News – kurz und knapp!

Auf die Anwaltskanzlei Schenk Datenschutz Rechtsanwaltsgesellschaft mbH kommen derzeit viele Website-Inhaber zu, die Datenschutz-Abmahnschreiben bekommen haben. Herr Martin Ismael, RA Kilian Lenard, IG Datenschutz; auch Frau Susanne Schober, Herr Witte und Loris Bachert fordern fleißig Schadensersatzzahlungen i.H.v. 170 € oder 100 €.  Wegen einem Datenschutzverstoß werden außerdem Unterlassung und Auskunft mit einer Fristsetzung gefordert.

Diese Abmahner werfen Website-Betreibern einen Datenschutzverstoß im Hinblick auf die Nutzung des Dienstanbieters „Google Fonts“, auch „Google Tag Manager“ etc. vor.

Die spezialisierte Kanzlei weist die in der Abmahnung erhobenen Vorwürfe vollumfänglich zurück.

  1. Rechtsmissbrauch 

In der Rechtsprechung ist nämlich schon nicht hinreichend geklärt, ob eine Abmahnbefugnis von Verbrauchern wegen (angeblichen) DSGVO-Verstößen besteht.

Ein Schaden ist außerdem weder entstanden, noch wurde der Schadensnachweis rechtsgültig erbracht.

Die Abmahner suchen offensichtlich gezielt nach Websites, um Ihren „digitalen Fingerabdruck“ zu hinterlassen, um dies sodann zu dokumentieren und anschließend Unterlassungs- und Auskunftsansprüche sowie Schadensersatzansprüche gegen Website-Betreiber geltend zu machen.

Dies lässt nicht nur den vermeintlichen Schadensersatzanspruch entfallen, sondern ist darüber hinaus auch rechtsmissbräuchlich. Wer gezielt Websites aufsucht, die Google Fonts verwendet und bei einem Besuch derselben davon ausgeht, dass seine personenbezogenen Daten bei dem Besuch der Website erhoben und weitergeleitet werden und dies sogar absichtlich geschehen lässt (teilweise wurden sogar spezielle Programme hierfür entwickelt), dessen Motivation besteht allein in der Aussicht, finanzielle Vorteile aus den Schadensersatzansprüchen zu gewinnen.

  1. Fehlende Adressangaben oder „Briefkasten-Adressen“

Im Übrigen agieren die Abmahner teilweise rechtsmissbräuchlich aufgrund der fehlenden oder falschen Angabe der Adresse.

Hintergrund ist die Unkenntnis, darüber wer sich konkret hinter der vermeintlichen Forderung verbirgt. Diese essentialia negotii, die einem Vertragsschluss innewohnen, sind Voraussetzung für die Zahlung eines Schadensersatzanspruches, der aus rechtlicher Sicht die Annahme zu einem Vergleich darstellt.

  1. Drehen Sie den Spieß um: Fordern Sie von dem Abmahner die Rechtsanwaltskosten

Das Oberlandesgerichts Frankfurt (Urteil vom 10.02.2022 – 6 U 126/21) gestand dem Kläger einen Schadensersatzanspruch aufgrund unberechtigter Schutzrechtsverwarnung gem. § 823 Abs. 1 BGB als Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb zu.

Frau Rechtsanwältin Schenk sagt dazu im Interview: „Wir haben eine Vielzahl der Fälle bearbeitet. Nach unserem Schriftsatz hat sich die Angelegenheit bislang in sämtlichen Fällen erledigt.“

Die Anwaltskanzlei Schenk Datenschutz Rechtsanwaltsgesellschaft mbH ist vom Magazin FOCUS als TOP Wirtschaftskanzlei im Bereich Datenschutzrecht empfohlen, nachdem die spezialisierte Kanzlei von Juristen und Mandanten gewählt worden ist.

Babenhausen/München. Die ANWALTSKANZLEI SCHENK DATENSCHUTZ RECHTSANWALTSGESELLSCHAFT MBH wurde auch dieses Jahr wieder im FOCUS im Bereich „Datenschutzrecht“ ausgezeichnet. Im FOCUS Spezial „Recht und Rat“ wurden im September die Top-Listen der empfohlenen Rechtsanwälte und Wirtschaftskanzleien 2022 veröffentlicht. Die Ergebnisse basieren auf einer unabhängigen Datenerhebung mit den Bewertungskriterien „Empfehlung von Kollegen und Unternehmensjuristen“. Die Rechtsanwältinnen bieten verständliche, kompetente und preislich faire Beratung und Vertretung in den Bereichen IT-Recht, Datenschutz, Wettbewerbsrecht, internationaler Marken- und Designschutz und Urheberrecht (IP/IT). Die Geschäftsführerin und Fachanwältin für gewerblichen Rechtsschutz, Sabine Schenk erklärte: Dass wir dieses Jahr wieder vom Focus empfohlen und von Kollegen gewählt worden sind, sehen wir als Auszeichnung unseres breiten Wissensspektrums.

Rechtsanwältin Sabine Schenk dieses Jahr wieder als Referentin auf dem IT-Kongress der Hochschule Neu-Ulm und Technische Hochschule Ulm:

IT-Kongress 2022 – Programm (PDF)

Das Forum für Entscheidende, Nutzende und IT-Profis

IT-Trends der Gegenwart und Zukunft stehen im Mittelpunkt des IT-Kongresses, der am 10. November 2022 stattfinden wird.

Mit dem Ziel, anwendbares IT-Wissen und umsetzbare Lösungen zu präsentieren, richtet sich die Fachtagung an Firmenvertreter aller Branchen, insbesondere an kleine und mittelständische Unternehmen sowie Hochschulangehörige und Studierende.

Seit 2010 findet der IT-Kongress jährlich im November statt und lockt inzwischen regelmäßig über 400 Teilnehmer an die Hochschule Neu-Ulm. Ausgerichtet wird die Veranstaltung von den Hochschulen Neu-Ulm und Ulm, dem Stadtentwicklungsverband Ulm/Neu-Ulm sowie regionalen Unternehmen.

Zu dem Thema Informationssicherheit und Datenschutz referiert Rechtsanwältin Schenk zu dem Thema rechtssicher und erfolgreich in der digitalen Welt

Online Event: Seien Sie online mit dabei am 10.11.2022 um 10.30 Uhr https://www.it-kongress.com/

„Verstoß gegen die DSGVO-rechtswidrige Weitergabe von Daten“

Besuch auf Ihrer Website http://www… / Google Fonts“

Das sind Überschriften der Briefe und E-Mails, die an Website-Inhaber derzeit verschickt werden.

Uns erreichen Anfragen, wie „Können Sie mir da eine Auskunft geben, wie ich da reagieren sollte? Ich bin da nun etwas überfragt. Sollte ich da nachgeben? Generell denke ich 100 Euro sind ein geringer Betrag…“

100 € ein geringer Betrag? Wir sind anderer Meinung: Für ein rechtsmissbräuchliches Schreiben ist jeder Cent zu viel.

Was kann passieren, wenn Sie nachgeben und die 100 € überweisen?

Dies kann zusätzlich hohe Kosten für Sie auslösen:

  • Weitere solche Anschreiben mit Forderungen von anderen Websitebesuchern können folgen, auch von Rechtsanwälten und Abmahnvereinen. Diese können Rechtsanwaltskosten/Abmahnkosten von Ihnen fordern.
  • Der Absender kann Ihnen eine Anfrage stellen, welche Daten Sie bzw. Google Fonts über ihn gespeichert/weitergegeben haben. Wenn Sie diese nicht innerhalb eines Monats beantworten, kann Ihnen von der Datenschutzbehörde ein Bußgeld nach der DSGVO auferlegt werden.
  • Es kann eine Unterlassungserklärung gefordert werden. Es kann Klage erhoben werden auf Rechtsanwalts-/Abmahnkosten, ggf. Schadensersatz und Unterlassung sowie Auskunft. Der Streitwert des Verfahrens vor dem Landgericht München im Januar 2022 betrug 5.657,03 €.

Was sollten Sie tun, wenn Sie ein Schreiben bekommen haben?

Zahlen Sie die geforderten 100 € nicht. Wenden Sie sich an eine auf Datenschutz spezialisierte Kanzlei.

Wir unterstützen Sie rechtlich und geben Ihnen Tipps für die richtige Einbindung von Google Fonts.

Google Fonts können Sie weiter nutzen, wenn Sie dies lokal einbinden, da so keine IP-Adressen der Websitebesucher übertragen werden. Die andere Möglichkeit ist, dass die Besucher der dynamischen Version von Google Fonts über den Cookie Banner zustimmen.

Rechtlich können wir Sie mit einem „scharfen Schwert“ gegen den Verfasser der Schreiben verteidigen! Wie?

  1. Wir gestalten Ihnen eine juristisch korrekt formulierte Unterlassungserklärung.

Das ist rechtlich erforderlich, weil die Wiederholungsgefahr ohne Abgabe einer Unterlassungserklärung nicht ausgeräumt ist. Ansonsten können weitere Websitebesucher von Ihnen die Abgabe einer Unterlassungserklärung fordern, auch im Rahmen einer Klage. Dann können schon für das außergerichtliche Schreiben Rechtsanwalts-/Abmahnkosten anfallen.

  1. Wir entwerfen für Sie einen Schriftsatz gegen den Verfasser, um weitere rechtliche Schritte gegen Sie zu vermeiden.
  2. Auch können wir gegen Verfasser Klagewege vorgehen, wenn Sie dies wünschen.

Rechtlicher Hintergrund:

Die Entscheidung des Landgerichts Münchens I, die als Urteil auf den Briefen beiliegt, ist noch keine gefestigte Rechtslage.

Es liegt auf der Hand, dass die Verfasser der Schreiben die angeblichen Datenschutzverstöße selbst provozieren, indem sie systematisch nach Websites suchen, die angeblich eine rechtswidrige Einbindung von Google Fonts vorgenommen haben.

