Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Category

Datenschutzrecht

Das Upload Magazin Nr. 64 trägt den Schwerpunkt Datenschutz. Zu dieser Ausgabe durfte ich zum einen mit einem Bericht zum Status Quo nach sechs Monaten DSGVO beitragen und zum anderen durfte ich einen Praxisleitfaden für KMU (kleine und mittelständische Unternehmen) zur Erreichung der DSGVO Compliance verfassen. Dabei erläutere ich nicht nur, was es mit

  • dem Verzeichnis von Verarbeitungstätigkeiten
  • den Informationen zur Datenverarbeitung
  • den Vertraulichkeitsverpflichtungen
  • den Technischen und organisatorischen Maßnahmen
  • Auftragsverarbeitungsverträgen
  • Privacy by Design & Default
  • Datenschutzfolgeabschätzungen
  • Meldepflichten und
  • dem Datenschutzmanagement-Handbuch

jeweils auf sich hat, sondern vor allem, wie diese in Bezug zueinander stehen. Eine  eine systematische Herangehensweise an das Thema DSGVO-Compliance ist nämlich nicht nur sinnvoll, sondern spart am Ende Zeit und damit natürlich auch Geld.

Mitgeben möchte ich Ihnen als Geschäftsführer/in eines KMU vor allem, dass die Umsetzung der DSGVO  im Ergebnis natürlich machbar und gar nicht solch ein großer Schrecken ist. Sozusagen ein Scheinriese, der den Vorteil mit sich bringt, dass die Unternehmensprozesse einmal durchleuchtet werden – was man zumeist ohnehin schon lange vorhat, aber nun einen guten Grund hat, dies wirklich einmal zu tun.

Doch nun genug der Vorrede, hier können Sie den ganzen Artikel lesen (einfach auf den Screenshot klicken):

 

In diesem Sinne,

wir lesen uns drüben.

Vor Geltung der DSGVO wurde der Untergang aufgrund von wettbewerbsrechtlicher Abmahnwellen wegen Datenschutzverstößen beschworen. Warum diese Wellen ganz sicher nicht kommen werden, hatte ich bereits Mitte Mai 2018 in diesem Thread auf Twitter sowie vor wenigen Tagen im UPLOAD Magazin im „Statusbericht zur DSGVO“ erläutert.

Ganz kurz und knapp zusammengefasst ist dies darin begründet, dass sich zum einen die Rechtslage mit der DSGVO überhaupt nicht geändert hat. Denn Datenschutzverstöße konnten auch unter dem BDSG bzw. TMG mit Abmahnungen angegriffen werden. Schließlich handelt es bei Datenschutzregelungen regelmäßig auch um sog. Marktverhaltensnormen* (s.u.). Und zum anderen ist es nach wie vor so, dass Unternehmen den eigenen Hof schon sehr sauber halten müssen, bevor sie den (datenschutzrechtlichen) Schmutz beim Mitbewerber angprangern (mehr dazu hier und hier).Von daher wird es auch künftig nicht zu einer „Abmahnwelle“ in diesem Bereich kommen – ganz gleich wie sehr diese immer wieder – fast verzweifelt – herbei geschrieben wird.

Die Rechtslage hat sich mit der DSGVO nicht geändert? Ja, dieser Auffassung bin ich und dieser Auffassung sind auch zahlreiche andere. Aber es ist nicht zu verleugnen, dass sich die juristische Fachwelt in dieser Frage noch uneins ist. So vertritt insbesondere Köhler (WRP 2018, 1269, mwN) die Auffassung, dass die DSGVO doch eine abschließende und damit vorrangige Regelung sei, so dass sich die Frage der Anwendbarkeit des UWG bzw. der damit gegebenen Rechtsmittel gar nicht mehr stelle. Andere stellen (s. a. hier Köhler, aaO mwN) in Abrede, dass es sich bei datenschutzrechtlichen Regelungen um Marktverhaltensnormen handele, so dass aufgrund dieser fehlenden Eigenenschaften wettbewerbsrechtliche Abmahnungen nicht in Betracht kämen.

