BDSG

Nach 44 ist Schluss

Auch ich hatte bei dem Titel dieser Episode eine Assoziation mit einem Jahr der Geschichte. Und daher habe ich den Titel auch zum Anlass genommen, ein persönliches Statement zu Demonstrationsereignissen in Chemnitz abzugeben. Es ist auch für die sog. „schweigende Mehrheit“ jetzt meiner Meinung nach wichtig, laut oder lauter zu werden. Daher auch in diesem Podcast ein Statement zu Nazis, Nazidemonstrationen und Menschen, die an solchen Demonstrationen teilnehmen.

Aber es geht bei dem Titel „nach 44“ in dieser Episode auch um Datenschutz, nämlich um das BDSG. Ich sehe es leider auch nach weiter über 100 Tagen DSGVO in der Praxis immer noch, dass Unternehmen mit Verträgen oder Unterlagen hantieren, die z.B. auf § 64 BDSG oder § 55 BDSG referenzieren. Warum das falsch und zudem unprofessionell ist, erfahrt ihr in dieser Podcast-Episode.

Rezension: Piltz, BDSG – Praxiskommentar für die Wirtschaft

Wer sich mit Datenschutzrecht intensiver beschäftigt, der wird dem Kollegen Carlo Piltz ggf. schon einmal virtuell über den Weg gelaufen sein. Viele kennen ihn von seinem Twitter-Account oder ggf. auch von seiner Website.

In diesem Jahr (2018) ist nun sein Werk BDSG – Praxiskommentar für die Wirtschaft erschienen. Es befasst sich mit dem ab 25.05.2018 geltenden Bundesdatenschutzgesetz (BDSG), das neben der Datenschutz-Grundverordnung (DSGVO) dann zumindest in Deutschland den Spielraum nutzen soll, den die DSGVO für spezifische Regelungen in den EU-Mitgliedsstaaten erlaubt.

Das BDSG enthält ja neben einem allgemeinen Teil mit „Gemeinsamen Bestimmungen“ dann in einem zweiten Teil „Durchführungsbestimmungen“ für die Datenschutz-Grundverordnung (DSGVO). Und in einem dritten Teil geht es dann um Bestimmungen für Verarbeitungen zu Zwecken der EU-Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr (2016/680).

In seinem Praxiskommentar für die Wirtschaft beschränkt sich Carlo Piltz auf die Kommentierung der Normen im BDSG, die für Unternehmen relevante Regelungen enthalten. Folgerichtig fehlen dann Kommentierungen zu den Normen im dritten Abschnitt, die nicht der Umsetzung der DSGVO, sondern der Richtlinie 2016/680 dienen.

Insgesamt werden folgende Vorschriften des neuen BDSG von Carlo Piltz kommentiert:

  • §§ 1-2 BDSG n.F.
  • §§ 4-7 BDSG n.F.
  • §§ 17-21 BDSG n.F.
  • § 22 BDSG n.F.
  • § 24 BDSG n.F.
  • §§ 26-35 BDSG n.F.
  • § 37 BDSG n.F.
  • §§ 38-44 BDSG n.F.

Das selbst ernannte Ziel des Autors mit dem Werk ist es, „insbesondere den im neuen BDSG erwähnten nichtöffentlichen Stellen, also Unternehmen, Verbänden, Vereinen und anderen privatwirtschaftlichen Organisationen“ als „praxisbezogene Kommentierung“ zu dienen.

Hat Carlo Piltz dieses Ziel mit seinem Praxiskommentar erreicht? Ja, das hat er.

Das Buch zählt inkl. Stichwortverzeichnis 356 Seiten. Dabei sind rund 30 überflüssige Seiten, die allerdings keinen Text des Autors, sondern den zurecht nicht kommentierten dritten Abschnitt des BDSG betreffen. Das stört aber nicht. Es bleiben noch ausreichend viele Seiten, die Carlo Piltz mit Inhalt gefüllt hat. Und der Inhalt hat es in sich.

Ich selbst muss zugeben, dass ich mich bis dato primär und sehr fokussiert mit der DSGVO beschäftigt habe. Meine Gedanken zum neuen BDSG bislang:

Das neue BDSG? Ach, das enthält ja nur so ein paar Regelungen zur Videoüberwachung, zur Pflicht zur Benennung von Datenschutzbeauftragten und natürlich zum Beschäftigtendatenschutz. Und ansonsten sind da ja nur so ein paar fragwürdige Regelungen enthalten, deren Konformität mit der DSGVO angezweifelt werden muss.