Dieses Vorgehen ist rechtsmissbräuchlich, weil primär sachfremde und nicht schutzwürdige Interessen verfolgt werden. Der Schutz der eigenen Daten hat bei einem solchen Vorgehen keinerlei Bedeutung. Die Motivation besteht vielmehr darin, finanzielle Vorteile aus den Schadensersatzforderungen zu gewinnen.

Im Rahmen der vorzunehmenden Interessensabwägung folgt daher das Ergebnis eines sehr geringen Risikos. In der Folge ist ein Schadensersatzanspruch auch aus diesem Grund als ausgeschlossen anzusehen.

Sollte man gleichwohl von einem Rechtsverstoß mit hohem Risiko ausgehen, der nach unserer Rechtsansicht in diesen Fällen nicht besteht, zumindest um den eigenen Mitverschuldensbeitrag gemäß § 254 BGB der Höhe nach erheblich zu kürzen. Danach ist die geforderte Schadenshöhe von 100 € völlig ungerechtfertigt.

Es fehlt auch an der ordnungsgemäßen Darlegung des Schadens der Verfasser. Wenn die Verfasser schreiben, dass ihr Ärgernis über die Weitergabe der Daten enorm ist oder sie Unbehagen oder Unwohlsein empfinden, reicht dies aus rechtlicher Sicht nicht aus. Nach der DSGVO ist ein Schaden anhand des Gewichtes der Rechtsverletzung sowie des objektiven Umfanges der Beeinträchtigung zu messen. Zur Geltendmachung eines Schadens gehört unter anderem auch der durch den Verfasser des Schreibens zu führende Nachweis der Entstehung eines Schadens. Es fehlt schlichtweg am Vortrag objektiver und / oder objektivierbarer Umstände der Verfasser.

Wie kann man so etwas zukünftig vermeiden?

Kümmern Sie sich um den Datenschutz oder beauftragen Sie eine Kanzlei, die darauf spezialisiert ist.

Wir unterstützen Sie gerne. Melden Sie sich für eine kostenlose Ersteinschätzung.

Autorin: Rechtsanwältin Sabine Schenk, Fachanwältin für gewerblichen Rechtsschutz (Marken-, Medien-, Patent-, Wettbewerbs- und Urheberrecht); Spezialistin für IT- Recht, IT-Sicherheitsbeauftragte (Modal), Gründerin der https://emitarbeiterschulung.de/; und Geschäftsführerin der Anwaltskanzlei Schenk Datenschutz Rechtsanwaltsgesellschaft mbH.

Veröffentlichung von Frau Rechtsanwältin Sabine Schenk im Journal für Revision, IT-Sicherheit, SAP-Sicherheit und Datenschutz: Revisionspraxis PRev, Ausgabe 2 April 2022, erschienen im Boorberg Verlag: „Die digitale Transformation von Unternehmen in Zeiten der Pandemie“.

Das Oberlandesgericht Düsseldorf hat entschieden, dass ein Händler nicht auf Schadensersatz haftet, wenn er Ware vertreibt, die unter Verletzung von fremden Patentrechten hergestellt worden ist (OLG Düsseldorf, Urteil vom 16.02.2006, Az. I-2 U 32/04).

Das Oberlandesgericht Frankfurt hatte jüngst einen Fall zu entscheiden, in dem 400 Fachhändler wegen einer Patentverletzung abgemahnt worden sind (Frankfurt a.M., Urteil vom 28.10.2021 – 6 U 161/11) und die Rechtsanwaltsgebühren deutlich reduziert.

In einer ähnlichen Angelegenheit, bei dem eine nahezu gleichlautende Abmahnung in einer hohen Zahl (dort wegen Filesharing) versandt worden ist, hat der Bundesgerichtshof entschieden, dass jeder Abgemahnte nur einen sehr geringen Teil der geforderten Rechtsanwaltskosten zu tragen hat, wenn die Abmahnungen im Großen und Ganzen gleich sind (BGH, Urteil vom 06.06.2019 – I ZR 150/18, MIR 2020, Dok. 014 – Der Novembermann).

Was war geschehen?

Fall des Oberlandesgerichts Düsseldorf:

Die Klägerin ist eingetragene Inhaberin eines europäischen Patents und nimmt die Beklagte wegen einer angeblichen Patentrechtsverletzung in Anspruch. Sie begehrt Unterlassung und Feststellung, dass die Beklagte verpflichtet ist, den Schaden zu ersetzen, welcher ihr bereits entstanden ist und in Zukunft entstehen wird.

Die Beklagte hat erstinstanzlich geltend gemacht, sie bestritte die gesamte von der Klägerin gegebene Darstellung des technologischen Hintergrundes und die gesamten technischen Zusammenhänge der angeblichen Patentverletzung mit Nichtwissen. Sie habe keine Kenntnis über die in den vertriebenen Mobilfunktelefonen enthaltenen Magnete und könnten auch nicht aufgrund eigener Wahrnehmung feststellen, ob sie aus einem Material bestünden, welches in dem Patentanspruch des Klagepatents beschrieben sei.

Urteil: Keine Haftung für den Händler bei Patentverletzung

Das Gericht lehnte vorliegend eine Haftung des Händlers auf Schadensersatz ab.

Zur Begründung führte das Gericht aus, dass es nach der Verkehrsauffassung keineswegs zu den Pflichten eines Verkäufers gehöre, eine technische Konstruktion in allen Einzelheiten darauf hin zu untersuchen, ob diese unter Patentschutz stünde und ob der Patentinhaber selbst der Fabrikant gewesen sei oder ob er seine Zustimmung zur Herstellung gegeben habe. Wenn man dem Verkäufer vor jedem Geschäftsabschluss eine Überprüfung der Patentlage zumuten, so würde man ihn praktisch zur Einrichtung eines eigenen Patentbüros oder zur Inanspruchnahme eines Patentanwalts zwingen, was zu einer untragbaren Verteuerung und Verzögerung des Handels führen müsste. Gesamtwirtschaftlich sei dies nach Auffassung des Gerichts unsinnig und würde dazu führen, dass jeder Händler Sachverständige (Rechtsanwälte, Techniker, Ingenieure, usw.) hinzuziehen müsse, die technisch und rechtlich prüfen, ob eine Rechtsverletzung vorliege. All das wäre mit erheblichem Aufwand und erheblichen Kosten verbunden.

Die Nachforschung nach entgegenstehenden Patenten ist dem Verkäufer nicht zuzumuten, weil der Prüfmaßstab des Fabrikanten sehr hoch sei. Der Verkäufer müsse sich daher in der Regel darauf verlassen dürfen, dass der Fabrikant seiner Prüfungspflicht genügt und keine Konstruktion herausbringe, welche von einem fremden Patent Gebrauch macht (OLG Düsseldorf, Urteil vom 16.02.2006, Az. I-2 U 32/04).

Die Prüfungspflichten sind einfacher und angebrachter auf Herstellerebene zu erfüllen. Der Händler von Produkten dürfe sich daher in aller Regel auf die Hersteller verlassen und dass diese die Schutzrechtslage beachtet haben. Vom Hersteller könne Kenntnis über die Erteilung der Schutzrechte erwartet werden. Ein Händler braucht ohne besondere Umstände nicht anzunehmen, dass Rechte Dritter verletzt sein könnten. Das gelte hier auch für die Beklagte. Sie sei keine Herstellerin, sondern eine Händlerin. Das nötige technologische und rechtliche Wissen müsse bei ihr nicht vorausgesetzt werden. Es habe für sie auch kein Anlass zur Überprüfung etwaiger Schutzrechtsverletzungen bestanden. Die Klage habe daher abgewiesen werden müssen (OLG Düsseldorf, Urteil vom 16.02.2006, Az. I-2 U 32/04).

Abmahnung wegen Patentrechtsverletzung? Sprechen Sie uns gerne an!

Sie haben eine Abmahnung wegen einer Patentrechtsverletzung erhalten?

Sie sollten zunächst Ruhe bewahren und die Abmahnung keinesfalls ignorieren. Allein der Erhalt einer Abmahnung bedeutet nicht, dass Sie den Vertrieb einstellen müssen. In einigen Fällen kann es sich um eine unberechtigte Abmahnung handeln. Aufgrund der Komplexität der Materie empfiehlt sich eine anwaltliche Prüfung, um zu klären, ob tatsächlich eine Patentverletzung vorliegt. Wir prüfen für Sie, wie weit der Schutz des zugrundeliegenden Patents reichts und ziehen hierfür die Patentschrift heran. Eine Patentschrift zu verstehen und diese richtig zu deuten, ist für einen Laien oft schwer möglich. Im Anschluss prüfen wir, inwieweit Ihre Handlungen on den Schutzberiech des Patents fällt und dieses verletzt. Sollte keine Patentverletzung vorliegen, können Sie die Abmahnung zurückweisen und Ihre Anwaltskosten vom Abmahnenden zurückverlangen.

AGB sind:

Vorformulierte Vertragsbedingungen für eine Vielzahl von Verträgen, die die eine Vertragspartei der anderen vorgibt.

Braucht man AGB?

Nein, aber Sie können für den Shopinhaber/Unternehmer sehr hilfreich sein, zumindest wenn es gute AGB sind. Mit den Allgemeinen Geschäftsbedingungen, die ein einheitlicher und detaillierter Massenvertrag sind, wird der Geschäftsverkehr erheblich vereinfacht.

Wo sind AGB gesetzlich geregelt?

Die AGB sind in § 305 bis § 310 des BGB geregelt. Das AGB-Recht ist auch stark von der Rechtsprechung geprägt.

Ist es ratsam, Muster-AGB oder Generatoren zu verwenden?

