Datenschutz

Datenschutz ist in aller Munde. Die Frage über den Umgang mit persönlichen Daten wird nicht nur bei prominenten Beispielen wie Facebook, Google oder Youtube heiß diskutiert.

 

Im Kampf gegen den „gläsernen Bürger“ sind es vor allem die Datenschutzbeauftragten der Länder, die über die Einhaltung derjenigen Regeln wachen sollen, welche die Erhebung, Speicherung und Verwertung von persönlichen Daten ermöglichen. Doch so ehrenhaft diese Tätigkeit sein mag, sie hat auch ihre Grenzen.

 

Eine solche Grenze wurde dem Datenschutzbeauftragen des Landes Baden-Württemberg durch das Verwaltungsgericht Karlsruhe aufgezeigt. Was war passiert?

 

Da auch die EU die Notwendigkeit einer einheitlichen Regelung zum Schutz persönlicher Daten erkannt hat, brachte sie die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG auf den Weg, kurz: EU-Datenschutzgrundverordnung, oder EU-DSGVO.

 

Hierbei ist wichtig zu wissen, dass sie zwar bereits am 24. Mai 2016 in Kraft getreten ist, aber erst ab dem 24. Mai 2018 angewendet werden muss. Diese „Schonfrist“ von zwei Jahren soll ermöglichen, dass sich alle auf die neuen Regelungen einstellen können, bis diese verbindlich werden.

 

Scheinbar ging dies dem Datenschutzbeauftragten des Landes Baden-Württemberg nicht schnell genug. Schon im November 2016 erließ er eine Verfügung gegenüber einer Wirtschaftsauskunftei, welche Daten über die Kreditwürdigkeit von Personen sammelt und speichert. Gegenstand der Verfügung war, dass alle Forderungen und die mit ihnen in Zusammenhang stehenden Informationen nach 3 Jahren zu löschen seien, wenn diese über den 24 Mai 2018 hinaus gespeichert werden sollten.

 

Nach Auffassung des Datenschutzbeauftragten war diese Verfügung notwendig, da nicht sicher sei, ob die Auskunftei den zweijährigen Zeitraum dazu nutzen werde, die Verarbeitung personenbezogener Daten an die neuen Vorgaben anzupassen. Folglich könnten zukünftige Verstöße nicht ausgeschlossen werden.

 

Die Auskunftei wehrte sich hiergegen. Und bekam Recht. Das Verwaltungsgericht Karlsruhe erteilte dem Vorgehen des Datenschutzbeauftragten eine deftige Absage. Die Verfügung des Datenschutzbeauftragten wurde auf mehreren Ebenen für unrechtmäßig erklärt.

 

Zunächst moniert das Gericht, dass die gewählte Ermächtigungsgrundlage nicht anwendbar sei. Zwar darf der Datenschutzbeauftrage Maßnahmen ergreifen, um festgestellte Verstöße bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zu beseitigen. Für noch zu erwartende Verstöße gilt dies allerdings nicht. Bestehende Verstöße sah das Gericht nicht. Außerdem würdigte das Gericht die Anstrengungen der Auskunftei, zusammen mit Verbänden und anderen Auskunfteien zusammen einen neuen „Code of Conduct“, also einen selbst auferlegten Verhaltenscodex, zu entwerfen.

 

Die spannende Frage, ob eine in Kraft getretene aber noch nicht verbindliche Verordnung auch zu behördlichem Handeln ermächtigen kann, musste dann nicht mehr beantwortet werden.

 

Aber damit nicht genug. Obwohl schon an diesem Punkt die Klage der Auskunftei erfolgreich gewesen wäre, holt das Verwaltungsgericht zu weiteren Schlägen aus.

 

Neben der fehlenden bzw. nicht anwendbaren Rechtsgrundlage bemängelte das Gericht auch, dass die Verfügung nicht bestimmt genug war. Es entschied, dass die Verfügung der Auskunftei nicht deutlich genug klar mache, was diese eigentlich zu tun habe. Vor allem die Aufforderung, alle „mit [den zu löschenden Forderungen; Anm. des Autors] in Zusammenhang stehende Informationen“ zu löschen stieß dem Gericht sauer auf. Es sei nicht genug konkretisiert worden, was damit gemeint ist.

 

Auskunftei 2, Datenschutzbeauftragter 0.

 

Zuletzt stellt das Verwaltungsgericht fest, dass die Verfügung gar keine Verfügung ist. Sondern eine Rechtsnorm, „welche unzulässigerweise in Form des Verwaltungsaktes erlassen wurde und auch aus diesem Grund – da eine Umdeutung nicht möglich ist – aufzuheben ist“ (sic!). Zu diesem Ergebnis kommt das Gericht aufgrund des zeitlichen und inhaltlichen Geltungsbereiches der Verfügung. Diese habe eine unbestimmte Geltungsdauer und sei darauf ausgerichtet, den gewünschten Rechtszustand nicht nur gegenüber der klagenden, sondern gegenüber ALLEN in Baden-Württemberg ansässigen Auskunfteien herbeizuführen.

 

Treffer, versenkt.

