Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Rechtsüberblick 02/20 – BlnBfDI versus Microsoft: Dürfen Behörden Produktwarnungen aussprechen?, Executive Order von Donald Trump, VwGH Österreich zur Zurechenbarkeit von Datenschutzverstößen und mehr

Es ist August 2020. Die Anwaltskanzlei Diercks ist mit allen Mitarbeitern gut in den neuen Räumen angekommen. Aber auch wenn die Arbeit von allen Seiten ruft- was an den leeren Seiten hier wohl zu erkennen ist -, ist es doch wirklich Zeit, sich endlich mal wieder dem Blog und vor allem der ins Leben gerufenen Reihe „Rechtsüberblick“ zu widmen. So viele sind es dieses Jahr zwar noch nicht gewesen, aber so lange ist kann es ja auch nocht nicht her sein. … Ouch! Doch! Der letzte Rechtsüberblick ist auf den 28. Februar datiert. Oh je! Also bat ich Tobias Hinderks doch einmal nach den Schönsten Perlen der letzten Monate zu tauchen. Et voilà! Hier ist er, der Rechtsüberblick, den wir maßgeblich der Recherche- und Schreibkunst von Tobias zu verdanken haben:

Liebe Leserinnen und Leser,

es gibt Momente, da wundert man sich, dass schon wieder ein Monat vergangen ist und  schon wieder ein Rechtsüberblick angefertigt werden will. Dann merkt man im August bestürzt, dass der letzte Rechtsüberblick auf den 28. Februar datiert ist… Und streicht das „monatlich“ reuend aus den Gedanken. Nichtsdestoweniger wollen wir nicht auf ihn verzichten und deshalb kann ich Sie heute einladen, einen Blick auf den Rechtsüberblick 02/20 zu werfen.

Heute beschäftigen wir uns mit diesen Themen:

  1. BlnBfDI versus Microsoft: Dürfen Behörden Produktwarnungen aussprechen?
  2. Präsident Trumps Executive Order nach Faktencheck auf Twitter
  3. Österreichischer Verwaltungsgerichtshof begrenzt Zurechenbarkeit von Datenschutzverstößen
  4. BMJV stellt Gesetzesvorhaben zu Unternehmenssanktionsrecht vor
  5. BGH entscheidet in Sachen Planet 49

Ich wünsche Ihnen viel Freude beim Lesen!

Microsoft mahnt Berliner Datenschutzbeauftragte ab

Videokonferenzen, in Zeiten einer Pandemie das gängige Mittel des Fernunterrichts an Schulen, bei Seminaren an den Universitäten ebenenso wie im sonstigen Arbeitsalltag. Für die Ausrichtung von Videokonferenzen gibt es verschiedene Plattformen, von denen einige ihren Sitz in den Vereinigten Staaten haben.

So insbesondere das bekannte Programm Skype for Business, das zum Tech-Giganten Microsoft Ltd gehört. Nun verarbeiten eingesetzte Konferenzprogramme personenbezogene Daten, etwa Bilder, (Account-)Namen der Teilnehmenden, Emailadressen, … Da drängt sich die Frage auf: Ist der Einsatz der Software rechtmäßig und mit der DSGVO vereinbar?

Diese Frage hat sich die Berliner Datenschutzbeauftragte gestellt – und beantwortet. Anfang Mai veröffentlichte die Behörde einen Leitfaden zur Verwendung von Videokonferenzdiensten, in dem vor Anwendungen von Microsoft sowie vor der populären Software Zoom gewarnt wird, da diese nicht datenschutzgerecht arbeiteten.

Eine Verlinkung auf die Ursprungsmeldung ist nicht möglich, denn die Behörde hat die ursprüngliche Mitteilung wieder vom Netz genommen (Link zum Tagesspiegel-Artikel vom 19.05.2020). Der Grund: Microsoft mahnte die Behörde für das Veröffentlichen unrichtiger Informationen ab.