Muster-AGB oder AGB, die aus Generatoren stammen, müssen nicht unpassend für Ihr Unternehmen oder veraltet sein, die Gefahr besteht allerdings. Es ist daher wichtig, dass eine sorgfältige Prüfung, am besten durch einen spezialisierten Rechtsanwalt, durchgeführt wird, ob die Muster für Ihr Unternehmen und ihre Situation passen und aktuell sind.

Es ist zu empfehlen, Ihre AGB regelmäßig „updaten“ zu lassen.

Kopieren Sie niemals AGB von anderen Unternehmen. Allgemeine Geschäftsbedingungen sind in der Regel urheberrechtlich geschützt.

Wie werden die AGB Vertragsbestandteil:

Voraussetzungen hierfür sind:
– Sie weisen ausdrücklich auf die AGB hin.
– Ihr Vertragspartner hat die Möglichkeit, diese in zumutbarer Weise zur Kenntnis zu nehmen. (Im Onlinehandel sollten die AGB als Download zur Verfügung gestellt werden)
– Ihr Vertragspartner stimmt der Geltung der AGB ausdrücklich zu.

Möglichkeiten z.B.:
-Checkbox (dokumentieren!); Hinweis im Angebot oder Bestellschein

Sollten die AGB in regelmäßigen Abständen geprüft und ggf. angepasst werden?

Nachdem sich Gesetze und Rechtsprechung ändern, ist dies erforderlich. Sollten sich AGB-Klauseln, die zuvor als zulässig galten, ändern, ist eine Änderung der AGB angebracht.

Welches Risiko bringen unwirksame AGB mit sich?

Unzulässige AGB-Klauseln werden viel abgemahnt. Der Streitwert ist nach gängiger Rechtsprechung 3.000 € pro unwirksamer AGB-Klausel. Bei mehreren unwirksamen AGB-Klauseln wird der Streitwert in der Regel addiert, so dass dies oft kostspielig wird. Manchmal sind es nur Worte die sich geändert haben, z.B. „Textform“ statt „Schriftform“.

Wenn in einem Rechtsstreit festgestellt wird, dass eine Klausel unwirksam ist, wird durch Auslegung oder Ersatz mit dem Gesetz ermittelt, welche Rechtsfolge gilt. Dies kann sich nachteilig für den Unternehmer auswirken.

Fazit:

  1. Gute AGB sind sinnvoll. Im Falle von rechtlichen Auseinandersetzungen mit Kunden können gute AGB das eigene Haftungsrisiko minimieren und die Bezahlung sichern.
  2. Keine kopierten AGB (©) oder ungeprüfte Muster-AGB verwenden.
  3. Tipp: „Maßgeschneiderte“ AGB von spezialisierten Rechtsanwälten erstellen und regelmäßig auf Aktualität überprüfen lassen.

Autorin: Rechtsanwältin Sabine Schenk, Fachanwältin für gewerblichen Rechtsschutz (Marken-, Urheberrecht-, Wettbewerbsrecht-, Patentrecht), Spezialistin für IT- Recht, TÜV-zertifizierte Datenschutzbeauftragte und IT-Sicherheitsbeauftragte (Modal)

Im Focus als Top-Wirtschaftskanzlei 2021 im Bereich Datenschutz ausgezeichnet und empfohlen als Top-Wirtschaftskanzlei 2021 

Die Anwaltskanzlei Schenk Datenschutz Rechtsanwaltsgesellschaft mbH ist in der aktuellen Focus- Ausgabe, die am Samstag, den 04.09.2021 erschienen ist, (Beilage „Recht & Rat“ 1000 Top-Anwälte: Die führenden Juristen und Wirtschaftskanzleien Deutschlands 2021) als Top-Wirtschaftskanzlei im Bereich Datenschutzrecht ausgezeichnet worden.

Wer wurde befragt?

Befragt wurden 10.600 Rechtsanwälte in Wirtschaftskanzleien und 3.100 Unternehmensjuristen

Wie wurde befragt?

Empfehlungen von Kollegen (Anwälten in Wirtschaftskanzlei) und Kunden (inhouse-Juristen) wurden für die Analyse der Top-Wirtschaftskanzleien aggregiert. Für die Wirtschaftskanzleien wurden zur Qualitätssicherung persönliche und telefonische Interviews mit Anwälten in Wirtschaftskanzlei und Unternehmensjuristen durchgeführt, um die Ergebnisse der Online-Befragung zu festigen.

Bewertung:

Die Listen enthalten ca. 400 Wirtschaftskanzleien, die für 22 Fachbereiche ausgezeichnet wurden. Im Bereich Datenschutzrecht wurden insgesamt 36 Kanzleien empfohlen. Die Anwaltskanzlei Schenk Datenschutz Rechtsanwaltsgesellschaft mbH finden Sie ganz oben in der Liste auf der Seite 39.

Im Durchschnitt wurden pro Fachbereich 507 relevante Empfehlungen abgegeben.

Auszeichnung mit Siegel

Alle ausgezeichneten Wirtschaftskanzleien heben sich in ihrem Fachbereich durch eine überdurchschnittlich hohe Empfehlung Häufigkeit vom Branchendurchschnitt ab. Unabhängig von

den ausgewiesenen Empfehlungen gehören alle ausgezeichneten Kanzleien damit zur Spitze des jeweiligen Fachbereichs.“ (Quelle: „Die Top-Wirtschaftskanzlei- so wurde die Liste erstellt“ in FOCUS Spezial „Recht und Rat“ „Ausgezeichnete Anwälte“, September 2021, Seite 34, 39; auch unter Focus-Anwalt.de).

Alles andere selbstverständlich: Lob der Konkurrenz

Ganz besonders freut uns die Tatsache, dass die „anwaltliche Konkurrenz“ und vielleicht sogar gegnerische Rechtsanwälte, der Kanzlei ein hervorragendes Zeugnis ausstellen. Wir gehen davon aus, dass uns viele Kollegen auch wegen unserer zahlreichen Vorträge, Seminare und Inhouse-Schulungen im Bereich Datenschutzrecht gewählt haben.

Auszeichnung in Kernkompetenz Datenschutz neben IT-, Marken-, Medien- und Wettbewerbsrecht

Die Geschäftsführerin und Fachanwältin für gewerblichen Rechtsschutz Sabine Schenk erklärt: Ich bin bereits seit 2013, also lange vor der Datenschutzgrundverordnung, als externe Datenschutzbeauftragte in Unternehmen tätig. Seit 10 Jahren bin ich Rechtsanwältin im Bereich IT-, Marken-, Medien- und Wettbewerbsrecht. Ich sehe die Auszeichnung als Bestätigung der täglichen Arbeit des gesamten Rechtsanwaltsteams unserer Kanzlei.

Wir freuen uns auf die Herausforderung, der Auszeichnung auch zukünftig gerecht zu werden und unsere Mandanten weiterhin durch unsere Lösungsbereitschaft, Effizienz und Durchsetzungsstärke zu überzeugen.

Für die Zukunft wünsche ich mir, dass wir noch viele weitere Erfolge gemeinsam mit unseren Mandanten feiern können.“

Unterschied Standardvertragsklauseln neue/alte Fassung

1. Die neuen Standardvertragsklauseln (SCC) sind spätestens ab dem 27.09.2021 zwingend für Neuverträge zu verwenden. Spätestens bis zum 27.12.2022 muss eine Umstellung sämtlicher Altverträge auf die neuen Standardvertragsklauseln erfolgt sein.

2. Bei den Standardvertragsklauseln handelt es sich um Vertragsmuster, die von der Europäischen Kommission verabschiedet wurden. Diese dürfen grundsätzlich nur dann grundsätzlich ohne eine besondere Genehmigung einer Aufsichtsbehörde verwendet werden, wenn sie gänzlich unverändert bleiben, Art. 46 Abs.2 lit. c der DSGVO.

a. Genehmigungsfrei bleibt auch die Auswahl eines Moduls oder die Ergänzung oder Aktualisierung von Informationen in der Anlage. Die neuen SCC sind modular aufgebaut; sie können in folgenden Konstellationen eingesetzt werden:

(1) EU-Verantwortlicher und Auftragsverarbeiter im Drittland
(2) EU-Verantwortlicher und Verantwortlicher im Drittland
(3) EU-Auftragsverarbeiter und Verantwortlicher im Drittland
(4) EU-Auftragsverarbeiter und Unterauftragsverarbeiter im Drittland

Dürfen Standardvertragsklauseln ergänzt oder sogar verändert werden?

b. Die Frage, ob Standardvertragsklauseln ausschließlich mit einer besonderen Genehmigung verwendet werden dürfen, sobald diese um eine Regelung ergänzt werden, ist im Hinblick auf die Regelung in Art. 46 Abs.2 lit. c der DSGVO nicht ganz eindeutig.

In einer Entscheidung der Kommission (Verfahren 2010/87/EU) heißt es in Art.10 „Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.“  Auch der Erwägungsgrund 109 Standardvertragsschutzklauseln ist wie vorher zitiert gleichlautend erklärt, dass Ergänzungen unter bestimmten Möglichkeiten zulässig sind.

Einige Datenschutzbehörden nehmen ebenfalls Stellung zu dieser Frage, wie der Landesbeauftragte für Datenschutz in Rheinland-Pfalz sowie NRW, welche die genehmigungsfreie Ergänzung der SCC unter den oben genannten Bedingungen für möglich erachten, wobei der hessische Beauftragte für Datenschutz jede Ergänzung der SCC für genehmigungspflichtig hält.

Das Bayerische Landesamt für Datenschutz hatte in seiner Pressemitteilung vom 20.11.2020 die Stärkung der Nutzer-Rechte bei Microsoft durch entsprechende Ergänzung der Standardvertragsklauseln öffentlich begrüßt. Insoweit ist davon auszugehen, dass die bayerische Datenschutzbehörde die Ergänzung der SCC nicht für per se genehmigungspflichtig hält.

