Hilfe

In einer Pressemittelung vom 30.06.2020 hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg mitgeteilt, dass wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) die  Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die  AOK Baden-Württemberg  eine  Geldbuße  von  1.240.000,- Euro  verhängt hat.

Zugleich habe Sie  – in konstruktiver Zusammenarbeit mit der AOK – die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt.

Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.

Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI zu Gunsten der AOK. Auf diese Weise konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden. Diese Verbesserungen und zusätzlichen Kontrollmechanismen wird die AOK zukünftig entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortführen und ggf. anpassen.

Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.

„Datensicherheit ist eine Daueraufgabe“, betont der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Der Sicherstellung datenschutzkonformer Zustände und der guten Zusammenarbeit von verantwortlichen Stellen mit dem LfDI als Aufsichtsbehörde wird dabei regelmäßig große Bedeutung beigemessen. „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“, so Brink abschließend.

Pressemitteilung:

https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung/

 

Stichwörter: DSGVO, Datenschutz, Datenschutzbeauftragter, Bußgeld, Datenschutzbehörde,

Sie haben eine Abmahnung der BMW AG wegen einer Markenrechtsverletzung erhalten?

Die BMW AG  mahnt aktuell vermeintliche Markenrechtsverletzungen hinsichtlich der Marken „BWM“, „BMW-Logo“, „M“,, „M-Logo“ oder „Mini“ ab.  Vertreten wird die BMW AG durch die die Kanzlei KLAKA Rechtsanwälte Partnerschaft mbB.

Betroffen sind zu meist Online Händler, die Fahrzeugteile, Zubehör usw. über das Internet zum Verkauf anbieten. Ihnen wird vorgeworfen, dass sie beim Verkauf dieser Produkte die Markenrechte der BMW AG verletzen.

Nach Meinung  der KLAKA Rechtsanwälte soll ein Verstoß gegen das Markenrecht gemäß § 14 Abs. 2 Nr. 2 MarkenG voliegen. Zudem rügen die Anwälte § 14 Abs. 2 Nr. 3 MarkenG (Rufausbeutung).

Gefordert werden in der Abmahnung die Abgabe einer strafbewehrten Unterlassungserklärung, Auskunft sowie Zahlung von Anwaltsgebühren in Höhe von 4.299,50 € (Streitwert 400.000,00 €)

 

Unsere Empfehlung:

  • Beachten Sie die Fristen! (es drohen teure Gerichtsverfahren)
  • Geben sie nicht ungeprüft eine Unterlassungserklärung ab (eine einmal abgegebene Erklärung gilt grds. ein Leben lang und ist mit hohen Vertragsstrafen verbunden)
  • Nehmen Sie keine Kontakt mit der Gegenseite auf
  • Lassen Sie von einem auf Markenrecht spezialisierten Anwalt (etwa einen Fachanwalt für gewerblichen Rechtsschutz) prüfen

 

Achtung! Die KLAKA Rechtsanwälte mahnen auch Markenrechtsverletzungen für andere Markeninhaber ab. So etwa für die Longchamps SAS

Gerne helfen wir Ihnen mit Rat und Tat.

Die Kanzlei Dr. Schenk ist seit vielen Jahren auf dem Gebiet des Markenrecht tätig. Wir beraten und vertreten selbstverständlich bundesweit.

Das Arbeitsgericht Düsseldorf, Urteil vom 05.03.2020, Az.: 9 Ca 6557/18 hat ein Unternehmen dazu verurteilt, an einem ehemaligen Mitarbeiter 5.000 Euro Schadensersatz zu leisten.

Das Gericht kam zu der Feststellung, dass das Unternehmen auf einen vom ehemaligen Arbeitnehmer gestellten Auskunftsantrag gemäß Art 15 DSGVO verspätet und nicht vollständig Auskunft erteilt hat.

Gemäß Artikel 15 DSGVO besteht für Verantwortliche eine Verpflichtung dazu, Auskünfte über die Verarbeitung personenbezogener Daten zu erteilen. Der genaue Umfang dieser Auskunftspflicht ist allerdings aktuell noch umstritten.

