26.10.2018 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Gleichzeitig scheinen die Behörden ihre Prüfungsaktivitäten zu intensivieren. Rechtsanwalt Rolf Becker, Partner bei WIENKE & BECKER, erläutert die aktuellen Entwicklungen im Datenschutz.
Methoden und Soft-Skills für Ihre neue Herausforderung als Vorgesetzte/r
In Österreich sah sich ein Wohnungsbauunternehmen aus Datenschutzgründen genötigt, die Namen seiner Mieter auf 220.000 Klingelschilder zu entfernen. Der Eigentümerverband Haus & Grund warnte auch in Deutschland vor Datenschutz-Bußgeldern in Millionenhöhe für Vermieter. Auch der Landesbeauftragte für den Datenschutz stieß in das gleiche Horn. Dabei wird hier viel Wind um nichts gemacht und Schaden für die Akzeptanz der DSGVO angerichtet. Die Klingelschilder werden ähnlich wie die berüchtigte Gurkenverordnung von 1988 sicherlich noch lange als Beleg für EU-Bürokratie zitiert werden, ob wohl sie längst abgeschafft wurde.
In Österreich sah sich ein Wohnungsbauunternehmen aus Datenschutzgründen genötigt, die Namen seiner Mieter auf 220.000 Klingelschilder zu entfernen. Der Eigentümerverband Haus & Grund warnte auch in Deutschland vor Datenschutz-Bußgeldern in Millionenhöhe für Vermieter. Auch der Landesbeauftragte für den Datenschutz stieß in das gleiche Horn. Dabei wird hier viel Wind um nichts gemacht und Schaden für die Akzeptanz der DSGVO angerichtet. Die Klingelschilder werden ähnlich wie die berüchtigte Gurkenverordnung von 1988 sicherlich noch lange als Beleg für EU-Bürokratie zitiert werden, ob wohl sie längst abgeschafft wurde.
Längst hat die Bundesdatenschutzbeauftragte Andrea Vosshoff klargestellt, dass die Klingelschilder nicht als automatisierte Datenverarbeitung anzusehen seien. Auch die bayrische Landesdatenschutzaufsicht sah keine Handlungspflichten und verurteilte die Diskreditierung der DSGVO als weltfremdes europäisches Recht. Am 18.10.2018 schaltete sich sogar die Europäische Kommission ein. Namen auf Türschildern oder Briefkästen würden nicht von der DSGVO geregelt.
Es bleiben allerdings genügend Felder für Behörden und vielleicht auch für Abmahner.
Vor der Geltung der DSGVO hatten Gerichte Datenschutzregelungen als sog. Marktverhaltensregelungen eingestuft und damit Abmahnungen ermöglicht. Für die DSGVO ist es noch nicht geklärt, ob Abmahner hier ein neues lukratives Feld vor sich haben. Nach vielfach vertretener Ansicht sollen die Regelungen nach Art. 80 DSGVO ein abschließendes Sanktionssystem darstellen. Daneben soll es ausgeschlossen sein, Mitbewerbern eine Abmahn- und Klagebefugnis zuzusprechen. Jetzt gibt es erste Urteile. Das LG Bochum bezog sich auf diese Meinung in seinem Urteil vom 07.08.2018 (Az. I-12- O 85/18) und wies die Abmahnung zurück. Das ist allerdings nicht unbestritten.
Das LG Würzburg entschied gerade erst mit Beschluss vom 13.9.2018 (Az. 11 O 1741/18), eine unzureichende Datenschutzerklärung, die nicht den Vorgaben der DSGVO entspricht, sei abmahnfähig. Eine nähere Begründung bzw. Auseinandersetzung mit den hierzu existierenden Ansichten hat das Gericht allerdings nicht vorgenommen.