Für eine genehmigungsfreie Anpassung der SCC sprechen auch die „FAQ der EU-Kommission“ zu internationalen Datentransfer. Auf der Seite 24 B.1. wird die Frage 9 „Can Companies include the standard contractual clauses in a wider contract and add specific clauses?“ eindeutig mit „ja“ beantwortet:

„Yes. Parties are free to agree to add other clauses as long as they do not contradict, directly or indirectly, the standard contractual clauses approved by the Commission or prejudice fundamental rights or freedoms of the data subjects. It is possible, for example, to include additional guarantees or procedural safeguards for the individuals (e.g. on-line procedures or relevant provisions contained in a privacy policy). All these other clauses that parties may decide to add would not be covered by the third-party beneficiary rights and would benefit from confidentiality rights where appropriate. Member States may also add additional items to the Appendix to the set of clauses adopted in 2001. In this Appendix, parties to the contract are expected to provide certain information about the categories of data being transferred and the purposes of the transfer. In all cases, the standard clauses have to be fully respected if they are to have the legal effect of providing an adequate safeguard for the transfer of personal data as required by the Data Protection Directive.“

Im Ergebnis ist wie folgt festzuhalten: Die Ergänzung der Klauseln darf nicht zu einer Änderung der SCC führen. Für den Fall der Ergänzung der SCC dürfte nach dem derzeitigen Rechtsstand eine besondere Genehmigung der Datenschutzbehörde nicht erforderlich werden, sofern die ergänzenden Klauseln weder mittelbar noch unmittelbar im Widerspruch zu den SCC stehen und die Grundrechte und Grundfreiheiten der betroffenen Personen nicht beschneiden.

3. Die neuen SCC berücksichtigen sowohl das Schrems II-Urteil als auch die dazu veröffentlichten Stellungnahmen der Aufsichtsbehörden.

  • Die neuen SCC verpflichten die Verwender dazu, explizit zu prüfen, ob der Datenimporteuer (im Drittland) die vertraglichen Regelungen, insbesondere zum Schutz vor Behördenzugriffen, einhalten kann, sog. Risikobewertung. Ferner muss der Verwender eventuell weitere technische und organisatorische Maßnahmen (wie z.B. Verschlüsselung) ergreifen. Das Ergebnis dieser Prüfung und die TOM müssen die Parteien dokumentieren und der für das datenexportierende EU-Unternehmen zuständigen Aufsichtsbehörde auf Verlangen vorlegen. Ferner ist der Datenimporteur verpflichtet, dem Datenexporteur mitzuteilen, wenn er sich zum Schutz der Daten vor Behördenzugriffen nicht länger in der Lage sieht. In diesem Fall muss der Datentransfer beendet werden.
  • Der Datenimporteuer im Drittland muss sich gegen behördliche Informationsersuchen mit den möglichen Mitteln wehren (ggf. rechtliche Schritte dagegen unternehmen) und den Datenexporteuer sowie die betroffenen Personen informieren (Benachrichtigungspflicht).
    • Die neuen SCC sind wie folgt modular aufgebaut:
    • EU-Verantwortlicher und Auftragsverarbeiter im Drittland
    • EU-Verantwortlicher und Verantwortlicher im Drittland
    • EU-Auftragsverarbeiter und Verantwortlicher im Drittland
    • EU-Auftragsverarbeiter und Unterauftragsverarbeiter im Drittland

Durch den modularen Aufbau bestehen mehr Gestaltungsoptionen als bisher.

  • Neu sind auch die sog. „docking clauses“ , die den Beitritt weiterer Parteien zu den SCC ermöglichen sollen.
  • Haftung der Parteien im Innenverhältnis für Pflichtverletzungen, nicht nur gegenüber betroffenen Personen. Unklar geblieben ist, ob die Parteien diese Haftung im Innenverhältnis ausschließen können.

 

So hilft Ihnen die Anwaltskanzlei Schenk Datenschutz Rechtsanwaltsgesellschaft mbH:

Die TÜV-zertifizierte Datenschutzbeauftragte Sabine Schenk, Fachanwältin für gewerblichen Rechtsschutz (Marken-, Medien-, Wettbewerbs-, Patentrecht), widmet sich seit 10 Jahren der zielorientierten und kostenoptimierten rechtlichen Beratung von Unternehmen und Selbstständigen.

Frau Schenk und ihr Team stehen Ihnen mit hoher Expertise in Sachen Datenschutz beratend zur Seite.

Schwachstelle Mensch- Die Schwachstelle Mensch ist das höchste Risiko für Unternehmen – und da bildet Datenschutz und IT keine Ausnahme. Ein unbedachter Klick auf eine E-Mail, ein fehlendes unterschriebenes Dokument eines Mitarbeiters- und schon droht einem Unternehmen immenser Schaden.

Dass es zu diesen immensen Verlusten kommt, liegt häufig daran, dass sich arglose Mitarbeiter der gängigen Cybercrime-Methoden und den Erfordernissen des Datenschutzes nicht bewusst sind.

Die finanziellen Schäden sind hoch:

– Etwa alle 11 Sekunden fällt ein Unternehmen einem Ransomware-Angriff zum Opfer. Der durch „Erpresser-Trojaner“ entstandene Schaden verursachte allein im Jahr 2019 11,5 Milliarden Dollar; für 2021 sagen die Experten sogar einen Schaden von mehr als 20 Milliarden voraus; vielleicht auch wegen dem „Homeoffice“, das immer mehr zunimmt.

– Das von den deutschen Datenschutzbehörden verhängte Strafmaß ist 2020 in Deutschland gegenüber den Vorjahren enorm gestiegen: Die höchste Einzelstrafe betrug 35,3 Millionen Euro. Die Höhe der Bußgelder im Datenschutz liegt bei einem Verstoß gegen die DSGVO bis zu 4 % des jährlichen Umsatzes bzw. 20 Millionen EUR. Unabhängig von Branche, Rechtsform, Größe und Mitarbeiteranzahl ist jedes Unternehmen verpflichtet, die Vorgaben der Datenschutz-Grundverordnung einzuhalten.

Eine Mitarbeiterschulung im Datenschutz und IT- Sicherheit setzt genau an dieser Stelle an – und kann damit „Gold wert sein“.

Keine Kür, sondern Pflicht- Datenschutzverstöße werden am häufigsten von Mitarbeitern aufgrund von Unachtsamkeit oder mangelndes Verständnis für datenschutzkonformes Arbeiten verschuldet. Die Verpflichtung des Verantwortlichen eines Unternehmens bzw. des internen Datenschutzbeauftragten, Mitarbeiter zu schulen, ergibt sich daher aus der DSGVO:

Nach Art. 5 Abs. 2 DSGVO obliegt die Rechenschaftspflicht und Nachweispflicht über das datenschutzkonforme Verhalten der Mitarbeiter dem Verantwortlichen eines Unternehmens.

Aus der Verpflichtung zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus ergibt sich ebenfalls eine Schulungspflicht für Mitarbeiter, Art. 32 Abs. 1 DSGVO.

Zudem ist aus der Gefahr von Bußgeldern bei Datenschutzverstößen nach Art. 83 Abs. 5 DSGVO, wenn Mitarbeiter nicht ausreichend über den Datenschutz belehrt wurden, eine Schulungspflicht abzuleiten.

So verlangt auch der Grundsatz der Rechtmäßigkeit nach Art. 5 Abs. 1a DSGVO, dass bei der Datenverarbeitung alle rechtlichen Vorgaben beachtet werden. Dies setzt zwingend voraus, dass allen Personen, die im Unternehmen Daten verarbeiten, diese Vorgaben vermittelt werden.

Damit wird erkennbar vorausgesetzt, dass eine Sensibilisierung und Schulung der Mitarbeiter zu erfolgen hat und dies die Aufgabe des Unternehmens selbst ist.

Welche Vorteile hat eine Mitarbeiterschulung DSGVO und IT-Sicherheit?

Das Security Awareness Training und die DSGVO-Schulung ihrer Mitarbeiter sind vorbereitende Maßnahmen für verschiedene Zertifizierungen im Rahmen der Informationssicherheit, wie ISO 27001. Die nach einer Schulung ausgestellten Mitarbeiter-Zertifikate dienen als Nachweis für Aufsichtsbehörden und Audits.

Eine effektive, einfache und kosteneffiziente Möglichkeit, diese Anforderungen zu erfüllen und gleichzeitig das Unternehmen zu schützen, stellen webbasierte Trainings dar.

Beschäftigte erhalten in der heutigen Arbeitswelt immer Informationen über Kunden, Interessenten oder von sonstigen Ansprechpartnern. Dabei ist es unerlässlich, dass alle Beteiligten wissen, was erlaubt und was verboten ist und welche gesetzlichen Vorgaben beachtet werden müssen.

Eine Datenschutzschulung sensibilisiert die Beschäftigten für die Belange des Datenschutzes und der IT-Sicherheit im Unternehmen und versetzt diese in die Lage, sich bei der Wahrnehmung ihrer Aufgaben datenschutzkonform zu verhalten. Dazu gehört ein verantwortungsvoller Umgang mit personenbezogenen Daten, sachgerechte Bearbeitung von Auskunfts- und Löschungsanfragen sowie die eventuelle Meldung von Datenpannen. Mit Kenntnissen der Mitarbeiter können Bußgelder und Cyber Crime meist vermieden werden.

Ein zusätzlicher Vorteil ist, dass die Mitarbeiter mehr Sicherheit in dem täglichen Umgang mit Kunden und Geschäftspartnern erhalten sowie ihre Souveränität und Kompetenz erhöhen.

