Datenschutz-Grundverordnung und Bundesdatenschutzgesetz

Seit dem 25.5.2018 gilt mit der Datenschutz-Grundverordnung (DSGVO) ein neuer datenschutzrechtlicher Standard in Europa. Als Verordnung gilt die DSGVO in den Mitgliedsstaaten unmittelbar und muss daher nicht erst in nationales Recht umgesetzt werden. Mit der DSGVO ist seit dem 25.5.2018 auch eine neue Fassung des Bundesdatenschutzgesetzes (BDSG-neu) anzuwenden. Gegenüber den bisher geltenden Regelungen des Bundesdatenschutzgesetzes (BDSG) enthält die DSGVO erheblich verschärfte Anforderungen, insbesondere bei den so genannten Betroffenenrechten und der Dokumentations- und Rechenschaftspflicht gegenüber Aufsichtsbehörden. Unternehmen stehen deshalb vor der Herausforderung, ihre internen Prozesse kurzfristig an den neuen Rechtsrahmen anzupassen.

Was wir tun

In der Regel beraten wir Unternehmen bzw. deren Organe. Gerne stehen wir auch internen oder externen Datenschutzbeauftragten beratend zur Seite.

Als Berater identifizieren wir die datenschutzrechtlichen Prozesse und Probleme in Ihrem Unternehmen und zeigen Wege auf, die Anforderungen des Datenschutzrechts praxistauglich umzusetzen. Dabei versuchen wir, die von selbsternannten Datenschutzberatern und -experten leider viel zu schnell und häufig empfohlene Einholung von Einwilligungen weitestgehend zu vermeiden. Denn mit entsprechender Argumentation können Datenverarbeitungen häufig auf eine andere Rechtsgrundlage gestützt werden.

Bei der Beratung im Datenschutzrecht erstreckt sich unsere Tätigkeit insbesondere auf folgende Bereiche:

• Beratung bei der Umsetzung der sich aus der Datenschutz-Grundverordnung (DSGVO) ergebenden Pflichten
• Pflicht zur Bestellung eines Datenschutzbeauftragten?
• Prüfung und Überarbeitung von Websites und Online-Shops
  • Erstellung oder Anpassung von Datenschutzerklärungen (Erfüllung der Informationspflichten nach Art. 13 DSGVO und Art. 14 DSGVO)
  • Einsatz von Cookies und Tracking-Maßnahmen (z.B. Google Analytics, Matomo)
  • Verwendung von Schriftart- oder JavaScript-Bibliotheken (z.B. Google Fonts, Ajax (Asynchronous JavaScript and XML), jQuery)
  • Speicherung von IP-Adressen
  • SSL-Verfahren (Secure Socket Layer)
  • Gegebenenfalls Überarbeitung von Anbieterkennzeichnung & AGB
• Erstellung und Prüfung datenschutzrechtlicher Verträge
  • Verträge mit Datenschutzbeauftragten (intern oder extern)
  • Vereinbarungen zwischen gemeinsam Verantwortlichen
  • Auftragsverarbeitungsverträge
  • (Alternative) EU-Standarddatenschutzklauseln
  • Binding Corporate Rules (BCR)
• Erhebung und Verwendung von Kundendaten
• Kommunikation mit Kunden über Messenger, insbesondere “WhatsApp”
• Videoüberwachung, z.B. am Arbeitsplatz
• Formulierung von Einwilligungserklärungen
• Beschäftigtendatenschutz
• Internationaler Datentransfer (Binding Corporate Rules, EU-Standardvertragsklauseln, EU-US-Privacy-Shield, Safe Harbor, Folgen des Brexit)
• Begutachtung einzelner datenschutzrechtlicher Fragen
• Kommunikation mit Betroffenen und Behörden
• Unterstützung bei Auskunfts- und Informationsanfragen
• Verteidigung gegen wettbewerbsrechtliche Inanspruchnahme (Abmahnung)
• Prüfung und Geltendmachung von Regressansprüchen gegenüber Datenschutzbeauftragten

Für die Benennung als externe Datenschutzbeauftragte stehen die Rechtsanwälte unserer Kanzlei nicht zur Verfügung. Gegebenenfalls besteht aber die Möglichkeit, Ihnen bei der Vermittlung eines geeigneten Datenschutzbeauftragten für Ihr Unternehmen behilflich zu sein.