 

Das Verwaltungsgericht macht damit klar, dass die Datenschutzbeauftragten beim Erlass derartiger Verfügungen große Sorgfalt walten lassen sollten, um ihrem hehren Ziel des Datenschutzes nicht unnötige Probleme zu bereiten. Auch wird deutlich, dass die „Schonfrist“ ernst zu nehmen ist und behördliches Handeln erst auf europäische Verordnungen gestützt werden kann, wenn diese auch anzuwenden sind

SIe haben Fragen zum Datenschutz oder beötigen einen Datenschutzbeauftragten. Gerne stehen wir Ihnen mit Rat und Tat zur Seite. 

 

Derzeitiger Trend ist ganz eindeutig das neue Handy-Spiel Pokémon Go, bei dem die Spieler auf die Straßen gehen, um die kleinen „Taschenmonster“ zu finden, einzusammeln und mit ihrem Monsterbestand gegen andere Spieler antreten zu können. Das Besondere an diesem Spiel ist das sog. Augmented Reality, bei der virtuelle und echte Welt verbunden werden und die Monster in der realen Umgebung angezeigt und gesammelt werden können. Um das Spiel spielen zu können, muss zunächst beim Entwickler Niantic eine App heruntergeladen werden zu deren Nutzung eine Anmeldung über ein Google-Konto oder im Pokémon Trainer Club erforderlich ist. Für diese Anmeldung müssen von den Nutzer Daten wie die E-Mailadresse, aber auch der Standort des Smartphones freigegeben werden. Ein anonymes Spielen ist dadurch unmöglich, die Eingabe personenbezogener Daten sind zwingend erforderlich. Zudem enthalten die Nutzungsbedingungen dieses Spiels weitreichende Haftungs- und Gewährleistungsausschlüsse, es soll kalifornisches Recht gelten und im Falle von Streitigkeiten soll der Nutzer ein Gericht in den USA aufrufen. Außerdem behält sich Niantic auch das Recht vor bei eine mit dem Nutzer geschlossenen Vertrag die Dienste jederzeit abzustellen oder den Vertrag abzuändern. Auch die Datenschutzerklärung enthält schwer verständliche und weitreichende Einwilligungserklärungen, so dass personenbezogene Daten nach Ermessen von Niantic an Dritte weitergereicht werden dürfen. All diese Bestimmungen veranlassten den Verbraucherzentrale Bundesverbands (vzbv) dazu, die Entwicklungsfirma Niantic abzumahnen. Der vzbv forderte Niantic auf, insgesamt 15 Vertragsbestimmungen bis zum 09.08.2016 nicht weiter zu verwenden und diesbezüglich eine strafbewährte Unterlassungs- und Verpflichtungserklärung abzugeben. Kommt Ninatic dieser Aufforderung nach, darf das Unternehmen diese Bestimmungen künftig nicht mehr verwenden. Für den gegenteiligen Fall könnte der vzbv die Ansprüche gerichtlich, im Wege einer einstweiligen Verfügung oder eines Klagverfahrens, geltend machen.    

Das Landgericht Köln, Beschluss vom 26.11.2015, Az.: 33 O 230/15 hat entschieden, dass eine fehlende Datenschutzerklärung auf einer Webseite einen Wettbewerbsverstoß  darstellt und daher abmahnfähig ist. Die Entscheidung steht damit einer Linie zu einer Entscheidung des OLG Hamburg, 27.06.2013 – 3 U 26/12). Da es sich bei der Entscheidung des Landgerichts Köln, um einen Beschluss handelt, der im Zuge eines einstweiligen Verfügungsverfahrens erlassen wurde, fehlen leider die Entscheidungsgründe. Es ist aber davon auszugehen, dass das  Gericht seine Entscheidung auf  § 13 TMG stützt und diese Norm als Marktverhaltensregel im Sinne des Wettbewerbsrechts anerkennt.

Das OLG Hamburg führte insoweit wie folgt aus:

„Bei dieser Norm (gemeint § 13 TMG) handelt es sich nach Auffassung des Senats um eine im Sinne des § 4 Nr. 11 UWG das Marktverhalten regelnde Norm. Diese Vorschrift setzt u.a. Art. 10 der Datenschutzrichtlinie 95/46/EG um, die nicht nur datenbezogene Grundrechte gewährleisten (Erwägungsgrund 1), sondern auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2). Die Regelungen der Richtlinie dienen deshalb auch der Beseitigung solcher Hemmnisse, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln.“

Es deutet sich an, dass eine fehlende Datenschutzerklärung aber auch eine fehlende Datenschutzerklärung immer mehr zu einer Abmahngefahr werden wird. Wir raten daher allen Betreibern von Webseiten zu überprüfen ob eine Datenschutzerklärung vorhanden ist und ob diese den gesetzlichen Anforderungen entspricht.

Für Fragen rund um den Datenschutz stehen wir Ihnen gerne zur Verfügung. Selbstverständlich helfen wir Ihnen auch, für den Fall, dass Sei eine Abmahnung erhalten haben.

Sie erreichen uns telefonisch unter 0800/3331030 (kostenfreie Hotline) oder per Mail unter kanzlei@dr-schenk.net

Unsere Website verwendet Cookies, um einen schnellen und technisch einwandfreien Internetauftritt zu gewährleisten. Wenn Sie Ihren Besuch auf unserer Website fortsetzen, stimmen Sie der Verwendung dieser Cookies indirekt zu. Bitte lesen Sie unsere Datenschutzerklärung für weiterführende Informationen. Datenschutzerklärung | Zustimmen