Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Category

Compliance

Das Upload Magazin Nr. 64 trägt den Schwerpunkt Datenschutz. Zu dieser Ausgabe durfte ich zum einen mit einem Bericht zum Status Quo nach sechs Monaten DSGVO beitragen und zum anderen durfte ich einen Praxisleitfaden für KMU (kleine und mittelständische Unternehmen) zur Erreichung der DSGVO Compliance verfassen. Dabei erläutere ich nicht nur, was es mit

  • dem Verzeichnis von Verarbeitungstätigkeiten
  • den Informationen zur Datenverarbeitung
  • den Vertraulichkeitsverpflichtungen
  • den Technischen und organisatorischen Maßnahmen
  • Auftragsverarbeitungsverträgen
  • Privacy by Design & Default
  • Datenschutzfolgeabschätzungen
  • Meldepflichten und
  • dem Datenschutzmanagement-Handbuch

jeweils auf sich hat, sondern vor allem, wie diese in Bezug zueinander stehen. Eine  eine systematische Herangehensweise an das Thema DSGVO-Compliance ist nämlich nicht nur sinnvoll, sondern spart am Ende Zeit und damit natürlich auch Geld.

Mitgeben möchte ich Ihnen als Geschäftsführer/in eines KMU vor allem, dass die Umsetzung der DSGVO  im Ergebnis natürlich machbar und gar nicht solch ein großer Schrecken ist. Sozusagen ein Scheinriese, der den Vorteil mit sich bringt, dass die Unternehmensprozesse einmal durchleuchtet werden – was man zumeist ohnehin schon lange vorhat, aber nun einen guten Grund hat, dies wirklich einmal zu tun.

Doch nun genug der Vorrede, hier können Sie den ganzen Artikel lesen (einfach auf den Screenshot klicken):

 

In diesem Sinne,

wir lesen uns drüben.

Vor Geltung der DSGVO wurde der Untergang aufgrund von wettbewerbsrechtlicher Abmahnwellen wegen Datenschutzverstößen beschworen. Warum diese Wellen ganz sicher nicht kommen werden, hatte ich bereits Mitte Mai 2018 in diesem Thread auf Twitter sowie vor wenigen Tagen im UPLOAD Magazin im „Statusbericht zur DSGVO“ erläutert.

Ganz kurz und knapp zusammengefasst ist dies darin begründet, dass sich zum einen die Rechtslage mit der DSGVO überhaupt nicht geändert hat. Denn Datenschutzverstöße konnten auch unter dem BDSG bzw. TMG mit Abmahnungen angegriffen werden. Schließlich handelt es bei Datenschutzregelungen regelmäßig auch um sog. Marktverhaltensnormen* (s.u.). Und zum anderen ist es nach wie vor so, dass Unternehmen den eigenen Hof schon sehr sauber halten müssen, bevor sie den (datenschutzrechtlichen) Schmutz beim Mitbewerber angprangern (mehr dazu hier und hier).Von daher wird es auch künftig nicht zu einer „Abmahnwelle“ in diesem Bereich kommen – ganz gleich wie sehr diese immer wieder – fast verzweifelt – herbei geschrieben wird.

Die Rechtslage hat sich mit der DSGVO nicht geändert? Ja, dieser Auffassung bin ich und dieser Auffassung sind auch zahlreiche andere. Aber es ist nicht zu verleugnen, dass sich die juristische Fachwelt in dieser Frage noch uneins ist. So vertritt insbesondere Köhler (WRP 2018, 1269, mwN) die Auffassung, dass die DSGVO doch eine abschließende und damit vorrangige Regelung sei, so dass sich die Frage der Anwendbarkeit des UWG bzw. der damit gegebenen Rechtsmittel gar nicht mehr stelle. Andere stellen (s. a. hier Köhler, aaO mwN) in Abrede, dass es sich bei datenschutzrechtlichen Regelungen um Marktverhaltensnormen handele, so dass aufgrund dieser fehlenden Eigenenschaften wettbewerbsrechtliche Abmahnungen nicht in Betracht kämen.

Diese Uneinigkeit schlägt sich derzeit auch in der Rechtsprechung wieder (again: Nur weil es jetzt die eine oder andere Entscheidung gibt, bedeutet das nicht, dass wir von „Wellen“ reden könnten). Während das LG Würzburg (Beschluss vom 13.09.2018, Az.: 11 O 1741/18) so selbstverständlich von einer Anwendung des UWG neben der DSGVO ausging, dass es dazu noch nicht einmal ein Wort verlor, entschieden die Richter des LG Bochum (Teil-Versäumnis- und Schlussurteil, Az. I12 O 85/18), dass die DSGVO eine abschließende Regelung darstelle und damit Ansprüche von Mitbewerbern ausschlösse. Auch hier findet sich keine Begründung der Kammer, sondern nur der lapidare Hinweis, man wisse, dass diese Frage in der Literatur umstritten sei und man schließe sich Köhler an. (Ich dachte zwar immer, dass Richter eben über das Recht entscheiden und nicht der Einfachheit halber auf einen (!) bestehenden Aufsatz verweisen sollten, aber gut. Bin ja nur Anwältin.)