Und ich kann dank Carlo Piltz sagen, dass mir die Augen bei den Regelungen im neuen BDSG doch eine ganze Ecke weiter aufgegangen sind. Der Autor hat es geschafft, die für Unternehmen wesentlichen Regelungen prägnant und vor allem immer mit dem Fokus auf das europäische Recht zu kommentieren.

Besonders gut haben mir insbesondere immer die Ausführungen gefallen, in denen es um den Vorrang des EU-Rechts (DSGVO) und den Möglichkeiten für eine nationalstaatliche Regelung geht.

Das Buch hat seinen Preis. Und bei dem könnten manche stutzen. Denn 89,00 € für ein Werk zu einem vermeintlich nicht relevanten BDSG…das ist schon eine Hausnummer. So war ich auch nicht ganz traurig, dass mit der Deutsche Fachverlag (Fachmedien Recht und Wirtschaft) ein Rezensionsexemplar zur Verfügung gestellt hat.

Aber es lohnt sich. Nach einer guten Einleitung in die Gemengelage von europäischem Datenschutzrecht und den Möglichkeiten für nationale Regelungen in einem Bundesdatenschutzgesetz, werden dann die einzelnen Normen kommentiert. Schon in § 4 gibt es dann eine wirklich gut gelungene Kommentierung zur Regelung im BDSG zur Videoüberwachung öffentlich zugänglicher Räume. Ebenfalls gelungen ist übrigens die Kommentierung der sehr praxisrelevanten Relevanten Norm des § 26 BDSG zum Beschäftigtendatenschutz. Hier sind insbesondere die ausgewogenen Ausführungen zur rechtssystematischen Stellung des § 26 BDSG im Kontext zur DSGVO lobend zu erwähnen.

Gepunktet hat der Praxiskommentar von Carlo Piltz dann bei mir auch bei den Normen des BDSG, die die Betroffenenrechte der DSGVO in bestimmten Bereichen einschränken. Hier sind mir doch so einige Lichter aufgegangen. Mit der Erkenntnis, dass ich mich doch noch mehr mit dem neuen BDSG befassen muss als ich gedacht hätte (oder mir lieb ist).

Gut gefallen hat mir auch, dass Carlo Piltz nicht mit Kritik an ggf. europarechtswidrigen Regelungen im BDSG spart. Die Kritik ist jedoch stets sachlich, begründet und fundiert.

Auch wenn das neue BDSG in den jüngeren, aktuellen DSGVO-Kommentaren mitkommentiert wird, hat der „Piltz“ im Bücherregal seinen verdienten Platz.

Neben all dem Lob gibt es auch eine klitzekleine Kritik. Für die zweite Auflage des „BDSG-Praxiskommentars für die Wirtschaft“ wünsche ich mir „sprechende Überschriften“. Also statt „I. Absatz 1“ besser „Grundsätzliches zum Auskunftsrecht (Absatz 1)“. Das würde die Lesbarkeit noch erhöhen.

Aber apropos Lesbarkeit. Ich habe das Buch an einem Sonntagnachmittag auf dem Sofa verschlungen. Üblicherweise lege ich juristische Bücher gerne mal nach ein paar Sätzen zur Seite. Den „Carlo“ habe ich allerdings gerne gelesen. Der Text hat einen ganz ordentlichen „Flow“ würde ich als ehemaliger “Hip-Hopper“ sagen…

Webinaraufzeichnung: Datenschutz in CRM-Systemen

Am 12.07.2017 habe ich ein Webinar veranstaltet (oder heißt es „gegeben“?) – und zwar zu einem immer wieder nachgefragten Thema: Wie ist das denn datenschutzrechtlich mit der Verwendung von CRM-Systemen? Nun ja…der Teufel steckt mit dem BDSG derzeit im Detail. Mit der DSGVO wird es rein mit Blick auf die Rechtsgrundlagen überschaubarer. Allerdings steigt mit der DSGVO auch die Rechtsunsicherheit ein wenig und vor allem ist dann da noch dieses Damoklesschwert der Bußgeldrisiken von 20 Mio. Euro. Auch nicht wirklich schön.
In dem Webinar zeige ich anhand der einschlägigen, klassischen 4 Fallszenarien, wie das nun datenschutzrechtlich mit dem Einsatz von CRM-Systemen aussieht. Und zwar einmal auf Basis des BDSG und einmal auf Basis der DSGVO.
Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Rezension: Bergmann/Möhrle/Herb, Datenschutzrecht