  • Stellungnahme von Microsoft zur Verwendung von Skype: LINK (06.05.2020)

Ende Mai erfolgte dann eine aktualisierte Pressemitteilung sowie ein überarbeiteter Leitfaden für den Einsatz von Videokonferenzprogrammen auf der Webseite der Berliner Datenschutzbeauftragten. Darin heißt es:

„Wir weisen darauf hin, dass einige verbreitet eingesetzte Anbieter zu Redaktionsschluss (22. Mai 2020) nicht alle Rechtmäßigkeitsvoraussetzungen erfüllen, darunter gängige Produkte von Microsoft, Skype Communications und Zoom Video Communications“

Die Berliner Datenschutzbeauftragte warnt also weiterhin sowohl vor dem Einsatz von Microsoft-Produkten und Diensten im Generellen (und damit auch vor Teams) als auch im Besonderen im Hinblick auf Skype for Business sowie bezüglich  Zoom. Sie werde in Kürze eine detaillierte Ausarbeitung für die Berliner Datenverarbeiter veröffentlichen. Da drängt sich die Frage auf: Darf eine Behörde einfach öffentlich vor dem Einsatz eines Produktes warnen?

Die DSGVO verrät dazu in Art. 57 I b) gleichlaufend mit § 11 I Nr 2 BlnDSG (Berliner Datenschutzgesetz):

„Unbeschadet anderer […] Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet […] die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären.“

Artikel 57 ist mit dem Titel „Aufgaben“ überschrieben. Und hier beginnt ein Problem. Denn schon im Studium der Juristerei wird recht schnell klargestellt: „Wer von einer Aufgabe auf eine Befugnis schließt, kann sich direkt auf die Wiederholungsklausur vorbereiten.“

Zur Erfüllung der Aufgabe benötigt die Behörde also eine Befugnisnorm. Befugnisse der Aufsichtsbehörden finden sich in Artikel 58 der DSGVO. Eine solche Befugnis könnte aus Art. 58 III b) stammen:

„Jede Aufsichtsbehörde verfügt über sämtliche […] beratenden Befugnisse, die es ihr gestatten, zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus […] an die Öffentlichkeit zu richten“

Interessant ist in diesem Zusammenhang § 11 II BlnDSG:

„Zur Erfüllung der in [§ 11] Absatz 1 Satz 1 Nummer 3 genannten Aufgabe kann die […] Berliner Beauftragte für Datenschutz und Informationsfreiheit zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus […] an die Öffentlichkeit richten“

11 II BlnDSG verleiht der Berliner Datenschutzbeauftragten damit eine Befugnis zur Erfüllung der Aufgabe drei. Die Aufgabe, also die Warnung vor Videokonferenzprodukten, haben wir allerdings oben in Nummer zwei des § 11 Absatz 1 Satz 1 gefunden, nicht in Nummer Drei.

Ob § 11 II BlnDSG im Umkehrschluss bedeutet, dass die Befugnis zur Veröffentlichung von Informationen nur bei Aufgaben nach Nummer drei gilt oder dennoch auch für Informationen nach Nummer zwei, wird wohl am Ende ein Gericht entscheiden müssen.

Denkbar ist es natürlich, dass § 11 II BlnDSG wegen dieser Beschränkung der DSGVO als europarechtswidrig angesehen werden muss. Denn der gleichlaufende Art. 58 III b) enthält diese Einschränkung jedenfalls nicht (und Berlin dürfte die Befugnisse nur erweitern, nicht begrenzen; vgl Art. 58 VI).

Unterstellen wir aber Mal, dass die Berliner Behörde in der Tat eine Befugnis zur Veröffentlichung einer solchen Warnung hat, dann ist die Folgefrage, was die Behörde bei einer Veröffentlichung zu beachten hat.

Wegweisend in solchen staatlichen Warnfällen ist eine Entscheidung des Bundesverfassungsgerichts aus 2018 (1 BvF 1/13) (Link zur Webseite des Bundesverfassungsgerichts; folgende Rn beziehen sich auf dieses Urteil) zu dem, ebenfalls auf Europarecht basierenden, § 40 Lebensmittel- und Futtergesetzbuch, der zur Warnung vor gesundheitsgefährlichen Lebensmitteln befugt.

Das Gericht sieht einen Eingriff in die Berufsfreiheit (Art. 12 GG), wenn das Informationshandeln mittelbar-faktisch ein funktionales Äquivalent staatlicher Maßnahmen darstellt (R. 28). Dies misst das Bundesverfassungsgericht an drei Kriterien:

  • Direkte Zielsetzung auf die Marktbedingungen eines konkret individualisierten Unternehmens
  • Beeinflussung der Grundlagen der Entscheidungen am Markt
  • Veränderung der Markt- und Wettbewerbssituationen zum wirtschaftlichen Nachteil

Ob diese Kriterien erfüllt sind, wird im Zweifel gerichtlich entschieden werden. Fernliegend ist es jedenfalls nicht.

