Gemeinsamer Entwurf für eine Datenschutz-Grundverordnung: Fazit

Der Entwurf für eine europäische Datenschutz-Grundverordnung stellt eine begrüßenswerte Vereinheitlichung des europäischen Datenschutzes dar. Der Schutz der Betroffenen wird zum Teil erweitert. Ob die neuen Regeln auch den beabsichtigten Bürokratieabbau herbeiführen, wird sich erst noch zeigen müssen. Abzuwarten bleibt auch, ob sich das im weltweiten Vergleich strenge Datenschutzniveau, wie geplant, als Wettbewerbsvorteil erweisen wird.

Dr. Thomas Weimann, Dr. Daniel Nagel, Manuel Kastner

Gemeinsamer Entwurf für eine Datenschutz-Grundverordnung: Änderungen gegenüber der bisherigen Rechtslage

Sollte der Entwurf Anfang kommenden Jahres vom Europäischen Parlament angenommen werden, haben sich Unternehmen ab 2018 auf folgende Änderungen einzustellen:

  • Die Rechte der Betroffenen gegenüber der verantwortlichen Stelle werden gestärkt:
    Auskunftsansprüche, wie sie schon im Bundesdatenschutzgesetz (BDSG) enthalten sind, bleiben erhalten.
    Das Recht auf Löschung personenbezogener Daten wird ausgeweitet („Recht auf Vergessenwerden“).
    Ein „Recht auf Datenübertragbarkeit“ von einem Anbieter zum anderen wird eingeführt.
  • Das „Marktortprinzip“ wird eingeführt. Auch Unternehmen, die Ihren Sitz nicht in der EU haben, werden die europäischen Datenschutzregeln befolgen müssen, wenn sie ihre Dienstleistungen in der EU anbieten.
  • Kleine und mittlere Unternehmen müssen keinen Datenschutzbeauftragten mehr bestellen, sofern die Datenverarbeitung nicht ihr Kerngeschäft ist und sie nicht in erheblichem Umfang besondere Arten personenbezogener Daten (vgl. derzeit etwa § 3 Abs. 9 BDSG) verarbeiten.
  • Kleine Unternehmen, die keinen Datenschutzbeauftragten haben, sind derzeit verpflichtet, der Datenschutzbehörde zu melden, wenn sie personenbezogene Daten automatisiert verarbeiten. Diese Meldepflicht soll entfallen.
  • Unternehmen sollen verpflichtet werden, Datenpannen (z.B. durch Hacking-Angriffe) den Aufsichtsbehörden zu melden.
  • Verstöße gegen die datenschutzrechtlichen Vorschriften sollen mit Geldbußen in Höhe von bis zu 4 % des weltweiten Jahresumsatzes geahndet werden können.

Dr. Thomas Weimann, Dr. Daniel Nagel, Manuel Kastner

Gemeinsamer Entwurf für eine Datenschutz-Grundverordnung: Zum Hintergrund

Bislang existiert auf EU-Ebene die vor 20 Jahren in Kraft getretene Datenschutz-Richtlinie. Auf Grundlage dieser Richtlinie haben die einzelnen EU-Mitgliedsstaaten eigene Datenschutzgesetze erlassen. Der hierdurch entstandene Flickenteppich soll nun durch ein einheitliches europäisches Datenschutzrecht ersetzt werden. Anders als die Datenschutz-Richtlinie wird die Datenschutz-Grundverordnung in den einzelnen Mitgliedsstaaten unmittelbar gelten. Nationale Umsetzungsgesetze sind (mit Ausnahme der Möglichkeit, die Altersgrenze für eine wirksame Einwilligung durch Minderjährige von 16 bis auf maximal 13 Jahre herabzusetzen) nicht erforderlich. Schärfere Regeln im einen, und schwächere Regeln im anderen Mitgliedsstaat soll es dann nicht mehr geben.

Dr. Thomas Weimann, Dr. Daniel Nagel, Manuel Kastner

Datenschutzbehörde verhängt hohe Bußgelder für unvollständige Auftragsdatenverarbeitungsvereinbarung

Am 20.08.2015 gab das Bayerische Landesamt für Datenschutzaufsicht bekannt, erstmals eine Geldbuße in fünfstelliger Höhe für eine unvollständige Auftragsdatenverarbeitungsvereinbarung (Beauftragung eines externen Dienstleisters mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten) festgesetzt zu haben. Kritisiert wurde insbesondere, dass keine konkreten technischorganisatorischen Maßnahmen zum Schutz der Daten angegeben worden waren. Nur bei Vereinbarung entsprechender Maßnahmen könne der Auftraggeber seine datenschutzrechtlichen Pflichten erfüllen.