Diese Uneinigkeit schlägt sich derzeit auch in der Rechtsprechung wieder (again: Nur weil es jetzt die eine oder andere Entscheidung gibt, bedeutet das nicht, dass wir von „Wellen“ reden könnten). Während das LG Würzburg (Beschluss vom 13.09.2018, Az.: 11 O 1741/18) so selbstverständlich von einer Anwendung des UWG neben der DSGVO ausging, dass es dazu noch nicht einmal ein Wort verlor, entschieden die Richter des LG Bochum (Teil-Versäumnis- und Schlussurteil, Az. I12 O 85/18), dass die DSGVO eine abschließende Regelung darstelle und damit Ansprüche von Mitbewerbern ausschlösse. Auch hier findet sich keine Begründung der Kammer, sondern nur der lapidare Hinweis, man wisse, dass diese Frage in der Literatur umstritten sei und man schließe sich Köhler an. (Ich dachte zwar immer, dass Richter eben über das Recht entscheiden und nicht der Einfachheit halber auf einen (!) bestehenden Aufsatz verweisen sollten, aber gut. Bin ja nur Anwältin.)

Nun hat sich das OLG Hamburg (Urteil vom 25.10.2018, Az. 3 U 66/17) mit eben diesen Fragen auseinandersetzen müssen und hat dies erfreulicherweise sehr ausführlich getan. Das Ergebnis überrascht mich nicht, liegt es doch schon auf der Linie, die das OLG seit 2013 verfolgt (vgl. OLG Hamburg: Mangelhafte Datenschutzerklärungen sind wettbewerbswidrig und mit Abmahnungen angreifbar, Artikel vom 11.07.2013).

Die Entscheidung lautet kurz und knapp:

  1. Die DSGVO steht einer Anwendung des UWG nicht entgegen. Die DSGVO stellt insoweit keine abschließende Regelung dar (ab Rz. 34)
  2. Die hier (!) in Rede stehende Norm des § 28 Nr. Abs. BDSG a.F stellt keine Marktverhaltensnorm dar.

Soweit so gut begründet so klar. Anders ausgedrückt:

Natürlich können Datenschutzverstöße weiterhin auch mit wettbewerbsrechtlichen Abmahnungen angegriffen werden, wenn und soweit gegen eine Marktverhaltensnorm verstoßen wurde.

Es ist eben zu prüfen, ob es sich bei der jeweiligen Norm um eine Marktverhaltensnorm handelt. Auch um die Frage, datenschutzrechtliche Normen und wenn ja, welche, Marktverhaltensregelungen im Sinne von § 3a UWG sind, wird im sehr gestritten.

Nicht ohne Grund hat das OLG Hamburg in diesem Fall die Revision zugelassen. Dies bedeutet, dass die Fragen, ob die DSGVO abschließend ist und wenn nicht, welche Datenschutzregelungen Marktverhaltensnormen darstellen, mit an Sicherheit grenzender Wahrscheinlichkeit vor dem BGH und möglicherweise auch vor dem EuGH verhandelt werden.

Aus den von mir hier an dieser Stelle eher knapp verlorenen Worten sowie den weiteren Ausführungen im Upload-Magazin wird wohl schon deutlich, dass ich die DSGVO für keine abschließende Regelung halte und meines Erachtens zahlreiche datenschutzrechtliche Normen als Marktverhaltensregelungen zu qualifizieren sind. Doch an dieser Stelle wird es von mir dazu zunächst keine weiteren Ausführungen geben, da ich just an dem Fachaufsatz

Schließt die DSGVO die Anwendbarkeit des UWG tatsächlich aus?

– Eine Replik auf Köhler (WRP, 11/18, S. 1269)

arbeite und all diesen Fragen intensiv nachgehen werden. Wo ich den Fachaufsatz veröffentlicht werden, steht derzeit noch nicht fest, aber ich halte Sie diesbezüglich ganz sicher auf dem Laufenden.