In meiner Reihe der Besprechungen von Werken zur Datenschutz-Grundverordnung (DSGVO) oder auch generell zur Kommentarliteratur im Datenschutzrecht beschäftige ich mich in diesem Beitrag mit dem Kommentar zum „Datenschutzrecht“ von Bergmann/Möhrle/Herb. Auch hier wieder in Form einer Videorezension.

Den Anfang hat meine Rezension zu „Härting, Datenschutz-Grundverordnung“ gemacht. Aber auch klassische Kommentare zum Datenschutzrecht bereiten sich auf den Schwenk zur DSGVO vor. In der nachfolgenden Video-Rezension geht es um das Werk:

Der „Bergmann/Möhrle/Herb“ ist einer der renommierten Kommentare zum Datenschutzrecht, der schon sehr lange auf dem Markt ist. Es handelt sich um eine Loseblattsammlung. Das Werk kann zu einem Preis von 96,00 € (inkl. MwSt.) erworben werden. Der Kommentar wird aber dann mehrfach pro Jahr aktualisiert – in Form von sog. Ergänzungslieferungen. Meist ist die erste Ergänzungslieferung noch gratis im Kaufpreis enthalten. Informieren Sie sich aber am besten selbst beim Buchhändler Ihres Vertrauens über die Konditionen zum Erwerb der Ergänzungslieferungen oder fragen Sie direkt beim Boorberg Verlag nach.

Der „Bergmann/Möhrle/Herb“ hat große Vorteile und nur einen klitzekleinen Nachteil. Inhaltlich handelt es sich um ein wirklich gutes Werk, das vor allem auch Praktiker ansprechen dürfte. Negativ finde ich eigentlich nur einen Punkt. Und das ist ein persönlicher: Ich mag keine Loseblattsammlungen mit Ergänzungslieferungen. Aber vielleicht bessert der Boorberg Verlag hier ja irgendwann nach.

Alles weitere zum „Bergmann/Möhrle/Herb“, zum Aufbau, den Inhalten und auch zu den Ausführungen der DSGVO können Sie meiner Videorezension entnehmen:

Mein Dank gilt dem Boorberg Verlag und Prof. Dr. Armin Herb, die mir ein aktuelles Werk für Rezensionszwecke zur Verfügung gestellt haben.

Checkliste zur Prüfung eines Auftragsdatenverarbeitungsvertrages

Auftragsdatenverarbeitung ist in aller Munde und aus der Unternehmenspraxis nicht mehr wegzudenken. Ob es nun die Wartung von IT-Systemen oder die Durchführung komplexer Datenanalysen für den Auftraggeber ist….es muss nach § 11 BDSG neben der sorgfältigen Auswahl des Auftragnehmers unbedingt auch der Auftrag zur Verarbeitung der Daten schriftlich erteilt werden.

Mittlerweile haben viele Unternehmen Musterverträge für ihre eigenen Bedürfnisse erstellt. Und das betrifft sowohl Unternehmen als Auftraggeber als auch Unternehmen als Auftragnehmer.

Wenn Sie z.B. als Datenschutzbeauftragter, Justitiar oder sonstiger Verantwortlicher für die Prüfung eines Auftragsdatenverarbeitungsvertrages verantwortlich sind, stehen Sie regelmäßig vor der Herausforderung – und das meist auch noch schnell – eine Prüfung des Vertrages im Hinblick auf die Einhaltung der Vorgaben des § 11 BDSG, und insbesondere bzgl. § 11 Abs. 2 BDSG durchzuführen.

Natürlich können Sie jetzt ins Gesetz schauen und Punkt für Punkt prüfen, ob die Voraussetzungen vorliegen. Vielleicht geht es aber auch noch einfacher. Ich gebe zu: Ich bin ja normalerweise nicht so ein Checklisten-Fan, da ich eher nicht prozedural, sondern optional “programmiert” bin; gleichwohl hat mir die nachfolgende Checkliste in meiner anwaltlichen Praxis erheblich geholfen, die Vertragsprüfungen zu beschleunigen.