Schließlich ist zu bedenken, dass ein verantwortungsvoller Umgang mit Daten als Qualitätsmerkmal wahrgenommen wird. Somit lässt sich durch professionelles Datenschutzmanagement einschließlich der Schulung von Beschäftigten sogar die eigene Reputation steigern. Denn ein Datenschutzmanagement ist nur so gut, wie es von den eigenen Mitarbeitern umgesetzt und eingehalten wird.

eMITARBEITERSCHULUNG – die smarte Alternative zu üblichen Schulungen

Unterhaltsame Videohäppchen- kompetent konzeptioniert und verständlich moderiert – von der Gründerin der eMITARBEITERSCHULUNG.de: Rechtsanwältin Sabine Schenk, Fachanwältin für gewerblichen Rechtsschutz und Geschäftsführerin der Anwaltskanzlei Schenk Datenschutz Rechtsanwaltsgesellschaft mbH. Als TÜV-zertifizierte Datenschutzbeauftragte berät sie seit vielen Jahren Unternehmen und weiß deshalb sehr genau, was für Mitarbeiter essenziell ist.

Die Anwaltskanzlei Schenk Datenschutz Rechtsanwaltsgesellschaft mbH hat sich auf diesem Gebiet spezialisiert und sich das Ziel gesetzt, Unternehmen nicht nur rechtlich zu unterstützen, sondern präventiv allen Beteiligten auch das erforderliche Wissen einfach und effizient zu vermitteln.

Die eMITARBEITERSCHULUNG ist ein rechtssicheres E-Learning-Produkt, das selbst komplexes Fachwissen auf unterhaltsame und verständliche Weise vermittelt. Dazu setzt sich die Schulung aus vielen kurzen Videos zusammen, die locker aufbereitetes Fachwissen enthalten. Durch den Online-Zugang sind die Video-Serien überall verfügbar und lassen sich je nach Bedarf abrufen.

Die eMITARBEITERSCHULUNG vermittelt wertvolles Wissen schnell, einfach und kosteneffizient und startet mit einer Video-Serie zum Datenschutz und zur IT-Sicherheit.

Der Video-Content steht in kleinen fünf Minuten Häppchen auf Deutsch und Englisch zur Verfügung, ist webbasiert und flexibel abrufbar.

Jede Teilnahme wird dokumentiert und mit einem individuellen, personalisierten Mitarbeiterzertifikat belohnt, das als Bestätigung für das Unternehmen dient.

So wird die in Art. 5 Abs. 2 DSGVO statuierte Rechenschaftspflicht erfüllt, die den Verantwortlichen im Unternehmen trifft. Diese verpflichtet den Arbeitgeber unter anderem dazu, die Teilnahme an der Schulung zu dokumentieren.

Fazit. Lassen Sie die Mitarbeiter schulen.

Eine Awareness-Schulung in Datenschutz und IT-Recht ist ein wichtiges Instrument, um datenschutzkonform zu arbeiten. Viele Datenpannen oder Verstöße gegen die Vorschriften der DSGVO und Cyber Crime ereignen sich aufgrund von Unachtsamkeit und mangelnder Kenntnis der Mitarbeiter. Mit Mitarbeiterschulungen lassen sich diese Ursachen wirksam reduzieren. Insbesondere Onlineschulungen erweisen sich als sehr praktikabel, um den Mitarbeitern das nötige Wissen zu vermitteln, da sie individuelle Trainingsinhalte und -zeiten ermöglichen und zugleich die Dokumentation sicherstellen. Interaktive Elemente sowie individuelle Zertifikate erhöhen zudem die Motivation der Mitarbeiter.

Die eMITARBEITERSCHULUNG bietet eine smarte Alternative zu üblichen Schulungen.

Überzeugen Sie sich selbst: https://emitarbeiterschulung.de

Wie macht man das? Wo speichert man das Ergebnis? Braucht man eine Einwilligung? Was müssen Unternehmen bei der Durchführung von Corona-Schnelltests datenschutzrechtlich beachten? Diese und mehr Fragen erreichen uns derzeit.

Immer mehr Unternehmen setzen im Kampf gegen die Corona-Pandemie Schnelltests zur Erkennung des Coronavirus ein. Eine bundesweite Testverpflichtung besteht derzeit nicht, denn der Infektionsschutz und damit die Corona-Regeln sind in Deutschland Ländersache. In Sachsen gilt bereits seit dem 15. März für Arbeitgeber die Pflicht, Beschäftigten ein wöchentliches Testangebot zu unterbreiten. Beschäftigte mit Kundenkontakt müssen in diesem Falle eine Testung verpflichtend vornehmen.

1. Sind Corona-Schnelltests im Unternehmen für Mitarbeiter und Besucher zulässig?

Ja, wenn die datenschutzrechtliche Interessenabwägung zugunsten des Unternehmens ausfällt. Diese ist vom Unternehmen (z.B. durch einen spezialisierten Rechtsanwalt/Datenschutzbeauftragten) schriftlich durchzuführen und zu dokumentieren. Gerne sind wir Ihnen dabei behilflich.

Wir haben das Thema aus datenschutzrechtlicher Sicht beleuchtet:

Auch wenn eine Verarbeitung von Gesundheitsdaten als besonders sensible Daten grundsätzlich nur restriktiv möglich ist, können für Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei ist der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets zu beachten.

Die Berechtigung zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich im nicht-öffentlichen Bereich aus § 26 Abs. 1 BDSG bzw. Art. 6 Abs. 1 S. 1 lit. f) DSGVO.

Soweit Gesundheitsdaten verarbeitet werden, sind zudem § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig. Danach ist die Verarbeitung sensibler Daten wie Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie u.a. zur Erfüllung rechtlicher Pflichten des Arbeitgebers aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Mitarbeiter an dem Ausschluss der Verarbeitung überwiegt.

2. Was ist zu tun?

Führen Sie eine schriftliche Interessensabwägung durch!

Nach dem Arbeitsschutzgesetz besteht für den Arbeitgeber eine rechtliche Verpflichtung, eine Gefährdungsbeurteilung für die Sicherheit und Gesundheit seiner Mitarbeiter am Arbeitsplatz vorzunehmen und anschließend Schutzmaßnahmen für die Mitarbeiter zu treffen. Das Ziel der Durchführung von Corona-Schnelltests am Arbeitsplatz ist es, die Ansteckung und Weiterverbreitung des Coronavirus gegenüber Personen am Arbeitsplatz und im Kontakt mit Kunden zu verhindern.

In datenschutzrechtlicher Hinsicht ist eine Interessensabwägung zwischen der Fürsorgepflicht des Arbeitgebers und dem individuellen Persönlichkeitsrecht der Mitarbeiter durchzuführen. Hierbei gilt es, den Verhältnismäßigkeitsgrundsatz zu beachten. Danach ist eine Maßnahme verhältnismäßig, wenn sie für den Zweck geeignet ist, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schutzwürdige Interesse der Mitarbeiter an dem Ausschluss der Datenverarbeitung nicht überwiegen. Nur wenn diese Prüfung zugunsten des Arbeitsgebers ausfällt, dürfen Corona-Schnelltests am Arbeitsplatz durchgeführt werden.

Erstellen Sie eine juristisch richtig formulierte schriftliche Einwilligung! à Holen Sie die schriftliche Einwilligung der Mitarbeiter und Besucher ein!

Vorrangig muss der Arbeitgeber Maßnahmen ergreifen, die seine Mitarbeiter weniger stark in ihren Rechten beeinträchtigen. Dazu zählt zum Beispiel die Arbeit aus dem Homeoffice. In den meisten Fällen dürfte es daher an der Verhältnismäßigkeit einer Datenverarbeitung durch einen Corona-Schnelltest fehlen.

Anlasslose Schnelltests am Arbeitsplatz darf der Arbeitgeber nur ausnahmsweise verlangen. Auf der sicheren Seite ist ein Arbeitgeber, wenn die Mitarbeiter mit der Durchführung eines Testes einverstanden sind und ihre ausdrückliche Einwilligung erteilen.

Verteilen Sie Infoblätter: Mitarbeiter müssen datenschutzrechtlich informiert werden!

In jedem Falle muss der Arbeitgeber seine Mitarbeiter im Rahmen der Durchführung von Corona-Schnelltests nach Art. 13 DSGVO datenschutzrechtlich informieren. Durch die Durchführung des Schnelltests und die Weitergabe des Testergebnisses an das zuständige Gesundheitsamt werden personenbezogene Daten des Beschäftigten verarbeitet. Die betroffenen Beschäftigten sind daher spätestens im Zeitpunkt der Datenerhebung über die Verarbeitung ihrer personenbezogenen Daten zu informieren.

Die datenschutzrechtlichen Informationen können dem Mitarbeiter durch Übergabe eines Hinweisblattes zur Information über die Testung durch das geschulte Personal übergeben werden. Der Arbeitgeber sollte sich die Übergabe des Hinweisblatts schriftlich durch den Mitarbeiter bestätigen lassen.

Datenschutzrechtliche Dokumentation

Denken Sie daran, dass Sie die Durchführung der Tests sowie die damit zusammenhängenden Vorgänge und Fristen in dem Verarbeitungsverzeichnis gemäß Art. 30 DSGVO sowie in das Löschkonzept gemäß Art. 5 DSGVO entsprechend dokumentieren. Darüber hinaus bestehen weitere Dokumentationspflichten nach der DSGVO.

3. Achtung Datenschutzfalle! Besteht eine Meldepflicht des Arbeitgebers gegenüber dem Gesundheitsamt?

Bei den freiverkäuflichen „Selbsttests/Schnelltests“ dürfen positive Testergebnisse nicht ohne schriftliche Einwilligung des Betroffenen an das Gesundheitsamt weitergegeben werden. Bei der Frage, ob eine Meldepflicht gegenüber dem Gesundheitsamt besteht, ist zu unterscheiden, ob es sich um einen Schnelltest oder um einen Selbsttest handelt. Bei Antigen-Schnelltests besteht nach dem Infektionsschutzgesetz eine Pflicht zur Meldung positiver Testergebnisse an das Gesundheitsamt. Bei Selbsttests, die zur Eigenanwendung durch Laien vorgesehen sind, besteht grundsätzlich keine Meldepflicht gegenüber dem Gesundheitsamt.