Dr. Thomas Weimann, Daniel Nagel, Manuel Kastner

Wer zu einer Unterlassung verpflichtet ist, muss auch Google benachrichtigen

Wenn bestimmte Inhalte im Internet aufgrund einer Unterlassungspflicht nicht mehr auffindbar sein sollen, muss auch eine Abrufbarkeit über Google ausgeschlossen werden. Dies entschied das OLG Celle mit Urteil vom 29.01.2015 (13 U 58/14). Das OLG sieht den Unterlassungsschuldner in der Pflicht, bei Google einen „Antrag auf Löschung im Google-Cache bzw. auf Entfernung der von der Webseite bereits gelöschten Inhalte“ zu stellen.

Dr. Thomas Weimann, Dr. Daniel Nagel

Europäische Kommission veröffentlicht Strategie für den digitalen Binnenmarkt

Bereits am 25. März veröffentlichte die Europäische Kommission eine Strategie für den digitalen Binnenmarkt. Nach dieser soll der grenzüberschreitende elektronische Handel unter anderem durch eine Senkung von Versandkosten für grenzüberschreitende Lieferungen und Vereinfachung der Mehrwertsteuerregelung gestärkt werden.

Dr. Thomas Weimann, Daniel Nagel

BMJ veröffentlicht Leitlinien zur Vorratsdatenspeicherung

Am 15. April veröffentlichte das Bundesjustizministerium Leitlinien zur Vorratsdatenspeicherung Diese beinhalten unter anderem eine geplante Speicherpflicht von Telefon- und Internetverbindungsdaten (nicht aber Inhaltsdaten) für einen Zeitraum von 10 Wochen sowie von Standortdaten für einen Zeitraum von 4 Wochen. Nach Ablauf dieser Frist sind Provider zu einer automatischen Löschung derselben verpflichtet. Inwieweit diese Leitlinien in einen Gesetzesentwurf überführt werden, bleibt abzuwarten.

Dr. Thomas Weimann, Daniel Nagel

Reputationsschutz auf Twitter, Tumblr & Co.

Mit Urteil vom 1. April 2015 (4 U 1296/14) entschied das OLG Dresden, dass auch Betreiber sogenannter Mikrobloggingdienste dazu verpflichtet sind, unwahre oder beleidigende Äußerungen zu löschen, soweit das Persönlichkeitsrecht eines Betroffenen gegenüber der Meinungs- und Medienfreiheit überwiegt. Das OLG bezieht sich darin auf die Rechtsprechung des Bundesgerichtshof zur Haftung von Informationsportalen (vgl. BGH, Urteil vom 27.03.2012, VI ZR 144/11, und BGH, Urteil vom 25.10.2011, VI ZR 93/10). Dementsprechend hält es eine Haftung des Betreibers erst dann für gegeben, wenn diesem ein konkret gefasster Hinweis vorliegt, nach dem ein „Rechtsverstoß auf der Grundlage der Behauptung des Betroffenen unschwer“ erkannt werden könne. Eine Pflicht, Kommentare vorab zu überprüfen bestehe hingegen – wie bei Informationsportalen – nicht.

Dr. Thomas Weimann, Daniel Nagel

Aufnahmen von Dashboard-Cams gerichtlich nicht verwertbar

Wir berichteten im vergangenen Mai, dass der Einsatz von Dashboard-Cams von der bayrischen Datenschutzbehörde kritisch gesehen wird, da hierdurch Persönlichkeitsrechte Dritter verletzt würden. Diese Ansicht bestätigte nun das Landgericht Heilbronn (Urteil vom 17.02.2015 – Az. I 3 S 19/14), das entschied, dass mittels einer Dashboard-Cam aufgenommene Filmmitschnitte nicht als Beweis für einen Unfallhergang verwendet werden dürften. Das Landgericht begründete die Ansicht mit einer befürchteten Aushöhlung des Rechts auf informationelle Selbstbestimmung, welches nicht von dem Interesse einer potentiellen Beweisführung überlagert werden könne.

Dr. Thomas Weimann, Daniel Nagel

Haftung für Nutzerkommentare auf Bewertungsportalen

Nachdem der Bundesgerichtshof die Rechte von Bewertungsportalen hinsichtlich der Anonymität der Nutzer im letzten Jahr gestärkt hatte (wir berichteten im Juli und Oktober), beschäftigte er sich am 19. März 2015 (I ZR 94/13) erneut mit Bewertungsportalen und insbesondere darauf enthaltenen rechtswidrigen Kommentaren von Nutzern. Der BGH bestätigte den Grundsatz, dass ein Bewertungsportal nur unter bestimmten Umständen eine Pflicht zur Vorabprüfung von Bewertungen hat – zu berücksichtigen sind dabei auch die Zumutbarkeit von Prüfungen und die Erkennbarkeit von Rechtsverletzungen. Liegen diese Umstände nicht vor, muss ein Bewertungsportal eine rechtsverletzende Bewertung erst entfernen, wenn es von dieser Bewertung Kenntnis erlangt. Wird die Bewertung dann aber nicht umgehend entfernt, haftet das Portal dem Verletzten auf Unterlassung.

Dr. Thomas Weimann, Daniel Nagel