Die Checkliste ist eine Hilfestellung und ersetzt keine vollständige juristische Prüfung. Ich habe die Inhalte nach meinen persönlichen Vorlieben und Schwerpunkten gewählt. Bitte beachten Sie, dass Ihre Aufsichtsbehörde möglicherweise andere Punkte wichtig findet. Klären Sie die Vollständigkeit der Punkte daher unbedingt auch noch mal für Ihre Bedürfnisse ab.

So benutzen Sie die Checkliste:

  • Laden Sie sich die Checkliste herunter.
  • Öffnen Sie die Checkliste mit Microsoft Word oder einer anderen Textverarbeitung, die in der Lage ist, mit Formularfeldern zu arbeiten.
  • Legen Sie sich den zu prüfenden Auftragsdatenverarbeitungsvertrag zurecht.
  • Gehen Sie die Fragen der Checkliste durch.
  • Wenn Sie die jeweilige Frage mit “Ja” beantworten könnten, dann geben Sie die Fundstelle im Vertrag in dem betreffenden Feld an. Das ist für Sie ein idealer Nachweis der Prüfung und eine prima Gedankenstütze, wenn Sie den Vertrag noch einmal prüfen bzw. den Abschluss begründen sollen.
  • Wenn Sie Fragen mit “Nein” beantworten müssen, ist dies ein starkes Anzeichen dafür, dass der Vertrag überarbeitungsbedürftig ist. Klären Sie diesen Punkt am besten in Ihrem Unternehmen und vor allem mit dem Vertragspartner, um etwaige Zweifel an der Einhaltung der Voraussetzungen des § 11 Abs. 2 BDSG gar nicht erst entstehen zu lassen.
  • Wenn Sie mit der Prüfung fertig sind, können Sie als Prüfender die Checkliste für Nachweiszwecke unterzeichnen – müssen Sie aber nicht.
  • Belohnen Sie sich nach getaner Arbeit – Sie haben mit der Checkliste sicher Zeit eingespart. Die können Sie nutzen, z.B. für einen leckeren Milchkaffee, Bürosport oder einen Plausch mit den Kollegen.

 

Und wenn Sie die Checkliste gut finden, dann freue ich mich über ein Lob! Empfehlen Sie dann doch gerne anderen meinen kostenlosen Newsletter Datenschutz-Tipps für Unternehmen weiter. Denn Empfehlungen sind für mich ein großes Lob! Herzlichen Dank!

Wichtiger Hinweis zum Urheberrecht:
– Die Nutzung der Checkliste für eigene Zwecke ist kostenfrei.
– Der Verkauf der Checkliste ist untersagt.

Oder mit anderen Worten: Sie können die Checkliste für eigene Zwecke jederzeit gerne verwenden, insbesondere vervielfältigen und bearbeiten. Ich möchte lediglich nicht, dass ein Unternehmen die Checkliste dazu nutzt, um diese an Dritte zu verkaufen. Die Checkliste in dieser Fassung soll stets kostenfrei bleiben, und ich möchte nicht, dass dies durch Dritte umgangen wird.

Sie können die Checkliste als Word-Datei (.docx) hier herunterladen:

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

Bücher für den Datenschutzbeauftragten: BDSG-Kommentare (Video-Rezension)

Das Bundesdatenschutzgesetz (BDSG) ist nicht gerade ein Gesetzeswerk, das durch das einfache Lesen des Gesetzestextes verstanden werden kann. Im Gegenteil: häufig verwirrt die Lektüre der Rechtsnormen, und Sie wissen nach dem Lesen noch weniger als vorher bzw. verstehen gar nichts mehr. Trösten Sie sich! Es geht nicht nur Ihnen so. Selbst für gestandene Datenschutzrechtler sind einige Normen im BDSG bei reiner Zugrundelegung des Wortlautes nicht mehr verstehbar. Die Lage ist skurril. Einerseits betont das Bundesverfassungsgericht (BVerfG) gerade für das Recht auf informationelle Selbstbestimmung das Erfordernis von gesetzlichen Regelungen, die dem Gebot von Normenbestimmtheit und Normenklarheit entsprechen; andererseits ist der Gesetzgeber derzeit offenbar nicht in der Lage, diesem Gebot durch verständliche Regelungen im Datenschutzrecht gerecht zu werden.