Aufgrund der jüngst aufgedeckten Sicherheitslücke in Microsoft Exchange Servern hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Pressemitteilung vom 05.03.2021 ausdrücklich eine Sicherheitswarnung ausgesprochen. Zehntausende Microsoft Exchange Server seien in Deutschland über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert.

1. Was ist passiert?
Anfang März hat Microsoft kurzfristig neue Sicherheitsupdates für Exchange Server veröffentlicht, mit dem die bislang bekannten Schwachstellen geschlossen werden. Diese Schwachstellen würden laut BSI derzeit aktiv von Angreifer-Gruppen ausgenutzt. Das BSI spricht von einem sehr hohen Angriffsrisiko für Unternehmen. Es bestehe die Gefahr, dass neben dem Zugriff auf die E-Mail-Kommunikation auch der Zugriff auf das komplette Unternehmensnetzwerk erlangt werden könne. Es wird dringend empfohlen, die mittlerweile von Microsoft bereit gestellten Sicherheitsupdates durchzuführen.

2. Wann besteht eine Meldepflicht?
Durch die Ausnutzung solcher IT-Sicherheitslücken können personenbezogene Daten betroffen sein, so dass bei einem Datenleck eine Meldepflicht an die zuständige Datenschutzbehörde bestehen kann. Eine bloße Sicherheitslücke und die Notwendigkeit eine Sicherheitsupdate zu installieren löst per se noch keine datenschutzrechtliche Meldeverpflichtung aus.

Wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, normiert Art. 33 DSGVO eine Meldepflicht des Verantwortlichen. Diese Meldung muss unverzüglich und möglichst binnen 72 Stunden nach Kenntnisnahme bei der Datenschutzbehörde eingehen.

Eine Verletzung des Schutzes personenbezogener Daten liegt grundsätzlich dann vor, wenn eine unbefugte Manipulation oder ein Datenabfluss von personenbezogenen Daten nachweislich erfolgt ist. Auch wenn nicht mit hinreichender Sicherheit ausgeschlossen werden kann, dass personenbezogene Daten aus dem System abgegriffen oder in diesem manipuliert worden sind, liegt eine Verletzung des Schutzes personenbezogener Daten vor.

Verantwortliche müssen zur Prüfung der Meldepflicht im Falle eines festgestellten Angriffs auf Microsoft Exchange Server neben der Wahrscheinlichkeit, dass personenbezogene Daten unbefugt verändert, gelöscht oder abgegriffen wurden, auch die möglichen Risiken bewerten, die für die Rechte und Freiheiten der Betroffenen bestehen können. Wenn die Risikoabwägung ergibt, dass durch die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, ist der betroffene Personenkreis durch den Verantwortlichen nach Art. 34 DSGVO unverzüglich zu unterrichten.

3. Was empfehlen Aufsichtsbehörden?
Mehrere Datenschutzaufsichtsbehörden haben teilweise unterschiedliche Stellungnahmen mit Handlungsempfehlungen zur Prüfung der Meldepflicht veröffentlicht. Inwieweit Vorfälle im Zusammenhang mit den Exchange-Server-Schwachstellen meldepflichtig sind, ist unter den deutschen Aufsichtsbehörden jedoch umstritten.

Einheitlich wird von den Datenschutzbehörden vertreten, dass bei einer festgestellten Kompromittierung des Exchange-Servers in der Regel eine Meldepflicht bestehe.

Eine strengere Bewertung nehmen hingehen das bayerische Landesamt für Datenschutzaufsicht (BayLDA) und die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen vor, die auch ohne Kompromittierung des Systems per se von einer Meldepflicht ausgehen, wenn die Updates verspätet eingespielt wurden.

4. Fazit
Es wird dringend empfohlen, eine ordnungsgemäße Installation der Sicherheitsupdates vorzunehmen und die Systeme auf eine mögliche Kompromittierung zu prüfen.

Prüfen Sie sodann, ob bei Ihrem Unternehmen eine Meldepflicht nach den bereits genannten Grundsätzen und den Empfehlungen Ihrer Aufsichtsbehörde besteht.

Beachten Sie auch das mit einer unterlassenen Meldung einhergehende Risiko eines Bußgeldes und ziehen Sie ggfls. eine präventive Meldung in Betracht.

Frau Rechtsanwältin Schenk ist seit vielen Jahren Fachanwalt für gewerblichen Rechtsschutz. Was fällt alles unter gewerblichen Rechtsschutz? Z.B. Markenrecht, Urheberrecht, Wettbewerbsrecht, Patentrecht, Designrecht. Man nennt dies in Fachkreisen auch IP (intellectual property, also geistiges Eigentum).

Nähere Informationen zu der Beschreibung des Fachanwalts finden Sie z.B. hier: https://www.fachanwalt.de/magazin/ueber-fachanwaelte/

Nutzen Sie die eventuell durch Corona bedingten Einschränkungen oder den Auftragsrückgang sinnvoll, um ihr Unternehmen wieder auf den neuesten Stand zu bringen. Lohnenswert ist, muss Ihr Unternehmen in Hinblick auf ihre Geschäftsgeheimnisse rechtssicher aufzustellen.

Stelle ich folgendes Szenario vor: Einer Ihrer Arbeitnehmer wechselt zu Ihrem Mitbewerber und nimmt die Kundenliste, Preislisten, Lieferantenlisten o. ä. mit. Sie wollen gegen den ehemaligen Arbeitnehmer vorgehen, haben aber im Ergebnis ein stumpfes Schwert, weil Sie vorab nicht die erforderlichen Maßnahmen getroffen haben, um Ihre Geschäftsgeheimnisse ordentlich zu schützen.

Nun mag sich der ein oder andere freuen und sich denken, dass er schon mit jedem Arbeitnehmer oder mit jedem Vertragspartner eine Geheimhaltungsklausel vertraglich vereinbart hat. Aber hier ist Vorsicht geboten!

Seit dem Inkrafttreten des Gesetzes zum Schutz von Geschäftsgeheimnissen im April 2019 haben Unternehmen Pflichten, um ihre Geschäftsgeheimnisse auch wirklich als solche schützen zu können. Nach § 2 Nr. 1 GeschGehG müssen Inhaber von Geschäftsgeheimnissen angemessene Geheimhaltungsmaßnahmen ergreifen, um die Geschäftsgeheimnisse zu schützen. Wird dies nicht gemacht, können keine Ansprüche des GeschGehG geltend gemacht werden.

Nicht definiert wird, was denn genau „angemessene Geheimhaltungsmaßnahmen“ sind.

Ein Teil der angemessenen Geheimhaltungsmaßnahmen sind wohl nach der herrschenden Meinung Geheimhaltungsklauseln sowohl mit den Beschäftigten als auch mit den Vertragspartnern.

Das LAG Düsseldorf entschied in seinem Urteil vom 3. Juni 2020 (12 SaGa 4/20), dass zu weite Geheimhaltungspflichten keine Geheimhaltungsmaßnahmen sind. In diesem Fall ging es konkret um eine Geheimhaltungsklausel in einem Arbeitsvertrag. Das Gericht führte hierzu aus, dass vertragliche Geheimhaltungsverpflichtungen zwar grundsätzlich eine „angemessene Geheimhaltungsmaßnahme“ nach dem GeschGehG sein können, dies jedoch nicht der Fall sei, wenn schlicht alle Angelegenheiten und Vorgänge, die im Rahmen der Tätigkeit bekannt werden hierunter fallen und jeglicher konkrete Bezug zu der Information fehle, die als Geschäftsgeheimnis geschützt werden wolle. Denn diese sogenannten „Catch-All-Klauseln“ umfassen auch offenkundige oder nicht vertrauliche Informationen, was zu einer Unangemessenheit der Klausel im Sinne des Gesetzes zum Schutz von Geschäftsgeheimnissen führe. Zu pauschal gefasste Geheimhaltungsklauseln sollten spätestens nach dem Urteil dringend überarbeitet und mit dem jeweiligen Vertragspartner nachverhandelt werden.

Das bedeutet: Sogenannte „Catch-All-Klauseln“ werden zu „Lose-All-Klauseln“, wenn Sie diese nicht überarbeiten.

Das Urteil bezog sich zwar auf eine Geheimhaltungsklauseln in einem Arbeitsvertrag, wird jedoch genauso anzuwenden sein auf Geheimhaltungsvereinbarungen mit Dritten wie Vertragspartnern, etc.

Deshalb sollte man, um die Informationen unter das Gesetz zum Schutz von Geschäftsgeheimnissen fallen zu lassen, die bereits vorliegenden Geheimhaltungsvereinbarungen und -klauseln überarbeiten und mit den jeweiligen Vertragspartnern nachverhandeln. Die überarbeiteten Geheimhaltungsklauseln sollten unbedingt hinreichend konkret gestaltet werden.

Neben den vertraglichen Geheimhaltungsklauseln mit Dritten sind jedoch noch weitere „angemessene Geheimhaltungsmaßnahmen“ zu treffen. Hierunter fallen zum Beispiel das Vier-Augen-Prinzip und weitere technische oder organisatorische Maßnahmen.

Das Gute hieran: Viele technische oder organisatorische Maßnahmen werden Sie bereits im Rahmen der Umsetzung der Datenschutz-Grundverordnung vorliegen haben. Im Rahmen des Gesetzes zum Schutz von Geschäftsgeheimnissen sind zwar noch ein paar weitere „angemessene Geheimhaltungsmaßnahmen“ zu ergreifen, jedoch gibt es große Schnittmengen.

Sie schlagen somit zwei Fliegen mit einer Klappe.

So hilft Ihnen die Anwaltskanzlei Schenk Datenschutz GmbH: 

Gerne können Sie sich für eine Beratung bezüglich der Ergreifung angemessener Geheimhaltungsmaßnahmen im Rahmen des Gesetzes zum Schutz von Geschäftsgeheimnissen an uns wenden.