Gemäß Art. 12 Abs. 3 DSGVO sind die Informationen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann bei komplexen Fällen um zwei Monate verlängert werden.

Wegen der verspäteten und zudem unvollständigen Auskunft seht nach der Auffassung des Gerichts dem Auskunftssuchenden ein immaterieller Schadenersatz zu. Dieser ergibt sich aus Art 82 DSGVO. Hinsichtlich der Höhe hat das Arbeitsgericht Düsseldorf festgestellt, dass im Sinne europarechtlichen Effektivitätsgrundsatzes wirksamer Anspruch auf Schadensersatz voraussetze, dass dieser abschreckend wirke.

Das Urteil ist nicht rechtskräftig. Das Arbeitsgericht Düsseldorf hat die Berufung zum Landesarbeitsgericht Düsseldorf zugelassen.

Das Urteil zeigt nochmal deutlich,  dass Unternehmen Auskunftsansprüche nicht auf leichte Schultern nehmen sollen, sondern hierbei eine besondere Sorgfalt an den Tag legen sollten.

Gerne stehen wir Ihnen im Bereich Datenschutz und Arbeitsrecht mit Rat und Tat zur Seite.

Der Einsatz von Google Analytics stellt Webseitenbetreiber nach wie vor vor datenschutzrechtliche Fragen.

Hierzu hat nun die Datenschutzkonferenz (DSK) ein aktuelles Grundsatzpapier herausgebracht.

Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Zwar haben die Stellungnahmen der DSK keinen verbindlichen Charakter, doch kann ihnen entnommen werden, wie die datenschutzrechtlichen Grundsätze der Behörden gehandhabt werden. Die Überprüfung unterliegt allerdings auch nach wie vor den Gerichten.

Die DSK geht grundsätzlich davon aus, dass Google Analytics theoretisch datenschutzkonform einsetzbar ist.

Danach ist als Rechtsgrundlage für den Einsatz des Analysetools nur die Einwilligung des Nutzers einschlägig. Die Rechtfertigung über das sog. „berechtigte Interesse“ des Verwenders (Art. 6 Abs. 1 f) DSGVO) kommt indes nicht in Betracht.


Mit einfachen Worten ausgedrückt bedeutet das: in jedem Fall muss nach Ansicht der DSK die Einwilligung des Nutzers vor dem Einsatz von Google Analytics eingeholt werden.


Die DSK stellt auch Mindestvoraussetzungen an diese Einwilligung auf:

 

Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete

Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit

verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.

  • In der Einwilligung muss klar und deutlich beschrieben werden, dass die

Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym

sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen

Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um

Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und

Werbemaßnahmen“ ist nicht ausreichend, sondern irreführend, weil die damit

verbundenen Verarbeitungen nicht transparent gemacht werden.

  • Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne

Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus,

vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine

Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der

Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine

Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das

bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.

  • Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und

eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne

dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an

die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen

Datenverarbeitung kann gemäß Art. 7 Abs. 4 DS-GVO dazu führen, dass die

Einwilligung nicht freiwillig und damit unwirksam ist. „

 

Die DSK erteilt des Weiteren konkrete Gestaltungshinweise:

 

  • Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die 5 Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“. – Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
  • Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.
  • Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.“

 

Nach Ansicht der DSK muss zudem auch jeder Webseite eine Opt-Out-Möglichkeit vorgehalten werden. Dabei sei der bloße Hinweis auf die Möglichkeit der Deaktivierung von Google Analytics über das Browser-Add-On nicht allein nicht ausreichend.

 

Generell ist zu sagen, dass der Einsatz von Google Analytics bereits deswegen nur scheinbar rechtskonform möglich ist, weil die Einwilligung des Nutzers „informiert“ erfolgen muss. Der Nutzer muss also vor der Einwilligung genau erfahren können, was mit seinen Daten geschieht. Da Google diese Angaben jedoch selbst nicht herausgibt, ist jede Einwilligung bereits per se schon nicht vollständig informiert.

Wir empfehlen jedoch, wenigstens die Vorgaben der DSK umzusetzen.

Gerne sind wir Ihnen bei der Umsetzung behilflich und beraten Sie zu dem Thema.

 

Nächste Seite »