Nun hat sich das OLG Hamburg (Urteil vom 25.10.2018, Az. 3 U 66/17) mit eben diesen Fragen auseinandersetzen müssen und hat dies erfreulicherweise sehr ausführlich getan. Das Ergebnis überrascht mich nicht, liegt es doch schon auf der Linie, die das OLG seit 2013 verfolgt (vgl. OLG Hamburg: Mangelhafte Datenschutzerklärungen sind wettbewerbswidrig und mit Abmahnungen angreifbar, Artikel vom 11.07.2013).

Die Entscheidung lautet kurz und knapp:

  1. Die DSGVO steht einer Anwendung des UWG nicht entgegen. Die DSGVO stellt insoweit keine abschließende Regelung dar (ab Rz. 34)
  2. Die hier (!) in Rede stehende Norm des § 28 Nr. Abs. BDSG a.F stellt keine Marktverhaltensnorm dar.

Soweit so gut begründet so klar. Anders ausgedrückt:

Natürlich können Datenschutzverstöße weiterhin auch mit wettbewerbsrechtlichen Abmahnungen angegriffen werden, wenn und soweit gegen eine Marktverhaltensnorm verstoßen wurde.

Es ist eben zu prüfen, ob es sich bei der jeweiligen Norm um eine Marktverhaltensnorm handelt. Auch um die Frage, datenschutzrechtliche Normen und wenn ja, welche, Marktverhaltensregelungen im Sinne von § 3a UWG sind, wird im sehr gestritten.

Nicht ohne Grund hat das OLG Hamburg in diesem Fall die Revision zugelassen. Dies bedeutet, dass die Fragen, ob die DSGVO abschließend ist und wenn nicht, welche Datenschutzregelungen Marktverhaltensnormen darstellen, mit an Sicherheit grenzender Wahrscheinlichkeit vor dem BGH und möglicherweise auch vor dem EuGH verhandelt werden.

Aus den von mir hier an dieser Stelle eher knapp verlorenen Worten sowie den weiteren Ausführungen im Upload-Magazin wird wohl schon deutlich, dass ich die DSGVO für keine abschließende Regelung halte und meines Erachtens zahlreiche datenschutzrechtliche Normen als Marktverhaltensregelungen zu qualifizieren sind. Doch an dieser Stelle wird es von mir dazu zunächst keine weiteren Ausführungen geben, da ich just an dem Fachaufsatz

Schließt die DSGVO die Anwendbarkeit des UWG tatsächlich aus?

– Eine Replik auf Köhler (WRP, 11/18, S. 1269)

arbeite und all diesen Fragen intensiv nachgehen werden. Wo ich den Fachaufsatz veröffentlicht werden, steht derzeit noch nicht fest, aber ich halte Sie diesbezüglich ganz sicher auf dem Laufenden.

In diesem Sinne,

haben Sie erst einmal einfach einen sonnigen Tag!

 

Uff. Der letzte Artikel hier auf dem Blog stammt vom 10. August. *hust. So sollte es hier natürlich an sich nicht zugehen. Aber Schuld ist – wie immer!1!!11 – die DSGVO. Nun ja, das stimmt vielleicht gar nicht, doch irgendjemand bzw. -etwas muss schließlich Schuld sein. Fakt ist jedenfalls, dass die DSGVO auch bei uns immer noch für eine extrem hohe Auslastung sorgt, so dass Themen bzw. Artikel wie etwa:

Ist der Betriebsrat eigentlich Verantwortlicher im Sinne der DSGVO? 

oder

Schließt die DSGVO die Anwendung von Ansprüchen aus dem UWG für Mitbewerber wirklich aus?

immer noch nur halbfertig in der digitalen Schublade liegen. (Ja, das ist gerade der Versuch, sich selbst etwas Druck vorzugeben…).

Doch trotz aller Arbeit, wenn das Upload-Magazin anfragt, ob ich nicht etwas zum neuen Heft beitragen kann, dann kann ich nicht nein sagen. Und so findet sich dort seit gestern der Beitrag

Statusbericht zur DSGVO: Was bisher geschah…

 

In dem Beitrag fasse ich zusammen, was seit der Geltung der DSGVO am 25. Mai 2018 geschehen und was nicht geschehen ist, vor allem jedoch, was nach Aussage der Datenschutzbehörden im vierten Quartal 2018 passieren wird. In dem Zusammenhang erläutere ich auch, warum zwar nach wie vor kein Grund zur Panik besteht, es jedoch verfehlt wäre, sich als Geschäftsführer zurückzulehnen und zu glauben, die Sache mit der DSGVO sei doch nicht so wichtig, schließlich seien doch – entgegen aller Untergangsszenarien – keine Millionen-Bußgelder verhängt worden.