Mit unserer Expertise stehen wir Ihnen gerne auch zur Seite, wenn Sie Unterstützung bei allen Fragen der Umsetzung des GeschGehG oder der Datenschutz-Grundverordnung brauchen.

Frau Rechtsanwältin Schenk, Fachanwältin für gewerblichen Rechtsschutz (Marken-, Medien-, Wettbewerbs-, Patentrecht) und der Rest vom Team stehen Ihnen mit ihrer rechtlichen Expertise beratend zur Seite.

Es wäre so einfach zu vermeiden gewesen! Einen guten Datenschutz- Standard im Unternehmen zu schaffen, ist zwar ein Aufwand, aber es lohnt sich!

Das zeigt sich am aktuellen Fall der Modekette H&M, die ein Rekordbußgeld von 35.258.707,95 Euro von der Behörde „aufgebrummt“ bekommen hat:

Grund seien die umfangreichen Erfassungen und jahrelanger Speicherungen privater Lebensumstände von mehreren 100 Mitarbeitern des H&M-Servicecenters in Nürnberg durch die Center-Leitung.

Seit Jahren seien Notizen  auf einem Netzlaufwerk dauerhaft gespeichert worden. Nach Urlaubs- und Krankheitsabwesenheiten hätten die vorgesetzten Teamleader einen sog. „Welcome Back Talk“ durchgeführt, in denen konkrete Urlaubserlebnisse und Gesundheitsdaten, also Krankheitssymptome und Diagnosen festgehalten worden sein. Zusätzlich hätten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden angeeignet, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen gereicht habe. Dies sei zumindest teilweise über Jahre gespeichert gewesen und für weitere 50 Führungskräfte im Haus lesbar gewesen.

Bekannt sei dies dadurch geworden, dass Notizen infolge eines IT-Fehlers für einige Stunden unternehmensweit zugreifbar gewesen seien. (Quelle: Pressemitteilung des Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg v. 01.10.2020)

Warum so ein hohes Bußgeld?

Bei Verstößen gegen die DSGVO droht ein Bußgeld bis zu 20 Mio € oder 4 % des weltweit erzielten Umsatzes. Das lässt sich mittlerweile genau an einer Tabelle berechnen.

Was hätte H&M besser machen können?

Den Beschäftigtendatenschutz beachten.

Wann benötigt man einen Datenschutzbeauftragten im Unternehmen?

Vereinfacht gesagt, wenn über 20 Personen ständig auf personenbezogene Daten Zugriff haben bzw. Daten verarbeiten.

Oder wenn Kerntätigkeit des Unternehmens ist mit sensiblen Daten zu arbeiten bzw. personenbezogene Daten regelmäßig zu verarbeiten.

Wie gut ist Ihr Unternehmen im Datenschutz aufgestellt?

Kontaktieren Sie uns… wir unterstützen Sie als Datenschutzbeauftragter oder rechtlicher Berater einfach, schnell und kosteneffizient.

Die lang erwartete Urteilsbegründung zum BGH-Urteil bzgl. der Cookie-Einwilligung (Az. I ZR 7/16) ist da. Die Erwartungen an die Urteilsbegründung waren hoch, da sich viele eine Klärung bezüglich der noch vielen offenen Fragen rund um das Thema Cookies, Tracking-Tools und deren Einwilligung erhofften. Diese Erwartungen wurden jedoch weitgehend enttäuscht, da sich der BGH nicht weiter zu der Realisierung der Einwilligungslösungen geäußert hat.

Welche Entscheidungsgründe nannte der BGH?

Beispielhaft nannte der BGH in seiner Entscheidungsbegründung, dass der wesentliche Grundgedanke des § 15 Abs. 3 S. 1 TMG mit einem voreingestellten Kästchen für das Setzen von Cookies zu Werbezwecken nicht vereinbar sei. Es sei erforderlich für den Einsatz von Cookies zum Zwecke der Werbung und Marktforschung von dem Nutzer eine Einwilligung einzuholen. Diese Auslegung sei mit § 15 Abs 3 S. 1 TMG vereinbar.

Weitere Beantwortungen zu Nebenfragen wurden nicht getätigt. Diese Entscheidungsbegründung mag viele nicht so recht zu überzeugen. Besonders die Auslegung des § 15 Abs 3. S. 1 TMG kann man auch anders sehen.

Was bedeutet dies für die Praxis?

Besonders Homepagebetreiber, welche es ihren Besuchern schwer machen, die Nutzung von Cookies abzulehnen, sollten dies überdenken. Oft wird der Button für eine Einwilligung viel prominenter platziert als eine Verweigerung, welche oft nur über mehrere Klicks erreicht werden kann.

Ganz verzichtet werden muss darauf, eine vorangekreuzte Checkbox für die Einwilligung zu setzen.

Ansonsten: Ein richtiges „To Do“ im Urteil fehlt.

Es bleibt abzuwarten, welche weiteren Anforderungen an die Einwilligung bzgl. Cookies und Tracking-Tools durch die zukünftige Rechtsprechung entwickelt werden. Es empfiehlt sich, sich regelmäßig hierzu zu informieren.

Quelle: https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html?nn=10690868

So hilft Ihnen die Anwaltskanzlei Schenk Datenschutz GmbH: 

Mit unserer Expertise stehen wir Ihnen gerne auch zur Seite, wenn Sie Unterstützung bei allen Fragen der Umsetzung der Datenschutz-Grundverordnung brauchen.

Frau Rechtsanwältin Schenk, Fachanwältin für gewerblichen Rechtsschutz (Marken-, Medien-, Wettbewerbs-, Patentrecht) und der Rest vom Team stehen Ihnen mit ihrer rechtlichen Expertise beratend zur Seite.

Videokonferenzsysteme und Datenschutz: Was zu beachten ist

Spätestens seit der Corona-Pandemie werden Videokonferenzsysteme weltweit und immer mehr im Geschäftsleben genutzt. Die Vorteile sind klar erkennbar, besonders in Zeiten des Home-Offices.

Sind die meist genutzten Videokonferenzsysteme jedoch auch datenschutzkonform?

Dies prüfte der Berliner Beauftragte für Datenschutz und Informationsfreiheit und stellte seine Ergebnisse am 03.07.2020 vor. Dabei prüfte er verschiedene Anbieter, welche Videokonferenzen als Software-as-a-Service (SaaS) anbieten.

Als besonders anschaulich verwendete der Berliner Beauftragte für Datenschutz und Informationsfreiheit hierfür ein Ampelsystem, so dass leicht ersichtlich ist, welche SaaS man verwenden kann und von welchen man lieber die Finger lässt.

Grün zeigt an, dass bei der Kurzprüfung keine Mängel gefunden wurden. Eine gelbe Ampel signalisiert, dass zwar Mängel gefunden wurden, die eine rechtskonforme Nutzung des Dienstes zwar ausschließen, deren Beseitigung jedoch nach Vermutung des Berliner Beauftragten für Datenschutz und Informationsfreiheit leicht möglich seien. Häufig bemängelt und dementsprechend mit einer roten Ampel markiert wurden Anbieter, welche z.B. Daten zu eigenen Zwecken verarbeiten oder deren Vertrag eine Datenlöschung nur verspätet oder eingeschränkt vorsieht.

Überraschen mag es den ein oder anderen, dass die bekannten Dienste wie Skype, Skype for Business, Google Meet, Zoom und Microsoft Teams alle rot markiert sind.

Bei Microsoft Teams wird bemängelt, dass Microsoft sich vorbehalte, die Auftragsdaten zu eigenen Zwecken zu verarbeiten. Weiterhin seien Mängel im Auftragsverarbeitungsvertrag in Form von vielen Unklarheiten und Widersprüchen vorhanden. Weiterhin wird bemängelt, dass unzulässige Datenexporte stattfänden.

Bezüglich Zoom wird kritisiert, dass dieser Mängel im Auftragsverarbeitungsvertrag aufweise und unzulässige Einschränkungen der Löschpflicht habe. Weiterhin wird gerügt, dass unzulässige Datenexporte stattfänden und Zweifel an der Zuverlässigkeit des Anbieters bestehe.

Es gibt jedoch auch ein paar Anbieter, welche mit einer grünen Ampel dargestellt werden.

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit kündigte an, die Liste weiter zu aktualisieren. Es lohnt sich somit ein Blick hierauf, wenn Sie in Zukunft den Einsatz einer SaaS bezüglich Videokonferenzsysteme planen.

Quelle: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf

So hilft Ihnen die Anwaltskanzlei Schenk Datenschutz GmbH:

Gerne können Sie sich für eine datenschutzrechtliche Einschätzung Ihres Videokonferenzsystems auch an uns wenden.

Mit unserer Expertise stehen wir Ihnen gerne auch zur Seite, wenn Sie Unterstützung bei allen Fragen der Umsetzung der Datenschutz-Grundverordnung brauchen.

Frau Rechtsanwältin Schenk, Fachanwältin für gewerblichen Rechtsschutz (Marken-, Medien-, Wettbewerbs-, Patentrecht) und der Rest vom Team stehen Ihnen mit ihrer rechtlichen Expertise beratend zur Seite.

eBay-Händler aufgepasst: Neue Abmahnwelle droht für eBay-Verkäufer

Aktuelles Urteil:  OLG Stuttgart (2 U 257/19)

Es droht eine neue Abmahnwelle aufgrund eines neuen Urteils im Zusammenhang mit der DSGVO.

Abmahngrund?

Das Urteil bezog sich darauf, dass der eBay-Händler auf seiner eBay-Verkaufsseite keine Datenschutzerklärung bereitstellte. Der Händler wurde verurteilt, da der Händler als Verantwortlicher gemäß Art. 4 Nr. 7 DS-GVO personenbezogene Daten der Käufer verarbeitete, ohne diese darüber aufgrund der Anforderungen der Datenschutz-Grundverordnung detailliert informiert zu haben.