Jedenfalls dürfen dann nur richtige Informationen verbreitet werden, gegebenenfalls ist die Behörde zur Richtigstellung verpflichtet. Die Behörde muss die Richtigkeit der Informationen sicherstellen und Fehlvorstellungen beim Verbraucher vermeiden. (R. 39)

Die Behörde darf in eilbedürftigen Situationen auch über Verdachtsfälle informieren, wenn entsprechend hohe Anforderungen an die Tatsachengrundlage des Verdachts gestellt werden (R. 43). Ein in tatsächlicher Hinsicht unaufgeklärter Verdacht genügt nicht (R. 44).

Am 2. Juli 2020 hatte sich auch der Europäische Datenschutzbeauftragte in einem Gutachten zur datenschutzkonformen Nutzung (englisch) zu Microsoft Produkten geäußert und fünf wesentliche Kritikpunkte herausgearbeitet:

  • Durch die weitreichende Einräumung von Rechten an Microsoft, Parameter der Datenverarbeitung zu ändern und zu definieren, werde dem Unternehmen quasi eine Stellung ähnlich der eines Verantwortlichen eingeräumt.
  • Es fehle an umfassenden und vorschriftsmäßig erforderlichen Auftragsverarbeitungsverträgen und hinreichend dokumentierten Anweisungen.
  • Der Ort, an dem weite Teile der Datenverarbeitung durch Microsoft stattfinden, sei nicht zugänglich; ferner sei nicht klar, welche Daten wie außerhalb der Europäischen Union verarbeitet werden
  • Es müssten Konzepte erarbeitet werden, die einen unautorisierten Datenabfluss an Microsoft verhindern
  • Es bestehe Unklarheit über die Natur, Reichweite und Zwecke der Verarbeitung und ihren Risiken, die die Datenverarbeitung intransparent gegenüber der betroffenen Person machen

Auch heise.de berichtete bereits hierüber. Und die Berliner Datenschutzbeauftragte konkretisierte in einem Schreiben an Microsoft (fragdenstaat.de) die erhobenen Vorwürfe mehrseitig.

Wie Microsoft mit den verstärkten Vorwürfen umgehen wird, ist noch nicht bekannt. Am 08. Juli veröffentliche das Unternehmen eine überarbeitete Stellungnahme (microsoft.de) und hielt daran fest, dass die Produkte datenschutzkonform seien. Microsoft warf der Behörde vor, die zur Verfügung gestellten Informationen nicht berücksichtigt zu haben.

Man kann behaupten, beide Seiten haben soweit irgendwie recht. Sicher, Microsoft Produkte sind nicht alle toll und perfekt. Okay. Vermutlich ist keines perfekt. Aber Angesichts der Vielzahl der von Microsoft vertriebenen Produkte bzw. Dienstleistungen (Micrsoft 365, Office 365, jeweils verschiedene Pläne, unterschiedliche Produkte für unterschiedliche Anwendungsbereiche wie etwa Education), ist ein pauschaler Vorwurf á la „die Microsoft Produkte“ schon außerordentlich schwierige. Dies vor allem auch deswegen, da die unterschiedlichen Produkt(gruppen) über sehr unterschiedliche Konfigurationsmöglichkeiten auch in datenschutztechnischer wie rechtlicher Hinsicht verfügen. Und ganz grundsätzlich muss man anmerken, dass Microsoft seit Januar 2020 ganz massiv Produkte wie Produktgruppen und die dazugehörigen Dokumentationen überarbeitet hat (uns zuweilen noch überarbeitet). Da muss man dann nicht nur fragen, auf welches konkrete Produkt sich die Datenschutzbehörden beziehen, sondern auch fragen, zu welchem Zeitraum geprüft wurde. (Nein, wir sind nicht von Microsoft beauftragt oder bezahlt, aber wenn man solche Tools für Mandanten prüft, muss man sich nun einmal äußerst intensiv damit auseinandersetzen.)

Unschön bleibt, dass Microsoft stillschweigend im Juni sein Data Protection Addendum (DPA), sprich die Vertragsvorgaben für die Datenverarbeitung von Microsoft im Verhältnis zu ihren Vertragspartnern, änderte. Während das Dokument den Januar 2020 als Erstellungsdatum angab, verwiesen die Metadaten auf eine Erstellung am 09.06.2020 hin (vgl Twitter-Account von Paulina Jo). Microsoft begründet dies in der Stellungnahme mit bloßer Anpassung von grammatikalischen Fehlern.