In diesem Sinne,

haben Sie erst einmal einfach einen sonnigen Tag!

 

Uff. Der letzte Artikel hier auf dem Blog stammt vom 10. August. *hust. So sollte es hier natürlich an sich nicht zugehen. Aber Schuld ist – wie immer!1!!11 – die DSGVO. Nun ja, das stimmt vielleicht gar nicht, doch irgendjemand bzw. -etwas muss schließlich Schuld sein. Fakt ist jedenfalls, dass die DSGVO auch bei uns immer noch für eine extrem hohe Auslastung sorgt, so dass Themen bzw. Artikel wie etwa:

Ist der Betriebsrat eigentlich Verantwortlicher im Sinne der DSGVO? 

oder

Schließt die DSGVO die Anwendung von Ansprüchen aus dem UWG für Mitbewerber wirklich aus?

immer noch nur halbfertig in der digitalen Schublade liegen. (Ja, das ist gerade der Versuch, sich selbst etwas Druck vorzugeben…).

Doch trotz aller Arbeit, wenn das Upload-Magazin anfragt, ob ich nicht etwas zum neuen Heft beitragen kann, dann kann ich nicht nein sagen. Und so findet sich dort seit gestern der Beitrag

Statusbericht zur DSGVO: Was bisher geschah…

 

In dem Beitrag fasse ich zusammen, was seit der Geltung der DSGVO am 25. Mai 2018 geschehen und was nicht geschehen ist, vor allem jedoch, was nach Aussage der Datenschutzbehörden im vierten Quartal 2018 passieren wird. In dem Zusammenhang erläutere ich auch, warum zwar nach wie vor kein Grund zur Panik besteht, es jedoch verfehlt wäre, sich als Geschäftsführer zurückzulehnen und zu glauben, die Sache mit der DSGVO sei doch nicht so wichtig, schließlich seien doch – entgegen aller Untergangsszenarien – keine Millionen-Bußgelder verhängt worden.

Damit genug der Vorrede, hier geht es zum Artikel.

In diesem Sinne,

wir lesen uns drüben!

In Sachen DSGVO meint man eher nur schlechte Nachrichten zu hören. Heute haben wir aber gute. Jedenfalls, wenn Sie auf Ihrer Webseite eine Google Maps Karte eingebunden haben. Google hat sich bezüglich seines Kartendienstes nun der DSGVO angenommen und eine (halbwegs schöne) Lösung für den DSGVO-konformen Einsatz der Google Maps API geschaffen.

Was ist die Google Maps API und welche Daten werden hierbei verarbeitet?

Die Google Maps API ermöglicht es Ihnen als Webseitenbetreiber kostenlos und einfach eine Google Maps Karte auf der eigenen Homepage darzustellen.

Da die Karten von Google Maps auf Googles eigenen Servern liegen, müssen die Karteninhalte beim Aufruf Ihrer Webseite durch den Nutzer (bzw. automatisch durch dessen Browser) bei Google heruntergeladen werden. Für diese Verbindung erhält Google die IP-Adresse des Nutzers und diese ist seit der DSGVO nunmehr unumstritten auch ein personenbezogenes Datum, das im Sinne der DSGVO verarbeitet werden muss.

Welche Nutzerdaten die Google Maps API noch erhebt und verarbeitet (z.B. Standortdaten und sonstige Informationen über das Nutzerendgerät u.a.), wird seitens Google bislang nicht offengelegt. Die Datenschutzerklärung von Google erläutert nicht, welche Daten explizit von der Google Maps API erhoben werden. Und diesbezügliche Anfragen im Google Maps Hilfeforum bleiben bislang unbeantwortet, vgl. hier. Doch dies nur am Rande. Gehen wir zunächst im Guten einfach davon aus, dass nur die IP-Adresse verarbeitet wird.

