Datenschutz

Beiträge zu Datenschutz-Themen

Stillschweigende Einwilligung zur Veröffentlichung von Bildern aus Social Networks in Personensuchmaschinen

Viele werden selbst beim Benutzen einer Personensuchmaschine wie yasni schon einmal darüber gestolpert sein, dass dort – möglicherweise ohne eigenes Wissen – Bilder der eigenen Person zu sehen sind. Wie es mit der rechtlichen Zulässigkeit der Veröffentlichung von Profibildern aus Social Networks in Personensuchmaschinen aussieht, hat jetzt das OLG Köln in 2. Instanz entschieden.

Anmerkung: Den Volltext des Urteils des OLG Köln vom 09.02.2010, Az.: 15 U 107/09 habe ich hier bereitgestellt.

Schon das Urteil der ersten Instanz (LG Köln, Urteil vom 17.06.2009, Az.: 28 O 662/08) hat für einige Furore gesorgt. Ich kann in diesem Zusammenhang aus eigener Erfahrung sprechen, da auch zu meinen Mandanten Betreiber von (Personen-) Suchmaschinen gehören. Zumindest für kurze Zeit häuften sich Beschwerden von Dritten, die sich auf das Urteil vom LG Köln berufen wollten, um so Ansprüche bei den Suchmaschinenbetreibern auf Unterlassung und Schadensersatz geltend zu machen. Diese Betroffenen bzw. deren Anwälte haben jedoch schon bei der Entscheidung des LG Köln übersehen, dass es sich um einen Einzelfall handelt und dass nicht jede Personensuchmaschine gleich arbeitet. Hauptfehler in der rechtlichen Beurteilung war aber, dass die Anwälte der Betroffenen fälschlicherweise davon ausgingen, dass der Betroffene bei der Veröffentlichung eines Fotos seiner Person in einer Personensuchmaschine Anspruch auf Abgabe einer strafbewehrten Unterlassungserklärung hat. Dem ist nach h.M. in der Rechtsprechung jedoch nicht so. Auch der Betreiber einer Personensuchmaschine haftet grundsätzlich erst ab Kenntnis. Sofern er unverzüglich nach Kenntnis tätig wird, muss keine Unterlassungserklärung abgegeben werden. Ein etwaiger Antrag auf Erlass einer einstweiligen Verfügung dürfte daher – wenn auch abhängig vom Einzelfall – grundsätzlich keine Aussicht auf Erfolg haben. Ein weiterer Fehler bzw. Irrtum bei den Beschwerden, die sich auf „das Urteil“ des LG Köln bezogen war die Nichtbeachtung des Umstandes, dass es sehr darauf ankommt, ob Fotos von Social Networks (wie z.B. XING, facebook, flickr etc.) oder Fotos von abgeschlossenen (oder eigenen) Websites Gegenstand des Unterlassungsbegehrens sind.

Im Hinblick auf die Zulässigkeit der öffentlichen Zugänglichmachung von Bildern aus Social Networks (im Falle des OLG Köln: facebook), hat das OLG Köln (Urteil vom 09.02.2010, Az.: 15 U 107/09) materiell-rechtlich eine interessante Entscheidung getroffen. Das OLG Köln führt im Hinblick auf die Auffindbarkeit von Bildern aus Social Networks in Personensuchmaschinen aus: …

Tipps für eine interessante Datenschutz-Schulung

Der betriebliche Datenschutzbeauftragte hat die gesetzliche Aufgabe, die Mitarbeiter des Unternehmens mit den Datenschutz-Vorschriften „vertraut zu machen“. Soweit so gut. In der Praxis wird diese Schulungsaufgabe gerne durch mehr oder weniger interessante „Beschulungsveranstaltungen“ erledigt. Hilfreich ist dabei ein Foliensatz (z.B. für Powerpoint), der das zugegebenermaßen nicht unbedingt „spannende“ Thema Datenschutz bildlich veranschaulicht. Wie kann man so etwas jenseits von langweiligen „Bulletpoints“ auf Powerpoint-Folien machen? Dazu möchte ich ein paar Anregungen geben.

Der Mensch ist ein Wesen mit mehreren Sinnen. Er kann visuell, auditiv, kinästhetisch, olfaktorisch und gustatorisch wahrnehmen. In einfachem Deutsch: er kann sehen, hören, fühlen, riechen und schmecken. Drei dieser Sinne sind dabei bei den meisten Menschen stärker ausgeprägt bzw. von höherer Bedeutung: Sehen, Hören und Fühlen.