Nun könnte man annehmen, dass es noch Jahre dauert, bis hier höchstrichterliche Urteile vorliegen. Allerdings sieht es so aus, als ob der Europäische Gerichtshof schon bald ein erstes entscheidendes Signal abgeben wird. In einem Klageverfahren der Verbraucherzentrale NRW („Fashion ID“ geht es um den Facebook Like-Button, den ein Unternehmen auf seiner Webseite eingebunden hatte. Das Social Plugin sendete schon bei Besuchen der Webseite Daten zum Surfverhalten der Besucher direkt an Facebook. Die erste Instanz sah einen Verstoß gegen §§ 12, 13 TMG, da eine Einwilligung fehlte. Das seien Marktverhaltensregelungen. Das OLG Düsseldorf legte dem EuGH mit Beschluss vom 19.01.2017 (Az. I-20 U 40/16) die Frage vor, ob die der DSGVO vorangegangenen EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) einer nationalen Regelung entgegenstehe, die neben Möglichkeiten für Datenschutzbehörden und Rechtsbehelfen des Betroffenen auch Verbänden Abmahnbefugnisse einräumt.
Auch wenn es nicht unmittelbar um die DSGVO geht, sind die Regelungen vergleichbar. Der Generalanwalt wird am 15.11.2018 mit seinen Schlussanträgen erwartet. Die EuGH Entscheidung dürfte dann aber noch einige Zeit in Anspruch nehmen.
Dem Bundestag liegt eine Änderung des zweiten Datenschutzanpassungsgesetzes vor. Danach soll ein neuer § 44a BDSG eingeführt werden, der Datenschutzverstöße nicht als Wettbewerbsverstöße im Sinne von § 3 a UWG bestimmt. Das würde die Abmahnfähigkeit gesetzlich beenden. Hier müssen sich entsprechende Mehrheiten finden.
Übrigens sollen danach auch Institutionen erst ab 50 Mitarbeitern, die dauerhaft mit der Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten bestellen müssen. Deutschland fordert dies bislang als Regel für Betriebe in denen 10 und mehr Mitarbeiter mit der elektronischen Datenverarbeitung personenbezogener Daten beschäftigt sind.
Die nicht wirklich existente Datenschutzauskunft-Zentrale DAZ Oranienburg hat bereits für sich entschieden, dass mit der Einhaltung der DSGVO Geld zu machen ist und versandte zahlreiche Faxe an Betriebe mit der Aufforderung zur Einhaltung und Ausfüllung eines Formulars. Wer unterschrieb sollte nach dem Kleingedruckten verpflichtet sein, netto 498 Euro für ein Datenschutzpaket zu zahlen.
Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat „anlasslose Kontrollen“ bei den Verantwortlichen für die Datenverarbeitung für September, Oktober und November 2018 angekündigt. Auch andere Datenschutzbehörden sollen in mehreren Bundesländern anlasslose Kontrollen von Großunternehmen sowie von kleineren Unternehmen wie z.B. Arztpraxen planen. Stichproben sollen z.B. im Bereich der IT-Sicherheit beim Patch-Management erhoben werden. Geprüft werden soll auch, ob Webseiten mit Kontaktformularen SSL-verschlüsselt sind. Das LfD Niedersachsen prüft seit Juni, wie gut Niedersachsens Wirtschaft die neue Datenschutzregeln umsetzt.
Zu hören ist auch von angeblich vielen Bußgeldverfahren, die eingeleitet worden sein sollen. Das hört sich zumindest so an, als ob die ohnehin nicht offizielle Schonzeit zu Ende gegangen ist. Damit wird die DSGVO scharf gestellt. Gespannt sein darf man über Bußgeldhöhen. Gerade erst macht die Meldung zu einem Krankenhaus die Runde, bei dem zu viele Personen Zugriff auf Patientendaten hatten. Bei einer Gesamtzahl von 296 Ärzten sollen dennoch 985 Benutzer als „Arzt“ registriert gewesen sein. Gleich 400.000 Euro sollen in dem an Wirtschaftskraft armen Land der EU für diesen Verstoß fällig werden. Das Krankenhaus wehrt sich und will dagegen vorgehen. Da darf man hoffen, dass der Fall nicht Signalwirkung erlangt.
X