Bisherige Rechtslage bei der Nutzung der Google Maps API

Bis dato war unklar, wie die Verarbeitung von Daten durch die Google Maps API DSGVO-konform umgesetzt werden kann. Hier wurden verschiedene Auffassungen vertreten. Wer hier ganz sichergehen wollte, musste auf andere Kartendienste wie bspw. OpenStreetMap ausweichen.

Google ergänzt die Nutzungsbedingungen der Google Maps API um einen Joint Control Contract

Nun hat hat Google seine Nutzungsbedingungen für die Google Maps API aktualisiert. Bestandteil der Nutzungsbedingungen ist nun auch ein Vertrag über die gemeinsame Verantwortlichkeit (sog. Joint Control Contract – kurz JCC) zwischen Google und den Webseitenbetreibern. (Den Vertrag können Sie hier einsehen. Er ist leider nur auf Englisch verfügbar.)

Was ist ein Joint Control Contract?

Ein Joint Control Contract ist ein Vertrag zwischen mehreren Stellen, die gemeinsam für eine Datenverarbeitung verantwortlich sind (gemeinsam verantwortlich – joint control).

Nun muss man zunächst fragen, was eine gemeinsame Verantwortung ist:

Gegenüber der alleinigen Verantwortlichkeit sind nun mehrere Stellen gemeinsam für eine Datenverarbeitung verantwortlich, d.h. die Verantwortung verteilt auf diese mehreren Stellen.

Wann eine gemeinsame Verantwortlichkeit vorliegt, das macht das Gesetz nach Art. 26 DSGVO von den gemeinsamen Zwecken und Mitteln der Verarbeitung abhängig. Einfach ausgedrückt: Zur Datenverarbeitung teilen sich die gemeinsam Verantwortlichen nicht nur dieselbe Hardware/Software (Mittel der Verarbeitung), sondern verfolgen hierbei auch dieselben Interessen (Zwecke der Verarbeitung). Beispiel: Nutzen Sie wie viele andere Kunden ein SaaS-Produkt, sind nicht gleich alle Kunden gemeinsam Verantwortliche, da jeder unterschiedliche Zwecke verfolgt. Anders liegt es beispielsweise bei mehreren Konzernunternehmen, die Kundendaten im konzerneigenen CRM-System verwalten. Diese können gemeinsame Verantwortliche im Sinne des Art. 26 DSGVO sein. Nach einer Entscheidung des EuGH – C210/16 – am 05. Juni 2018 besteht sogar zwischen Seitenbetreibern einer Facebook Fanpage und Facebook eine gemeinsame Verantwortlichkeit (Frau Rechtsanwältin Nina Diercks hat zu dem Urteil in diesem Blogbeitrag berichtet.).

Von den gemeinsam Verantwortlichen verlangt das Gesetz nun, dass diese in einer Vereinbarung die jeweiligen Pflichten eines Verantwortlichen untereinander aufteilen. Und diese Vereinbarung nennt man den Vertrag über die gemeinsame Verantwortlichkeit, Joint Control Contract (kurz JCC) oder auch Joint Controllership Agreement.

Im Fall der Google Maps API liegt es so: Der Zweck der Verarbeitung ist die Darstellung der Karte auf der Webseite und das Mittel der Verarbeitung ist die API selbst. Damit ist der Webseitenbetreiber sowie Google gemeinsam verantwortlich für die im Rahmen der Google Maps API verarbeiteten Daten.

Entspricht der JCC von Google den Anforderungen von Art. 26 DSGVO?