Wir wissen heute, dass Menschen häufig – und auch situationsbedingt – einen bevorzugten Wahrnehmungskanal haben. Manche Leute sind eher visuell, andere eher auditiv. Dies kann und sollte man bei der Vermittlung von Informationen beachten und für sich nutzen.

Neben dem reinen Wortbeitrag in einer Schulung, mit dem man primär die „auditiven“ Menschen anspricht, können an die Wand „gebeamte“ Folien helfen, den eher visuell veranlagten Zuschauer für die Inhalte zu gewinnen. Es liegt auf der Hand, dass die Folien dann nicht nur „schnöden“ Text – nach Gliederungspunkten sortiert – enthalten sollten. Das nutzt nur dem Redner als eine Art Spickzettel, nicht aber dem dann visuell eher noch vergraulten Zuschauer.

Schwierig wird es, die Informationen den Menschen mit kinästhetischer Präferenz nahe zu bringen: Wie soll man Datenschutz „fühlen“?
Es kann hilfreich sein, Gegenstände in die Präsentation einzubauen. Warum nicht z.B. einfach eine Miniüberwachungskamera, einen RFID-Chip o.ä. mit in die Veranstaltung bringen, und den Leuten diesen Gegenstand zum Erleben in die Hand geben. Das muss natürlich thematisch passen. All das kann dazu beitragen, dass sich die Veranstaltung selbst und die Inhalte in den Köpfen der Zuhörer und Zuschauer verankert.

Ich möchte dazu anregen, mehr Mut (und Spaß) bei der Erstellung von Folien für Datenschutz-Schulungen an den Tag zu legen. Sie helfen damit nicht nur sich, sondern auch Ihren Zuhörern. …

Datenschutzrechtlicher Anspruch auf Löschung der E-Mail-Adresse bei unverlangter Werbung (SPAM)

Jeder kennt das Problem. Nahezu jeder kämpft täglich mit diesem Problem. Das „Problem“ ist einfach lästig. Das Problem nennt sich „SPAM“ – unverlangte E-Mails mit werbendem Inhalt. Dass ein Unterlassungsanspruch besteht, ist meist klar. Aber besteht ein datenschutzrechtlicher Anspruch auf Löschung der E-Mail-Adresse?

In der anwaltlichen Praxis ist der Anspruch auf Unterlassung der Zusendung von E-Mails mit werbendem Inhalt seit langer Zeit rechtlich und gerichtlich geklärt. Die Klarstellungen in § 7 Abs. 2 Nr. 3 UWG i.V.m. § 7 Abs. 3 UWG haben noch einmal für eine weitere Klarstellung und Verschärfung der Rechtlage zum Nachteil der Werbenden gesorgt. Darüber hinaus besteht außerhalb des Geltungsbereichs des UWG nach h.M. ein Unterlassungsanspruch aus §§ 823, 1004 BGB in Verbindung mit der Verletzung des Persönlichkeitsrechts (bei Privatpersonen/Verbrauchern) oder dem Recht am eingerichteten und ausgeübten Gewerbebetrieb (bei Unternehmen).

Was in der anwaltlichen Praxis häufig nicht näher beleuchtet wird, ist der datenschutzrechtliche Anspruch auf Löschung der E-Mail-Adresse des Empfängers gegenüber dem Absender („Spammer“). …

Webtracking & Datenschutz auf Internetseiten von Dax Unternehmen

Ich habe innerhalb der letzten drei Wochen eine relativ ausführliche Analyse über den Einsatz von Webanalyse-Tools bei den im DAX gelisteten Unternehmen durchgeführt. Die Ergebnisse waren – wie soll man sagen – ernüchternd. Bevor in der kommenden Woche einige weitere Details der Analyse veröffentlicht werden, gibt es hier schon einmal einen kleinen Teaser:

Englische Übersetzung: § 42a BDSG Informationspflicht bei unrechtmäßiger Kenntniserlangung – Data Breach Notification

Viele internationale Unternehmen mit Muttergesellschaften in den USA oder einem sonstigen ausländischen Sitz haben Bedarf an einer Übersetzung des seit 01.09.2009 geltenden § 42 a BDSG – Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten.

