenschutzrichtlinie. Danach ist ein Datentransfer in sog. unsichere Drittstaaten grundsätzlich verboten. Da es in der USA kein dem europäischen Standard entsprechende Datenschutzregelung gibt, gilt auch diese als sog. unsicherer Drittstaat.

November 28

Personalausweise kopieren verboten

Das Kopieren durch private Unternehmen ist – unabhängig davon, dass es vielerorts praktiziert wird – in vielen Fällen schlicht unzulässig. Diese Auffassung bestätigte nun auch das VG Hannover (vg. 28.11.2013 – 10 A 5342/11) in einem Verfahren, in ein Automobillogistikunternehmen gegen eine Untersagungs- und Löschungsandordnung des Landesdatenschutzbeauftragten von Niedersachsen geklagt hatte. Für Datenschutzbeauftragte und solche, die sich beruflich mit der Thematik beschäftigen nicht verwunderlich.

Zunächst einmal dürfte das Kopieren oder Scannen des Personalausweises in den wenigsten Fällen überhaupt erforderlich sein. Ein Notieren des Namens und der Anschrift, verbunden mit dem Vermerk “Original hat vorgelegen” dürfte für die meisten Zwecke ausreichend sein. Zum Teil gibt es jedoch spezielle gesetzliche Erlaubnistatbestände, die das Kopieren erlauben (z.B. § 8 Geldwäschegesetz), weswegen Kreditinstitute dies in vielen Fällen weiterhin rechtmäßig verlangen können.  

November 28

Veranstaltungshinweis: Der betriebliche Datenschutz(beauftragte) unter dem Einfluss der EU-Datenschutzreform

Deutsche Unternehmen, die ständig zehn Personen mit der EDV-gestützten Verarbeitung personenbezogener Daten beschäftigt, benötigen einen betrieblichen Datenschutzbeauftragten. Ob dies auch in Zukunft der Fall sein wird, ist noch nicht abschließend geklärt, denn die EU-Kommission hat einen Entwurf eingebracht, die von 1995 stammende EU-Datenschutzrichtlinie durch eine EU-Datenschutzverordnung zu ersetzen. Diese Anpassung des europäischen Datenschutzes an den digitalen Binnenmarkt ist zwar dringend erforderlich, jedoch beinhaltet der Entwurf neben schärferen Sanktionen bei Verstößen und einer noch stärkeren Vereinheitlichung des Datenschutzes auch zahlreiche Änderungen, die in der betrieblichen Praxis für Verunsicherung sorgen. Dies betrifft nicht zuletzt die Frage wer zukünftig noch verpflichtet ist, einen betrieblichen Datenschutzbeauftragten zu bestellen. Herr Rechtsanwalt Ehlenz wird im Rahmen dieser Veranstaltung über die Bewertung der „EU-Datenschutzverordnung aus Sicht der Unternehmenspraxis“ vortragen.

Zeitrahmen: 19.12.2013 15:00 – 17:00 Uhr
Ort: DLGI mbH, Am Bonner Bogen 6, 53227 Bonn
Bitte melden Sie sich per E-Mail an unter info@dlgi.de

Mehr Informationen zur Veranstaltung finden Sie hier

November 5

Lehrgang zum betrieblichen Datenschutzbeauftragten (IHK)

Vom 11.11.2013 – 15.11.2013 führe ich in Zusammenarbeit mit der IHK Dortmund und meiner Kooperationspartnerin der M2Soft GmbH einen Zertifikatslehrgang zum „Betrieblicher Datenschutzbeauftragter (IHK)“ durch. Weitere Informationen und die Möglichkeit der Anmeldung können Sie hier abrufen.

Nach Abschluss des Zertifikatslehrgangs verfügen die Teilnehmer über fundiertes und praxisnahes Know-how, um Datenschutz in Ihrem Unternehmen professionell umzusetzen zu können und/oder zu optimieren.

Oktober 9

Fanpages bei Facebook weiterhin zulässig – VG Schleswig hebt Anordnungen des ULD auf

Nach Auffassung des Schleswig-Holsteinischen Verwaltungsgerichts ist das Unabhängige Landeszentrum für Datenschutz (ULD) nicht berechtigt, von den Betreibern von Facebook-Fanpages zu verlangen, dass diese Seiten wegen etwaiger datenschutzrechtlicher Verstöße zu deaktivieren haben.

Drei schleswig-holsteinische Unternehmen, die bei Facebook eine Fanpage betreiben, hatten gegen eine entsprechende Anordnung des ULD, diese zu deaktivieren, geklagt. Das ULD hatte diese Anordnung damit begründet, dass die Erfassung von Daten der Besucher der Seite durch Facebook gegen Vorschriften des Datenschutzes verstoße, weil über diese Datenerfassung von Facebook nicht ausreichend informiert werde und daher keine wirksame Einwilligung vorliege. Außerdem sei eine Widerspruchsmöglichkeit nicht vorgesehen. Die Kläger als Betreiber einer Face-book-Fanpage seien hierfür mitverantwortlich.

Nach mündlicher Verhandlung vom heutigen Tage folgte das VG Schleswig der Auffassung des ULD nicht (Aktenzeichen 8 A 218/11, 8 A 14/12, 8 A 37/12). Das Gericht hat daher die streitigen Anordnungen des ULD aufgehoben. Nach Auffassung des Verwaltungsgerichts ist der Betreiber einer Fanpage hierfür datenschutzrechtlich nicht verantwortlich. Datenschutzrechtlich sei nicht verantwortlich, wer weder tatsächlichen noch rechtlichen Einfluss auf die Datenverarbeitung habe. Dementsprechend fehle es an einer Verantwortlichkeit der Fanpage-Betreiber. Facebook stelle die technische Infrastruktur zur Verfügung. Der Seitenbetreiber könne lediglich seine Inhalte einstellen, habe aber auf den Datenverkehr zwischen dem Nutzer und Facebook keinen Einfluss. Bereits in der Vergangenheit hatte das ULD vor dem Verwaltungsgericht und dem Oberverwaltungsgericht Niederlagen im Zusammenhang mit Angeboten von Facebook erlitten (vgl. Streit über Klarnamenpflicht)

In der Frage nach der Verantwortlichkeit für Fanpages ist aber vermutlich das letzte Wort noch nicht gesprochen, denn das Verwaltungsgericht hat wegen der grundsätzlichen Bedeutung der Rechtsache die Berufung zugelassen. Der Streit über die Zulässigkeit der Nutzung von Facebook-Fanpages ist damit noch nicht rechtssicher entschieden. Derzeit ist jedoch vor dem Hintergrund dieser Rechtsprechung die Zulässigkeit wahrscheinlicher als die Unzulässigkeit, wobei jedoch die weitere Entwicklung zu beachten sein wird. Es wird also auch weiterhin Fanpages von Unternehmen geben. Das Gericht hat hier aus meiner Sicht mit Weitblick agiert und die unbefriedigende Situation in Punkto Datenschutz bei Facebook nicht auf den Köpfen der hier ansässigen Unternehmen ausgetragen.