Damit genug der Vorrede, hier geht es zum Artikel.

In diesem Sinne,

wir lesen uns drüben!

Treue Leser des Blogs wissen, dass wir uns schon seit dem 31. Mai 2016 hier intensiv mit der EU-Datenschutzgrundverordnung beschäftigen. Zum Zeitpunkt der Entstehung etlicher Artikel war das neue BDSG noch nicht verabschiedet und wir arbeiteten mit Entwürfen. So zum Beispiel in Teil 8 unserer Serie, die sich mit den Rechten und Pflichten des Datenschutzbeauftragten befasst. Diesen haben wir jetzt einmal entsprechend überarbeitet und auf den neuesten Stand gebracht:

Der Datenschutzbeauftragte, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO) – Teil 8 zur EU-DSGVO

Natürlich wollen wir Ihnen auch den Rest der der 11-teiligen Serie nicht vorenthalten, wenn Sie mögen, schauen Sie doch einmal rein:

Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung

Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt.

Teil 3 – Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen

Teil 4 – Die Pflichten der Unternehmen, genau genommen: Dokumentationspflichten, Datensicherungspflichten und Meldepflichten

Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten

Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)

Teil 7 – Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I

Teil 10 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – II

Teil 11 – Fragenkatalog der Datenschutzbehörden für Unternehmen zur Umsetzung der DSGVO

 

Uuund, ja, es ist – aufgrund der massiven Arbeitsüberlastung – immer noch sehr ruhig hier auf dem Blog. Aber wir arbeiten gerade an einem 12. Teil zur DSGVO. Und dieser wird sich explizit mit den Auswirkungen der DSGVO auf HR-Abteilungen befassen.

In diesem Sinne,

auf ganz bald!

 

Okay, wir müssen zugeben: Dafür, dass der neue Blog groß angekündigt wurde, passiert hier – leider –  aktuell nicht so viel. Jedenfalls weniger als auch wir uns wünschen würden. Dabei ist es nicht so, dass nicht passieren würde, nein, nein. In der Kanzlei macht sich das Näherrücken des 25. Mai 2018 – das berühmte Datum, an dem die DSGVO Geltung erlangt – anhand des massiven Arbeitsaufkommens deutlich bemerkbar! Und so ist es auch nicht, dass keine Ideen oder kein Stoff für Blogartikel vorhanden wäre, nein, es bleibt leider derzeit schlicht nicht die Zeit, all die vielen vorhandenen Ideen zu Blog-Artikeln auch umzusetzen.

Umso mehr freue ich mich, dass nun – wenn auch nicht hier direkt – ein größerer Beitrag von oder jedenfalls mit mir, dennoch das Licht der Welt erblickte. Seit November arbeiten wir, Dr. Kerstin Hoffmann und Rechtsanwältin Nina Diercks dem oben genannten Interview zum Thema „Markenbotschafter und Recht“ und heute ist er auf dem Blog von Frau Dr. Kerstin Hoffmann erschienen. Hurra!

Sie wissen nicht wer Frau Dr. Kerstin Hoffmann ist? Nun, das müssen wir schleunigst ändern: Frau Dr. Hoffmann gehört in Deutschland zu den bekanntesten Kommunikations- und Strategieberaterinnen, ist Buchautorin und Vortragsrednerin. Ihr Blog „PR-Doktor“ gehört zu den meistgelesenen Blogs der Branche.

Um so mehr freue ich, von Dr. Kerstin Hoffman zum Interview gebeten worden zu sein! Und hier ist es:

23 Fragen lang erkläre ich, worauf Unternehmen zu achten haben, sobald diese Mitarbeiter als Markenbotschafter einsetzen, welche juristische Informationen gerade Führungskräfte und Mitarbeiter/innen benötigen, die sich öffentlich für Ihren Arbeitgeber stark machen und welche rechtlichen Fallstricke Sie vermeiden können. Aber lesen Sie am besten selbst:

„Arbeitsrecht, Datenschutz, Schleichwerbung: Was Markenbotschafter und Unternehmen wissen müssen“

(Einfach auf den Link klicken und schon sind Sie mittendrin im Interview!)

In diesem Sinne,

viel Vergnügen beim Lesen! (und 1000 Dank an Kerstin für das Interview!)

1 2 3 7

Rechtsanwältin Nina Diercks

Rechtsanwältin Nina Diercks (M.Litt, University of Aberdeen) führt die Anwaltskanzlei Diercks in Hamburg und war bis Mai 2018 beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannte Sachverständige für IT-Produkte (rechtlich). Ihre Tätigkeitsschwerpunkte liegen im IT-Recht | Medienrecht | Datenschutzrecht und Arbeitsrecht. Daneben steht die Anwältin gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

Anmeldung zum Seminar-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @kanzleidiercks.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.