Hintergrund ist meist der Bedarf, den Umsetzungsbedarf und die Gefahren/Risiken gegenüber der internationalen Konzernmutter darzustellen. In dem Zusammenhang ist eine englische Übersetzung von § 42a BDSG natürlich sehr hilfreich. Da diese Aufgabe dann meist an den Datenschutzbeauftragten des Unternehmens oder den Anwalt des Unternehmens „delegiert“ wird, und dann die Suche im Internet beginnt, möchte ich hier der Einfachheit halber darauf hinweisen, dass der Bundesbeauftragte für den Datenschutz eine englische Übersetzung des BDSG im PDF-Format als Synopse (deutsch/englisch) im Internet zur Verfügung gestellt hat:

Federal Data Protection Act (BDSG) [PDF]

In dem Dokument lautet die Übersetzung von § 42a BDSG wie folgt:

Section 42a Obligation to notify in case of unlawful access to data

If a private body as defined in Section 2 (4) or a public body as referred to in Section 27 (1) first sentence no. 2 determines that

  1. special categories of personal data (Section 3 (9)),
  2. personal data subject to professional secrecy,
  3. personal data referring to criminal or administrative offences or to suspected criminal or administrative offences, or
  4. personal data concerning bank or credit card accounts

it has recorded have been unlawfully transferred or otherwise unlawfully disclosed to third parties, threatening serious harm to the rights or legitimate interests of data subjects, then the private body shall notify the competent supervisory and the data subjects without delay in accordance with the second through fifth sentences. Data subjects shall be informed as soon as appropriate measures to safeguard the data have been taken and notification would no longer endanger criminal prosecution. The notification of data subjects shall describe the nature of the unlawful disclosure and recommend measures to minimize possible harm. The notification of the competent supervisory authority shall in addition describe possible harmful consequences of the unlawful disclosure and measures taken by the body as a result. Where notifying the data subjects would require a disproportionate effort, in particular due to the large number of persons affected, such notification may be replaced by public advertisements of at least one-half page in at least two national daily newspapers, or by another equally effective measure for notifying data subjects. Notification distributed by the body required to provide notification may be used against that body in criminal proceedings or proceedings under the Administrative Offences Act, or against an associate of the body required to provide notification as defined in Section 52 (1) of the Code of Criminal Procedure only with the consent of the body required to provide notification.

Hope that helps 😉

Neue Version des Mustervertrages Auftragsdatenverarbeitung

Wichtiger Hinweis:
Die jeweils aktuelle Fassung des Mustervertrages finden Sie stets auf dieser Internetseite: http://www.datenschutz-guru.de/auftragsdatenverarbeitung

ACHTUNG: Bitte beachten Sie, dass mittlerweile die neue Version erschienen ist. Die nachfolgenden Ausführungen sind daher veraltet.

Seit heute Morgen ist die Version 1.2 meines Musters für einen Vertrag über Verarbeitung von Daten im Auftrag i.S.d. § 11 BDSG online erhältlich.

Die Änderungen beinhalten kleinere sprachliche Korrekturen. Inhaltlich interessante Änderungen sind die besondere Berücksichtigung der Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten (§ 42a BDSG) und eine Ergänzung zu Verpflichtungen auf das Fernmeldegeheimnis im Falle einer Mitwirkung des Auftragnehmers an der geschäftsmäßigen Erbringung von Telekommunikationsdiensten.

Der Vertrag erfreut sich seiner Veröffentlichung im September 2009 großer Beliebtheit. Er ist schon kurz nach Veröffentlichung über 1.000 mehrere Tausend mal heruntergeladen worden.

Mustervertrag Auftragsdatenverarbeitung (verschiedene Formate)

Erfreulicherweise ist seit einigen Wochen nun auch die aktualisierte Fassung des BITKOM-Mustervertrags (bzw. Vertragsanlage) zur Auftragsdatenverarbeitung online erhältlich. Positiv an dem Muster ist, dass zusätzlich eine englische Übersetzungshilfe implementiert ist. Neben dem deutschen Text findet sich in der Spalte daneben eine englische Übersetzung des Textes.
Unter dem o.g. Link können Sie eine ZIP-Datei herunterladen, die Musterverträge zur Auftragsdatenverarbeitung in deutscher und englischer Sprache enthält.