Es bleibt also spannend in der Auseinandersetzung von Microsoft und der Berliner Datenschutzbeauftragten. Sicher ist jedenfalls, dass keine Seite hier schnell beigeben wird. Insbesondere nachdem der EuGH (C-311/18) das Privacy Shield für ungültig erklärte, müssen sich viele Unternehmen neu orientieren. Unter anderem nutzte auch Microsoft das Privacy Shield als Stütze für die Datenübermittlung in die USA (vgl überarbeitete Stellungnahme). Allerdings verwendet Microsoft zusätzlich auch Standard-Contract-Clauses. Doch zu diesem Thema ein anderes Mal…

Präsident Trumps Executive Order nach Faktencheck auf Twitter

Der US Präsident und Twitter pflegen seit neuestem eine besondere Art der Freundschaft. Nachdem die Plattform mehrere Tweets des Präsidenten mit einem Fakten-Check (Link zum Artikel der Tagesschau) versah, fürchtete Donald Trump um die Redefreiheit in den Sozialen Medien.

Daraufhin erließ der Präsident eine Executive Order und drohte, die Plattform vollständig abzustellen (Link zum Tweet).

In der Sache dreht sich die Executive Order (nachzulesen in Englisch auf Business Insider) um das Verständnis des 47. U.S.C. § 230. Der befreit die Betreiber von Social Media-Plattformen von einer Verantwortlichkeit für die Aussagen, die auf den Social Media Plattform getätigt werden. Ähnliche Vorschriften finden sich im deutschen Recht in den §§ 7 ff TMG, erweitert um gewisse Anbieterpflichten nach dem NetzDG.

§ 230 verleiht den Social Media-Plattformen damit eine gewisse Immunität. In seiner Executive Order stellt der Präsident dazu fest, dass diese Immunität nicht in Ausübung eigener Maßnahmen – in den Worten der Executive Order „censoring certain viewpoints“ – besteht. Wenn nun eine Plattform den Zugang zu Inhalten blockiert, solle dadurch eine inhaltliche Verantwortung der Plattform für den Content der Nutzer*innen entstehen.

Informationen, die der Verbreitung exzessiver Gewalt dienen, die obszöne Darstellungen, belästigende Aussagen oder sonst wie zu beanstanden sind, dürfen durch den Betreiber einer Plattform blockiert oder im Zugang beschränkt werden, wenn dies im guten Glauben geschieht. Nach der Executiv Order sollen dieser Privilegierung nun enge Grenzen gesetzt werden.Nach Ansicht des Präsidenten dürfte die Richtigstellung von Falschaussagen nicht unter die Berechtigung eines Sozialen Netzwerks fallen.

In der Executive Order wird der Regierung der Auftrag gegeben, die Tatbestände des § 230 zu konkretisieren und zu definieren, was nicht „im guten Glauben“ geschieht. So seien irreführende, vorgeschobene oder betrügerische Beschränkungen auszunehmen und die Plattformen zu einer Rechtfertigung ihrer Entscheidung zu verpflichten.

Ferner sollen Finanzierungen der Plattformen durch öffentliche Einrichtungen verhindert und ein Bericht über „unfaire Praktiken“ von Social Media Plattformen angefertigt werden.

Was im US-Medienrecht passiert, ist auch für uns in Deutschland und der Europäischen Union relevant. Als Heimat der großen Social Media-Netze sind Einwirkungen des US-Rechts auf den Medienmarkt auch bei uns spürbar. Es wäre aber verfehlt, die Entwicklungen des US-Rechts zu kritisieren, ohne zu bedenken, dass auch das deutsche Recht mit dem viel kritisierten (Interview der SZ; ferner: Bewertung bei Legal Tribune Online) Netzwerkdurchsetzungsgesetz nicht ganz unähnliche Strukturen aufweist.

Mit Spannung abzuwarten bleibt also, wie sich die Situation weiterentwickelt. Vermehrt markieren jedoch Twitter und inzwischen auch Facebook Inhalte des US-amerikanischen Präsidenten als Falschinformationen. Im Rahmen der Corona-Pandemie etwa behauptete Präsident Trump, Kinder seien praktisch immun gegen das Virus. Diese Information wurde als falsch eingeordnet und gelöscht, wie u.A. die Welt berichtete.

Die Social Media Unternehmen geben also ersichtlich nicht klein bei.