Zugegeben, der Joint Control Contract von Google ist sehr simpel gestaltet. Nach Ziffer 4.1 (a) bis (c) tragen sowohl Sie als Webseitenbetreiber als auch Google schlicht alle Rechte und Pflichten gleichermaßen selbst. Das erscheint nicht ganz so „gemeinsam“, wie sich das der Gesetzgeber gedacht haben mag. Aus der Sicht der Webseitenbetreiber kann jedoch argumentiert werden, dass der Vertrag die wesentlichen Elemente enthält, die das Gesetz verlangt. Zudem soll der Vertrag soll die tatsächliche Beziehung der Vertragsparteien widerspiegeln. Und weder sind Sie als Webseitenbetreiber noch ist Google (als Anbieter der kostenlosen Maps API) daran interessiert, sich mit dem JCC mehr als nötig wechselseitig zu verpflichten. Und letztlich ist auch zu berücksichtigen, dass es „nur“ um die Verarbeitung von ohnehin pseudonymen IP-Adressen geht, die zur Darstellung der Karteninhalte zudem technisch zwingend erforderlich sind.

Ob der Joint Control Contract auch künftigen aufsichtsbehördlichen Einschätzungen genügen wird, lässt sich an dieser Stelle noch nicht prognostizieren. Um ehrlich zu sein, ist dies wohl fraglich. Doch ähnlich wie bei den Facebook-Seiten werden die Aufsichtsbehörden kaum unmittelbar gegen die einzelnen Seitenbetreiber vorgehen, sondern sich in erster Linie an Google wenden und Nachbesserungen an dem JCC verlangen.

Was sollten Sie jetzt tun?

Sofern Sie die Google Maps API auf Ihrer Webseite verwenden, müssen Sie, um den Joint Control Contract mit Google zu schließen, nichts weiter tun, als den Nutzungsbedingungen für die Google Maps API zuzustimmen. Denn der Joint Control Contract ist ein Bestandteil der Nutzungsbedingungen. (Die Nutzungsbedingungen finden Sie hier. Der JCC wird dort nach Ziffer 4.5.2. einbezogen.)

Im Übrigen sollten Sie noch folgende Änderungen in Ihrem Verzeichnis von Verarbeitungstätigkeiten sowie in Ihrer IDV Webseite (Informationen zur Datenverarbeitung bzw. Datenschutzerklärung) vornehmen:

Anpassungen in Ihrem Verzeichnis für Verarbeitungstätigkeiten:

  • Achten Sie darauf, dass bei den „Empfängern von Daten“ im Bereich Ihrer Webseite angegeben ist: Google Maps, Google LLC
  • Im Abschnitt „Übermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation“ sollten Sie hinsichtlich Ihrer Webseite folgendes aufnehmen bzw. anpassen:

Google Maps, Google LLC.

Auf der Webseite ist Google Maps über eine API eingebunden, um geographische Informationen visuell darzustellen. Zur Darstellung der Karte ist die Verarbeitung der IP-Adresse durch Google LLC. zwingend erforderlich. 

Google LLC. ist Privacy Shield zertifiziert. Die Zusammenarbeit mit Google LLC in datenschutzrechtlicher Hinsicht erfolgt auf der Grundlage eines abgeschlossenen Vertrags über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO, abrufbar unter https://privacy.google.com/intl/de/businesses/mapscontrollerterms/.

Im Übrigen tritt der Nutzer durch die Nutzung von Google Maps unmittelbar mit Google in ein Nutzungsverhältnis.

Anpassungen in den Informationen zur Datenverarbeitung (auch Datenschutzerklärung) zu Ihrer Webseite

Ihre Informationen zur Datenverarbeitung auf Ihrer Webseite (auch Datenschutzerklärung genannt) sollten im Abschnitt „Umfang und Zweck der Datenerhebung und –speicherung“ bzgl. Google Maps wie folgt ergänzt werden:

Google Maps

Damit Sie uns leichter finden können, haben wir in unsere Webseite Kartenmaterial des Dienstes Google Maps von Google LLC über eine API eingebunden. Um die Inhalte in Ihrem Browser darstellen zu können, muss Google Ihre IP-Adresse erhalten, denn sonst könnte Ihnen Google diese eingebundenen Inhalte nicht liefern.