Neben diesen beiden Mustern gibt es meiner Kenntnis nach derzeit noch zwei weitere frei erhältliche Musterverträge, bei denen die seit dem 01.09.2009 geltenden Änderungen des § 11 BDSG berücksichtigt sind:

  1. Mustervereinbarung der GDD zur Auftragsdatenverarbeitung gem. § 11 BDSG (.doc)
  2. Mustervereinbarung zum Datenschutz und zur Datensicherheit
 in Auftragsverhältnissen nach § 11 BDSG des Regierungspräsidiums Darmstadt (PDF) oder als Word-Dokument (.doc)

Jedes der Muster hat seine Stärken und Schwächen. Ich persönliche halte das Muster der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) für etwas zu „unjuristisch“. Ein Rechtsanwalt würde das stilistisch eher anders regeln. Das ist aber letztlich Geschmackssache. Entscheidend ist, das die Regeln verständlich bleiben und den gesetzlichen Anforderungen genügen.

Bei Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich ist das Muster des Regierungspräsidiums Darmstadt in der Regel bekannt und wird von diesen auch als wirksame Regelung einer Auftragsdatenverarbeitung anerkannt, sofern die im Dokument genannten erforderlichen Ergänzungen in hinreichender Weise vorgenommen werden.

Und bei diesem Punkt kommen wir dann auch zur Schwäche vieler Standard-Verträge zur Auftragsdatenverarbeitung in der täglichen Praxis. Häufig werden in diesen Verträgen die nach § 9 BDSG und der Anlage zu § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen nicht konkret geregelt, sondern lediglich die gesetzlichen Definitionen der Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und des Trennungsgebots wiedergegeben. Dies ist nach Auffassung vieler Aufsichtsbehörden aber nicht ausreichend, um die Voraussetzungen nach § 11 BDSG hinsichtlich der zu erteilenden Aufträge oder Weisungen zu erfüllen. Hier ist also Vorsicht und ggf. Nachbesserung geboten.

Wer Zeit hat, kann sicher exzellente Ergebnisse für seine individuelle Vereinbarung erzielen, wenn man alle Muster analysiert und sich die passenden Regelungen einzeln zusammenstellt.
Aber Achtung: die Zusammenstellung von Klauseln aus verschiedenen Mustern birgt juristische Risiken und sollte daher nur bei entsprechender Kenntnis der Materie vorgenommen werden.

Auftragsdatenverarbeitung – Mustervertrag

Wichtiger Hinweis:
Die jeweils aktuelle Fassung des Mustervertrages finden Sie stets auf dieser Internetseite: http://www.datenschutz-guru.de/auftragsdatenverarbeitung/

Die „Mutter“-Seite des Datenschutz-Guru Magazins ist SAY-HO! Seit ich dort vor einigen Wochen aufgrund der Änderungen im Bundesdatenschutzgesetz (BDSG) zum 01.09.2009 eine an den Gesetzesstand angepassten Mustervertrag zur kostenfreien Verwendung veröffentlicht habe, sind innerhalb von wenigen Tagen mehr als 600 Zugriffe auf diese Seite erfolgt. Der Bedarf scheint also vorhanden gewesen zu sein.

Daher auch an dieser Stelle noch einmal der Hinweis auf die Extra-Seite von SAY-HO! zum Thema Auftragsdatenverarbeitung: http://www.datenschutz-guru.de/auftragsdatenverarbeitung/

GDD: neue Mustervereinbarung zur Auftragsdatenverarbeitung

Die GDD hat nun auch ein Muster für einen Vereinbarung zur Auftragsdatenvereinbarung i.S.d. § 11 BDSG vorgelegt, die als Word-Datei zum Download zur Verfügung steht.

Die entsprechende Meldung der GDD ist hier zu finden.

Das Muster ist als Orientierungsanfang sicher geeignet. Ein etwas „juristischeres“ Vertragsmuster (von meiner Wenigkeit) findet man hier:

http://www.datenschutz-guru.de/auftragsdatenverarbeitung/

78. Konferenz der Datenschutzbeauftragten: Förderung der Datenschutzkultur

Die 78. Konferenz der Datenschutzbeauftragten hat sich dieses Mal offenbar um die Zukunft des Datenschutzes gekümmert. Nach den veröffentlichen Entschließungen (PDF) wird eine Förderung der Datenschutzkultur gefordert.

Zunehmende Überwachung und die ausufernde Verknüpfung von Daten in Staat und Wirtschaft gefährden unser aller Persönlichkeitsrecht. Zusätzliche Herausforderungen ergeben sich aus der technologischen Entwicklung und der Sorglosigkeit der Bürgerinnen und Bürger.