Österreichischer Verwaltungsgerichtshof begrenzt Zurechenbarkeit von Datenschutzverstößen

Aus den Vereinigten Staaten begeben wir uns nach Österreich. Der Verwaltungsgerichtshof, vergleichbar mit dem deutschen Bundesverwaltungsgericht, hat in einer Erkenntnis zu den Voraussetzungen der Bußgeldverhängung gegen juristische Personen, insbesondere also Unternehmen, Stellung bezogen. (Entscheidung des Verwaltungsgerichtshofs vom 12.05.2020 (Ro 2019/04/0229), zu Rechtsinformationssystem Österreichs).

Zum Hintergrund: Nach Art. 83 DSGVO können erhebliche Bußgelder für Verstöße gegen Datenschutzrecht verhängt werden. Das Bußgeldrecht in Deutschland und Österreich weist eine ähnliche Struktur auf. Adressaten eines Bußgeldes sind grundsätzlich natürliche Personen – Unternehmen hingegen als juristische Personen regelmäßig nicht.

Bestimmte europäische Vorgaben, unter anderem die DSGVO, bestimmt aber, dass auch gegen juristische Personen als Verantwortliche von Datenverarbeitungsvorgängen die Möglichkeit einer Bußgeldverhängung eröffnet sein muss.

Nun sind juristische Personen aber nichts Greifbares. Sie sind rechtlich gedachte Konstrukte, welche erst durch Menschen (Arbeitnehmer, Vorstände, Geschäftsführer, Gesellschafter, …) handlungsfähig werden. Wird nun ein Mensch für eine juristische Person tätig und verletzt dabei Datenschutzrecht, stellt sich die Frage, ob dieser Mensch bei dieser Handlung der juristischen Person zugerechnet werden kann.

Die Zurechnung findet gemäß § 41 I BDSG iVm § 30 OWiG statt und ist auf bestimmte Personengruppen beschränkt. Ähnlich zu der deutschen Regelung ist die österreichische Regelung in § 30 DSG, sie sieht ebenfalls nur einen begrenzten Kreis zurechenbarer Personen vor.

Die DSGVO hingegen verliert über die Zurechnung kein Wort. Aus verschiedenen Vorschriften ist erkennbar, dass das nationale Verfahrensrecht der Mitgliedsstaaten einschlägig sein soll und es rechtstaatliche Garantien wahren muss (vgl. Art. 83 VIII DSGVO).

Der Streit um die Zurechnung von Verstößen zu einer juristischen Person ist kompliziert und langwierig. Im groben wird vertreten, dass …

  • … die Beschränkung des Kreises zurechenbarer Personen (wie in DE oder A) zulässige Ausgestaltung durch nationales Verfahrensrecht unter Berufung auf rechtsstaatliche Verfahrensprinzipien ist; zum Teil wird die Zurechnungsbeschränkung gar als notwendige Gebotenheit des deutschen Schuldprinzips des Straf- und Ordnungswidrigkeitenrechts betrachtet.
  • … die Beschränkung europarechtswidrig ist, da sie dem Gebot des effektiven und abschreckenden Verfahrens und der wirksamen Durchsetzung des Datenschutzrechts entgegenläuft.

In Österreich hat der VwGH sich nun ersterer Auffassung angeschlossen. Da die Regelung des Art. 83 DSGVO eindeutig strafenden Charakter habe, müssen auch die strafrechtlichen Garantien Anwendung finden. Eine Zurechnung wurde damit auf einen engen Personenkreis begrenzt, der österreichische Datenschutzbeauftragte, so mutmaßt der Kommentierende, wird sich an diese Erkenntnis gebunden fühlen.

Eine Vorlage dieser – im Europarecht immerhin strittigen Frage – an den EuGH erfolgte durch den VwGH nicht. Ob das richtig war, denn eigentlich sind alle Gerichte bei Unsicherheiten in der Anwendung des Unionsrechts verpflichtet, den EuGH zu fragen (Art. 267 AEUV), bleibt abzuwarten.

Dies nur als ersten Eindruck zu dieser Thematik. Wie die §§ 30, 130 OWiG in Deutschland tatsächlich eingeordnet werden könnten und müssten, darüber könnte man stundenlang debattieren, jedenfalls wäre es einen Beitrag wert. Und natürlich ist es einen großen Gedanken wert, die österreichische Rechtsprechung dabei zu betrachten. Aber nicht mehr. Den Stimmen, die sich so anhören, als sei die Debatte damit auch in Deutschland entschieden, sollte mit kritischem Abstand begegnet werden.