Für mehr Klarheit darf dann gerne Literatur sorgen. Und zum BDSG gibt es mittlerweile (neben Lehrbüchern) eine Reihe von Gesetzeskommentaren, die auch den Datenschutzbeauftragten bei der Bewältigung von Anfragen und bei der Klärung von datenschutzrechtlichen Sachverhalten unterstützen sollen. Die Preisspanne ist dabei sehr unterschiedlich.

Wie Sie als Datenschutzrechtler oder Datenschutzbeauftragte das richtige Buch auswählen und bzw. oder herausfinden, was zu Ihnen passen könnte, das zeige ich Ihnen im nachfolgenden Video:

Ja…ich weiß, das Video ist recht lang und eignet sich vielleicht nicht dazu, es mal kurz zwischendurch zu sehen. Wenn Sie sich aber ernsthaft mit der Anschaffung eines passenden BDSG-Kommentars beschäftigen, dann ist das Anschauen hilfreich und wertvoll – das verspreche ich Ihnen. Natürlich können Sie auch einfach zu den Passagen „vorspulen“, die Sie interessieren. Sie müssen ja nicht zwingend das komplette Video sehen.

Neben der reinen Vorstellung und Kritik an den einzelnen Büchern, gibt es auch ein paar (wenige) Insider-Infos zu den Autoren.

Folgende BDSG-Kommentare bzw. Bücher werden im Video besprochen:

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

Datenschutz-Tipp Nr. 30: Was es mit der Meldepflicht nach dem BDSG so auf sich hat…

Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

Haben Sie schon einmal ein Verfahren bei der für Sie zuständigen Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich gemeldet? Nein? Falls Sie jedoch zehn oder mehr Mitarbeiter im Unternehmen haben, die automatisiert personenbezogene Daten verarbeiten (dafür reicht heutzutage schon aus, dass jemand ein E-Mail-Programm benutzt), dann könnte es gut sein, dass sie sich ordnungswidrig verhalten haben.

Das Bußgeld für diese Fälle beträgt nach § 43 BDSG bis zu 50.000,00 €. Das hört sich sehr nach Angstmacherei an, soll es aber nicht sein. Ich persönlich habe in all den Jahren meiner Tätigkeit als spezialisierter Anwalt im Datenschutzrecht keinen Fall mitbekommen, in dem ein Unternehmen wegen der Verletzung der Meldepflicht ein Bußgeldbescheid bekommen hätte. Das heißt zwar nicht zwingend, dass es diese Fälle nicht gibt; sie scheinen aber zumindest in der Praxis nicht häufig vorzukommen.

Und der Grund dafür liegt auch auf der Hand. Denn die Meldepflicht entfällt nicht nur, wenn sie weniger als zehn Personen beschäftigen, die automatisiert personenbezogene Daten verarbeiten, sondern auch, wenn sie einen betrieblichen Datenschutzbeauftragten bestellt haben.

Und wenn Sie jetzt ganz schlau überlegen, dann kommen Sie sicher zu dem Ergebnis, dass ein Unternehmen (wenn die handelnden Personen nicht ganz auf den Kopf gefallen sind) in der Praxis sehr leicht ein Meldepflicht-Versäumnis heilen kann.

Aber Achtung: eine rechtmäßige „Heilung“ bekommen Sie so nicht hin. Es ist lediglich ein taktisches Manöver, das in der Praxis aber offenbar häufig zu funktionieren scheint.

Das hört sich jetzt mittlerweile wahrscheinlich etwas zu kryptisch an, oder? Nehmen wir zur Verdeutlichung einfach ein praktisches Beispiel:

Angenommen Sie haben ein Unternehmen bzw. arbeiten einem Unternehmen, das Zeitschriften auf dem Markt anbietet. Und nehmen wir weiter an, dass Sie für Zwecke der Vergrößerung des Abonnentenkreises auch Adressen von Altkunden nutzen, um diese noch drei Jahre nach Kündigung ihres letzten Abonnements anzuschreiben, um ein neues Probe-Abo anzubieten. Hierfür nutzen Sie ein wunderbar neues und buntes CRM-Tool.