Sanktionen

Die DSGVO sieht für Verstöße Bußgelder bis zu € 20 Millionen oder 4% des weltweiten Jahresumsatzes vor. Schon das Bußgeld bei einem Verstoß gegen die Verpflichtung zur Bestellung eines Datenschutzbeauftragten kann bis zu € 10 Millionen oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen. Dabei handelt es sich – was leider oft unerwähnt bleibt – um Höchstwerte. Die Entscheidung über eine Bußgeldverhängung sowie über deren konkrete Höhe liegt im Ermessen der Aufsichtsbehörden. Panik ist in den meinsten Fällen deshalb nicht angebracht. Wer seine Prozesse nicht überprüft und notwendige Maßnahmen einleitet, geht aber in jedem Fall ein erhebliches Risiko ein.

Mögliche Abmahnungen durch Mitbewerber?

Ob Verstöße gegen die Datenschutzgrundverordnung zu Abmahnung berechtigen, ist äußerst umstritten: Als wohl erstes mit dieser Frage befasstes Gericht schloss sich das Landgericht Bochum mit Versäumnisurteil vom 07.08.2018 (LG Bochum, 07.08.2018 – I-12 O 85/18) der Auffassung von Köhler (emeritierter Professor an der LMU München und Mitherausgeber des UWG-Kommentars Köhler/Bornkamm/Feddersen) an und entschied, dass ein wettbewerbsrechtlicher Unterlassungsanspruch nicht bestehe. Die Regelungen in Artikel 77 – 84 DSGVO seien als abschließend zu bewerten, was die Geltendmachung von Ansprüchen durch Mitbewerber ausschließe. Mit derselben Begründung verneinte zwischenzeitlich auch das Landgericht Magdeburg eine Abmahnbarkeit von Verstößen gegen die Datenschutzgrundverordnung durch Mitbewerber (LG Magdeburg, Urteil v. 18.01.2019 – 36 O 48/18). Das Landgericht Würzburg hingegen bejahte einen wettbewerbsrechtlichen Unterlassungsanspruch mit Beschluss vom 13.09.2018 (LG Würzburg, Beschluss v. 13.09.2018 – 11 O 1741/18 UWG). Im zur Entscheidung berufenen Sachverhalt fehlten in der Datenschutzerklärung Angaben zum/zur Verantwortlichen, zur Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck deren Verwendung, eine Erklärung zur Weitergabe von Daten, über Cookies, Analysetools, aber vor allem die Belehrung über die Betroffenenrechte, insbesondere Widerspruchsrecht, Datensicherheit und ein Hinweis zur Möglichkeit, sich bei einer Aufsichtsbehörde zu beschweren (eigentlich also alles). Als erstes Oberlandesgericht hat sich das OLG Hamburg (Urteil vom 25.10.2018 – 3 U 66/17) mit der Abmahnbarkeit von Verstößen gegen die DSGVO auseinandergesetzt. Das Gericht erachtete die dortige Klägerin für “auch unter der Geltung der DSGVO klagebefugt.” Die DSGVO enthalte kein abgeschlossenes Sanktionssystem, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse. Der Senat ließ die Revision zum Bundesgerichtshof zu, weil die Fragen, ob die Richtlinie 95/46/EG (Datenschutzrichtlinie) und/oder die DSGVO einer Klagebefugnis von Wettbewerbern entgegenstehen, bislang noch nicht höchstrichterlich entschieden sind. Ebenso wenig die Frage nach der generellen oder nur partiellen Einordnung datenschutzrechtlicher Bestimmungen als marktverhaltensregelnde Normen im Sinne des § 3a UWG.

Wir halten Verstöße gegen die DSGVO für abmahnfähig. Die Vorschriften der Art. 77 ff. DSGVO regeln ausschließlich die Rechte von “betroffenen Personen”. Dabei handelt es sich nach der Legaldefinition in Art. 4 Nr. 1 DSGVO um die natürlichen Personen, um deren Daten es geht. Mitbewerber fallen nicht unter diese Definition. Wir gehen deshalb davon aus, dass es sich zumindest bei den Informationspflichten der DSGVO um mitbewerberschützende Marktverhaltensregeln handelt, deren Nichterfüllung abmahnfahig ist.

Zögern Sie nicht, sich mit uns in Verbindung zu setzen. Im Regelfall können wir Ihnen innerhalb von 24 Stunden einen Besprechungstermin mit einem unserer im Datenschutzrecht tätigen Rechtsanwälte anbieten.

Ihre Ansprechpartner