BMJV stellt Gesetzesvorhaben zum neuen Unternehmenssanktionsrecht vor

Im Dunstkreis der Frage, ob Unternehmen für Datenschutzverstöße ihrer Mitarbeiter*innen rechtlich einzustehen haben, bewegt sich auch ein jüngst erschienener Gesetzesentwurf des Bundesministeriums der Justiz und Verbraucherschutz (BMJV).

Am 16.06.2020 veröffentlichte das BMJV den Entwurf für ein Verbandssanktionsgesetz (VerSanG). Das Ziel des Gesetzes ist es, angemessene Reaktionsmöglichkeiten auf Straftaten mit Unternehmenszusammenhang zu schaffen:

§ 1 Dieses Gesetz regelt die Sanktionierung von Verbänden, deren Zweck auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist, wegen Straftaten, durch die Pflichten, die den Verband treffen, verletzt worden sind oder durch die der Verband bereichert worden ist oder werden sollte.“

Wird dieses Gesetz zur Unternehmenssanktionierung auch bei der DSGVO gelten? Müssen Sie sich in datenschutzrechtlicher Hinsicht also auf Verfahren nach dem VerSanG vorbereiten?

Wohl eher nicht. Der Grund liegt in der Beschränkung der Unternehmenssanktionen auf „Verbandstaten“. Als Verbandtaten gelten:

§ 2 I Nr 3 Eine Straftat, durch die Pflichten, die den Verband treffen, verletzt worden sind oder durch die der Verband bereichert worden ist oder werden sollte.“

Das Gesetz soll also nur bei Straftaten anwendbar sein. Bei Verstößen gegen die DSGVO handelt es sich jedoch um Ordnungswidrigkeiten. Ist das nicht quasi das Gleiche, könnte man fragen? Nein! Eine Ordnungswidrigkeit beinhaltet keinen strafrechtlichen individuellen Schuldvorwurf, deshalb ist ihre Ahndung auch durch eine Behörde (und nicht etwa ein Gericht!) zulässig.

Zumindest auf die Sanktionierung von DSGVO-Verstößen wird das VerSanG damit wohl keine Anwendung finden – was Sie natürlich nicht davon entbindet, sich mit den Neuregelungen zu befassen, denn zum Beispiel auf ihr hergestelltes Produkt könnte es anwendbar sein.

Eine Ausnahme ist denkbar: Wenn ein DSGVO-Verstoß zugleich den Tatbestand einer Straftat erfüllt, dann soll das VerSanG vorrangig sein. Dies ist aus der Änderung des § 21 OWiG erkennbar, die Artikel 9 des Gesetzesentwurfs des BMJV vornimmt:

„Ist eine Tat zugleich eine Ordnungswidrigkeit im Sinne von § 30 Absatz 1 und eine Verbandstat im Sinne von § 3 Absatz 1 Nummer 1 des Verbandssanktionengesetzes, wird nur das Verbandssanktionengesetz angewendet. Dies gilt auch, wenn eine Zuwiderhandlung im Sinne von § 130 gleichzeitig eine Verbandstat im Sinne von § 3 Absatz 1 Nummer 2 des Verbandssanktionengesetzes ist. Wenn keine Verbandssanktion verhängt wird, kann eine Ahndung nach diesem Gesetz erfolgen.“

Denkbar wäre damit eine Anwendung des VerSanG auf Datenschutzverstöße nach der DSGVO, die zugleich einen Geheimnisverrat im Sinne des § 203 StGB darstellt.

Auch hier haben wir die Entwicklung für Sie im Blick.

BGH entscheidet in Sachen Planet 49

Kurz verwiesen sei darauf, dass nach der richtungsweisenden Entscheidung des EuGH (C-273/17 – openjur) zum Thema Fanpages nun auch das Bundesverwaltungsgericht in Sachen Planet49 entschieden hat. In der Sache ging es um Rechtsfragen rund um das Setzen von Cookies und der entsprechenden Einwilligungsnotwendigkeit hierzu.

Erwartungsgemäß hat sich der BGH (I ZR 7/16; noch nicht veröffentlicht) nun dieser Rechtsprechung des EuGH angeschlossen. Eine erste Analyse wurde auf dem Blog bereits veröffentlicht und kann gerne gelesen werden: LINK.

 

Es ist wieder einiges passiert. Die DSGVO hat kürzlich ihren zweiten Geburtstag gefeiert und wirft weiterhin spannende Rechtsfragen auf. Ich freue mich über das gezeigte Interesse und das Anklicken des Blogs. Bleiben Sie gerne am Ball, bleiben Sie aber auch vor allem gesund!

 

2 Responses

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.