Und es passiert, was passieren muss. Der angeschriebene Ex-Abonnent ist empört über die erneute Werbung für ein Probe-Abo. Er wendet sich an die zuständige Aufsichtsbehörde für den Datenschutz und will wissen, wie es sein kann, dass Sie ihn noch einmal als Ex-Abonnenten anschreiben. Und die Aufsichtsbehörde wendet sich jetzt an Sie. Sie bekommen also dieses Schreiben von der Aufsichtsbehörde und denken sich „Was zum Teufel…“ bzw. neudeutsch „WTF“ (das Akronym forschen Sie nach, wenn Sie es nicht kennen, ja?)

Und die Aufsichtsbehörde möchte einiges von Ihnen wissen. Sie möchte zum Beispiel wissen, ob ein betrieblicher Datenschutzbeauftragter bestellt ist. Und für den Fall, dass keiner bestellt worden ist, mögen Sie bitte darlegen, wie viele Mitarbeiter in Ihrem Unternehmen automatisiert personenbezogene Daten verarbeiten.

Spätestens dann sollten die Alarmglocken schallen. Denn wenn sie nämlich keinen Datenschutzbeauftragten bestellt haben und zehn oder mehr Mitarbeiter in Ihrem Unternehmen beschäftigen, hätten sie mit hoher Wahrscheinlichkeit das CRM-Verfahren bei der Aufsichtsbehörde melden müssen. Und zwar vor der Inbetriebnahme.

Ein Datenschutz-Berater oder ein fachkundiger Anwalt wird Ihnenspätestens jetzt raten, einen betrieblichen Datenschutzbeauftragten zu bestellen. Außerdem sollte dann unverzüglich die interne Verfahrensdokumentation für das Unternehmen erstellt werden. Denn – auch wenn die Meldepflicht entfällt – geht der Gesetzgeber gleichwohl davon aus, dass das, was sie hätten melden müssen, jetzt als Dokumentation intern vorgehalten wird.

Sie können dann auf jeden Fall der Aufsichtsbehörde mitteilen, dass ein Datenschutzbeauftragter bestellt worden ist. Problematisch bzw. peinlich kann es nur werden, wenn die Aufsichtsbehörde – was häufig der Fall ist – die Bestellungsurkunde des Datenschutzbeauftragten sehen möchte. Dann fällt das Datum der Bestellung natürlich auf. Und wenn sie keine strafrechtlichen Risiken eingehen wollen, würden ich tunlichst von einer Rückdatierung absehen.

Wenn sich dann aus der Bestellungsurkunde ergibt, dass der Datenschutzbeauftragte erst seit kurzem bestellt worden ist, kann die Aufsichtsbehörde sich natürlich ihren Teil denken. In der Regel wissen die betreffenden Mitarbeiter der Aufsichtsbehörde dann Bescheid, dass die eigentlich zu erfolgende Meldung des Verfahrens in der Vergangenheit eben nicht erfolgt ist. Meiner Erfahrung nach nutzen die Aufsichtsbehörden diese Kenntnis jedoch regelmäßig nicht dafür aus, im Nachhinein noch Bußgeldbescheide wegen Verletzungen der Meldepflicht zu erlassen. Vielmehr hat es den Anschein, dass die Aufsichtsbehörden es wohlwollend zur Kenntnis nehmen, dass das Unternehmen jetzt seine Hausaufgaben macht und durch einen Datenschutzbeauftragten dabei unterstützt wird.

Zu guter letzt: Was viele vergessen bzw. nicht wissen, ist, dass die Meldepflicht für bestimmte Unternehmen auch dann nicht entfällt, wenn ein Datenschutzbeauftragter bestellt worden ist. Dies betrifft die Unternehmen, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung oder für Zwecke der Markt-oder Meinungsforschung verarbeiten. Diese müssen die automatisierten Verarbeitungen bei der Aufsichtsbehörde zu sog. Verfahrensregister melden, in denen die Daten von der jeweiligen Stelle zum Zweck der Übermittlung bzw. der Markt- oder Meinungsforschung gespeichert werden.