Die Rechtsgrundlage dieser Datenverarbeitung ist Art. 6 Abs. 1 b) DSGVO, da die IP-Adresse benötigt wird, um Ihnen die Inhalte liefern zu können. Bei dieser Verarbeitung erfolgt unsere Zusammenarbeit mit Google auf Grundlage eines Vertrags über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO, der hier abgerufen werden kann.

Weitere Informationen zur Datenverarbeitung durch Google finden Sie in den Datenschutzrichtlinien von Google unter https://www.google.de/intl/de/policies/privacy/.

 

Update  – 13.08.2018 –

Klarstellend ist zu ergänzen: Der JCC von Google ist keine Reaktion auf das Urteil des EuGH zur Facebook-Fanpage vom 05.06.2018, da der JCC schon früher veröffentlicht wurde. (Eine erste Veröffentlichung ist auf den Oktober 2017 datiert. Die Einbeziehung in die Nutzungsbedingungen erfolgte hiernach offenbar am 01.05.2018.)

Zur Diskussion auf Twitter mit Dr. @MalteEngeler dazu, ob der Vertrag tatsächlich als JCC eingeordnet werden kann, vgl. diesen Twitter-Thread.

 

Vor wenigen Stunden erst veröffentlichte ich hier den Artikel Facebook-Seitenbetreiber und Facebook sind gemeinsam für die Datenverarbeitung verantwortlich – EuGH C-210/16 – Und nun?. In diesem legte ich kurz da, worum es in dem Urteil ging, das gestern und heute wie ein Donnerschlag durch das Netz hallte, welche Auswirkungen es wohl haben könnte und ob Facebook-Seitenbetreiber nun Ihre Seiten besser abschalten müssten.

Ich wagte dabei ein wenig den Blick in die Glaskugel und kam zu dem Schluss:

Behalten Sie die Angelegenheit im Auge, aber rennen Sie nicht verrückt im Kreis.

Mit der Auffassung befinde ich mich in guter Gesellschaft, denn die geschätzten Kollegen

RA Dr. Thomas Schwenke – Analyse zum EuGH-Urteil: Kein Grund, Facebook-Seiten zu schließen

RA Dr. Carsten Ulbricht – EuGH Urteil: Facebook Fanpagebetreiber sind mitverantwortlich für Datenverarbeitung auf Facebook ! Und jetzt ?

RA Prof Niko Härting – Fanpage-Urteil des EuGH – 10 Fragen, 10 Antworten : Good bye Auftragsverarbeitung, welcome “gemeinsame Verantwortlichkeit” 

kommen letztlich zu dem gleichen Ergebnis.

Nichts ist älter als die News von gestern

Allerdings vergeht derzeit – gefühlt –  kaum ein halber Tag ohne dass es Neuigkeiten von datenschutzrechtlicher Relevanz gäbe. Und so teilte mir das LfDI Baden-Württemberg (öffentlich) via Twitter kurz nach der Veröffentlichung meines Artikels am Nachmittag mit, dass es noch heute zu den aufgeworfenen Fragen, bzw. vielmehr zu dem EuGH noch eine Äußerung der DSK (Datenschutzkonferenz, Zusammenschluss der Vertreter der deutschen Aufsichtsbehörden) geben würde. Anders ausgedrückt, dass Sie die Angelegenheit so kurzfristig im Auge behalten müssen, hätte ich auch nicht gedacht.

Aber hier ist sie nun, die

Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 06. Juni 2018

Der Eingangssatz/die Überschrift lautet:

Den ganzen Artikel lesen.

1 2 3 11

Rechtsanwältin Nina Diercks

Rechtsanwältin Nina Diercks (M.Litt, University of Aberdeen) führt die Anwaltskanzlei Diercks in Hamburg und war bis Mai 2018 beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannte Sachverständige für IT-Produkte (rechtlich). Ihre Tätigkeitsschwerpunkte liegen im IT-Recht | Medienrecht | Datenschutzrecht und Arbeitsrecht. Daneben steht die Anwältin gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

Anmeldung zum Seminar-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @kanzleidiercks.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.