Skurril wird diese Ausnahme von der Ausnahme übrigens für Webservices wie Social Networks oder Bewertungsportale. Denn nach der Rechtsprechung des BGH („spickmich.de“) ist das Vorhalten von Nutzerdaten für Besucher oder andere registrierte Mitglieder einer Website als geschäftsmäßige Übermittlung von Daten im Sinne des § 29 BDSG anzusehen. Hier wird wieder einmal deutlich, wie wenig das BDSG an die moderne Informationsgesellschaft angepasst ist. Denn wenn wir die Rechtsprechung des BGH strikt anwenden würden, würde dies dazu führen, dass ein nicht unbedeutender Teil der deutschen Online-Anbieter sich in der Vergangenheit wegen der Verletzung von Meldepflichten ordnungswidrig verhalten haben und künftig ihre Verfahren bei der jeweils für sie zuständigen Aufsichtsbehörde für den Datenschutz zum Register melden müssen. Na dann Prostmahlzeit.

In diesem Sinne… bis zum nächsten Mal,

Ihr Stephan Hansen-Oest

Verpflichtung auf das Datengeheimnis – ein Muster

Für die Abonnenten meines E-Mail-Newsletters „Datenschutz-Tipps“ habe ich ergänzend zu den Tipps, wie man eine Verpflichtung auf das Datengeheimnis i.S.d. § 5 BDSG richtig umsetzt, ein Muster für eine Verpflichtungserklärung angekündigt.Das Muster finden Sie hier im Word-Format:

Oder im PDF-Format:

Wenn Sie sich gerne für den kostenlosen Newsletter anmelden möchten, dürfen Sie dies hier tun.

Als kleines Bonbon finden Sie den Newsletter zum Thema Datengeheimnis hier:
„Verpflichtung auf das Datengeheimnis – Wie Sie die gesetzlichen Vorgaben korrekt umsetzen“

Kostenloser Mustervertrag Auftragsdatenverarbeitung jetzt in Version 1.4 erhältlich

Wichtiger Hinweis:
Die jeweils aktuelle Fassung des Mustervertrages finden Sie stets auf dieser Internetseite: http://www.datenschutz-guru.de/auftragsdatenverarbeitung/
Dort haben Sie auch die Möglichkeit, sich für einen kostenlosen E-Mail-Kurs „Auftragsdatenverarbeitung – was Sie bei der Umsetzung rechtlich beachten müssen“ anzumelden.

Der – das darf ich sagen – sehr beliebte Mustervertrag Auftragsdatenverarbeitung liegt seit ein paar Tagen in Version 1.41.5 vor. Es gab im Vergleich zu Version 1.3 (und Version nur 1.4) nur eine kleine Fehlerteufelbereinigung bei der Beschreibung der technischen und organisatorischen Maßnahmen und in § 3 Abs. 5.

Den Vertrag erhalten Sie in den Dateiformaten (PDF, Word, Pages 09) Sie wie immer hier:

http://www.datenschutz-guru.de/auftragsdatenverarbeitung/

Matrix der Bußgeldrisiken bei Datenschutzverstößen

Die Teilnehmer meines kostenlosen E-Mail-Kurses „Datenschutz 2010 – Machen Sie ihr Unternehmen fit!“ kennen die Matrix der Bußgeldrisiken bereits – wenn auch in anderer Form.

Ich habe die Matrix noch einmal überarbeitet und jetzt in einer ausdruckbaren Fassung im PDF-Format in hoher Qualität fertig gestellt. In der jetzt vorliegenden Version 2 sind auch die Novellen des BDSG berücksichtigt.

In der Übersicht werden die gängigen Bußgeldtatbestände des Bundesdatenschutzgesetzes kurz aufgezählt und in einer übersichtlichen Weise dargestellt.

Sie können die Matrix hier herunterladen:

Matrix der Bußgeldrisiken

Hinweis zum Urheberrecht: Die Matrix darf gerne unbearbeitet von jedermann für eigene Zwecke verwendet werden. Wenn Sie die Matrix bearbeiten oder überarbeiten wollen, können Sie hierfür gerne eine Zustimmung bei mir einholen.

Stillschweigende Einwilligung zur Veröffentlichung von Bildern aus Social Networks in Personensuchmaschinen

Viele werden selbst beim Benutzen einer Personensuchmaschine wie yasni schon einmal darüber gestolpert sein, dass dort – möglicherweise ohne eigenes Wissen – Bilder der eigenen Person zu sehen sind. Wie es mit der rechtlichen Zulässigkeit der Veröffentlichung von Profibildern aus Social Networks in Personensuchmaschinen aussieht, hat jetzt das OLG Köln in 2. Instanz entschieden.

Anmerkung: Den Volltext des Urteils des OLG Köln vom 09.02.2010, Az.: 15 U 107/09 habe ich hier bereitgestellt.

Schon das Urteil der ersten Instanz (LG Köln, Urteil vom 17.06.2009, Az.: 28 O 662/08) hat für einige Furore gesorgt. Ich kann in diesem Zusammenhang aus eigener Erfahrung sprechen, da auch zu meinen Mandanten Betreiber von (Personen-) Suchmaschinen gehören. Zumindest für kurze Zeit häuften sich Beschwerden von Dritten, die sich auf das Urteil vom LG Köln berufen wollten, um so Ansprüche bei den Suchmaschinenbetreibern auf Unterlassung und Schadensersatz geltend zu machen. Diese Betroffenen bzw. deren Anwälte haben jedoch schon bei der Entscheidung des LG Köln übersehen, dass es sich um einen Einzelfall handelt und dass nicht jede Personensuchmaschine gleich arbeitet. Hauptfehler in der rechtlichen Beurteilung war aber, dass die Anwälte der Betroffenen fälschlicherweise davon ausgingen, dass der Betroffene bei der Veröffentlichung eines Fotos seiner Person in einer Personensuchmaschine Anspruch auf Abgabe einer strafbewehrten Unterlassungserklärung hat. Dem ist nach h.M. in der Rechtsprechung jedoch nicht so. Auch der Betreiber einer Personensuchmaschine haftet grundsätzlich erst ab Kenntnis. Sofern er unverzüglich nach Kenntnis tätig wird, muss keine Unterlassungserklärung abgegeben werden. Ein etwaiger Antrag auf Erlass einer einstweiligen Verfügung dürfte daher – wenn auch abhängig vom Einzelfall – grundsätzlich keine Aussicht auf Erfolg haben. Ein weiterer Fehler bzw. Irrtum bei den Beschwerden, die sich auf „das Urteil“ des LG Köln bezogen war die Nichtbeachtung des Umstandes, dass es sehr darauf ankommt, ob Fotos von Social Networks (wie z.B. XING, facebook, flickr etc.) oder Fotos von abgeschlossenen (oder eigenen) Websites Gegenstand des Unterlassungsbegehrens sind.

Im Hinblick auf die Zulässigkeit der öffentlichen Zugänglichmachung von Bildern aus Social Networks (im Falle des OLG Köln: facebook), hat das OLG Köln (Urteil vom 09.02.2010, Az.: 15 U 107/09) materiell-rechtlich eine interessante Entscheidung getroffen. Das OLG Köln führt im Hinblick auf die Auffindbarkeit von Bildern aus Social Networks in Personensuchmaschinen aus: …

Datenschutzrechtlicher Anspruch auf Löschung der E-Mail-Adresse bei unverlangter Werbung (SPAM)

Jeder kennt das Problem. Nahezu jeder kämpft täglich mit diesem Problem. Das „Problem“ ist einfach lästig. Das Problem nennt sich „SPAM“ – unverlangte E-Mails mit werbendem Inhalt. Dass ein Unterlassungsanspruch besteht, ist meist klar. Aber besteht ein datenschutzrechtlicher Anspruch auf Löschung der E-Mail-Adresse?

In der anwaltlichen Praxis ist der Anspruch auf Unterlassung der Zusendung von E-Mails mit werbendem Inhalt seit langer Zeit rechtlich und gerichtlich geklärt. Die Klarstellungen in § 7 Abs. 2 Nr. 3 UWG i.V.m. § 7 Abs. 3 UWG haben noch einmal für eine weitere Klarstellung und Verschärfung der Rechtlage zum Nachteil der Werbenden gesorgt. Darüber hinaus besteht außerhalb des Geltungsbereichs des UWG nach h.M. ein Unterlassungsanspruch aus §§ 823, 1004 BGB in Verbindung mit der Verletzung des Persönlichkeitsrechts (bei Privatpersonen/Verbrauchern) oder dem Recht am eingerichteten und ausgeübten Gewerbebetrieb (bei Unternehmen).

Was in der anwaltlichen Praxis häufig nicht näher beleuchtet wird, ist der datenschutzrechtliche Anspruch auf Löschung der E-Mail-Adresse des Empfängers gegenüber dem Absender („Spammer“). …