Wen trifft es?

Zunächst muss es sich um einen gewerblichen Händler gemäß § 14 Abs. 1 BGB handeln. Dies ist schnell erfüllt:  Einer Person, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt. Eine gewerbliche Tätigkeit setzt ein selbständiges und planmäßiges, auf eine gewisse Dauer angelegtes Anbieten entgeltlicher Leistungen am Markt voraus. Selbst eBay regelt hierzu, dass man als gewerblicher Verkäufer angesehen wird, wenn man planmäßig und dauerhaft Waren und/oder Leistungen gegen Entgelt bei eBay anbieten. eBay regelt hierzu weiterhin, dass man als gewerblicher Verkäufer angesehen wird, wenn man z.B. Artikel kauft, um sie wieder selbst zu verkaufen, man Artikel verkauft, die man selbst für den Weiterverkauf hergestellt hat oder wem man Artikel verkauft, welche man nicht für den eigenen Gebrauch erworben hat.

Was muss auf der eBay-Seite angezeigt werden, um eine Abmahnung zu vermeiden?

Der eBay-Händler muss als Verantwortlicher seinen Namen und seine Kontaktdaten angeben. Weiterhin hat er unter anderem die Zwecke der Verarbeitung, die Rechtsgrundlage hierfür, die Speicherdauer und weitere Angaben zu machen.

Art. 13 DS-GVO regelt hierzu:

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

(2)  Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und

f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

(4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

Fazit

Aufgrund des Urteils ist mit einer neuen Abmahnwelle zu rechnen. Setzen Sie sich diesem Risiko nicht aus und stellen Sie zeitnah auf Ihrer eBay-Seite eine Datenschutzerklärung oder eine Information über die Datenverarbeitung bereit.

So hilft Ihnen die Anwaltskanzlei Schenk Datenschutz GmbH:

Gene erstellen wir Ihnen die Datenschutzhinweise. Aufgrund unserer Expertise stehen wir Ihnen gerne auch zur Seite, wenn Sie bereits eine Abmahnung erhalten haben.

Umgang mit Covid-19:

„Gründung Onlineshop wegen Corona: Rechtliche Fallstricke und Abmahnungen vermeiden“

Viele Unternehmen und Selbstständige nehmen diese Zeit als Anlass für die Gründung eines E-Commerce Business.

In Zeiten des Coronavirus boomt zumindest noch das Shopping im Internet. Nicht ohne Grund gründen nun viele einen Onlineshop: Für Sie als Unternehmen bzw. Selbstständiger hat der E-Commerce gegenüber stationären Geschäften zahlreiche Vorteile. So sind Online-Shops nicht an das Ladenschlussgesetz gebunden, haben eine nahezu unbegrenzte Kundenreichweite. Ein weiterer Vorteil ist, dass meist Personal- und Mietkosten wesentlich geringer sind.

Derzeit kommen viele Mandanten auf uns zu, die einen Onlineshop gründen wollen. Sie fragen, was die rechtlichen Fallstricke sind und auf was geachtet werden muss. Das nehmen wir zum Anlass, um Ihnen die Fallstricke auszugsweise vorzustellen.

Warum Sie sich keine Fehler bei Ihrem Shop erlauben sollten?

„Abmahner“ sind auch in Zeiten von Corona unterwegs und haben, so scheint es, keine Hemmungen. So werden in diesen Zeiten sogar private Anbieter von selbstgenähten Atemmasken abgemahnt, wenn diese nicht die rechtlichen Kennzeichnungspflichten für Medizinprodukte beachten.

Im Bereich des IT-Rechts sind Unternehmen durch EU-Richtlinien, EU-Verordnungen und deutschen Gesetzen viele Auflagen gesetzt.

Was sind die rechtlichen Fallstricke?

Hiervon gibt es zahlreiche, die folgenden sind lediglich ein Auszug:

Wettbewerbsrechtlich
Formale Anforderungen sind zum Beispiel beim Bestellvorgang oder bei Preisen gegeben (PreisangabeVO). Besonderheiten der Anbieterkennzeichnung: Heilmittelwerberecht, Medizinprodukte, Lebensmittel- und Nahrungsergänzungsmittel (z.B. LMIV), Arzneimittel, Kosmetik, Energiekennzeichnung, etc.

Datenschutzrecht inklusive Datenschutzerklärung
Impressum
Produktfotos und -texte: Urheberrecht und Bildrechte
Einbindung und Werbung in Social Media: Facebook, Instagram etc.
Wahl der Domain und Markenanmeldung
Widerrufsrecht
Angaben zu Lieferzeiten
AGB: Abmahnfähige Klauseln

Datenschutzbeauftragter, Markenrecht

Durch den individuellen Onlineshop-Check unserer Kanzlei vermeiden Sie teure Abmahnungen und können Ihre Unternehmens-Webseite professionell planen und rechtssicher betreiben.

Lassen Sie Ihren Online-Shop zum Festpreis von uns rechtlich individuell prüfen und analysieren. Wir machen Sie abmahnsicher!

Mit einem starken, kompetenten und engagierten Team und modernen Strukturen ist unser Blick auf die Individualität der Umsetzung Ihrer Unternehmensbedürfnisse gerichtet.

Covid-19-Pandemie: Soforthilfe und Kredite

Der Bund und die Länder haben den Unternehmen in der derzeitigen Covid-19-Pandemie Hilfe in Form von Soforthilfen und Kredite zugesagt. Welche Voraussetzungen hierfür erfüllt werden müssen und welche Hilfen es genau gibt, möchten wir auszugsweise näher unter die Lupe nehmen:

Soforthilfen als Zuschuss von Bund und Ländern für Kleinunternehmer

Die Soforthilfen sind für kleine Unternehmen aller Wirtschaftsbereiche, Solo-Selbständige und Angehörige der Freien Berufe bis zu 10 Arbeitnehmern vorgesehen.

Dabei kann folgendes beantragt werden:

Es kann eine Einmalzahlung bis zu 9.000 € beantragt werden, wenn Sie bis zu 5 Arbeitnehmer beschäftigen und eine Einmalzahlung bis zu 15.000 €, wenn Sie bis zu 10 Arbeitnehmer beschäftigen.

Als Voraussetzung muss nachgewiesen werden, dass die Unternehmen vor dem 11. März 2020 nicht in finanzieller Not waren und dass die Probleme durch die Corona-Krise entstanden sind.

Wichtig: Der Antrag kann bei den Ländern und Kommunen gestellt werden und das Geld muss nicht zurückgezahlt werden.

Kredite bei der KfW

Alle Unternehmen haben zudem die Möglichkeit, einen Kredit bei den staatlichen Förderbanken zu stellen, welcher direkt bei der eigenen Hausbank beantragt werden muss. Dieser Kredit kann auch für Betriebsmittel (Mieten, Pachtkosten und Personalkosten) und Investitionen verwendet werden. Bei kleinen und mittleren Unternehmen, welche bis zu 250 Mitarbeiter und bis zu 50 Millionen Umsatz haben), übernimmt der Bund statt der bisherigen 80% 90 Prozent der Haftung und der Rest wird von der Hausbank übernommen. Voraussetzung für den Kredit ist, das sich Ihr Unternehmen bis zum 31.12.1029 nicht in wirtschaftlichen Schwierigkeiten befand. Daher muss auch der Jahresabschluss von 2019 vorgelegt werden.

Die KfW bietet noch weitere Kredite wie einen Kredit für das Wachstum oder ein Sonderprogramm für das Jahr 2020 an.

Quelle: Bundesfinanzministerium

Stand: 25.03.2020

Wir weisen darauf hin, dass sich die gemachten Angaben aufgrund der derzeitigen Lage täglich ändern können und übernehmen für die gemachten Angaben keine Haftung.

Kurzarbeitergeld

Viele Unternehmen und Selbstständige beabsichtigen aufgrund der Covid-19-Pandemie und der daraus resultierenden Folgen und (staatlichen) Maßnahmen, Kurzarbeit zu beantragen.

Was sind die Vorteile von Kurzarbeit für die Arbeitgeber?

Die Kurzarbeit erlaubt dem Arbeitgeber seine Personalkosten deutlich zu senken (in der derzeitigen Lage oftmals bis auf Null herabzusenken), ohne die Arbeitnehmer kündigen zu müssen.

Arbeitnehmer/innen erhalten 60 % des ausgefallenen Nettolohns, Arbeitnehmer/innen, die mindestens 1 Kind haben, bekommen 67% des ausgefallenen Nettolohns.

Wer kann Kurzarbeitergeld beziehen?

Grundsätzlich können alle Mitarbeiter Kurzarbeitergeld beziehen, die sozialversicherungspflichtig beschäftigt sind. Auch bei den Leiharbeitern wurde eine Erleichterung geschaffen, jedoch sind Minijobber, Rentner und Arbeitnehmer, welche bereits Krankengeld beziehen, auch weiterhin von der Kurzarbeit ausgeschlossen. Auch unterfallen freie Mitarbeiter aufgrund ihrer Selbständigkeit nicht den Regelungen zur Kurzarbeit. In den meisten Fällen sind auch Auszubildende von der Kurzarbeit ausgenommen, jedoch gibt es Ausnahmefälle.

Was ist nun zu tun?

Es sind zwei Schritte erforderlich:

  • Zunächst muss der Betrieb die beabsichtigte Reduzierung der Arbeitszeit bei der zuständigen Agentur für Arbeit anzeigen. Dabei muss eine Frist beachtet werden: Die vollständige Anzeige muss grundsätzlich in dem Monat (z.B. März) stattfinden, in dem die Arbeitnehmer in die Kurzarbeit gehen sollen (z.B. März). Es gibt allerdings Ausnahmen, bei denen ein Nachreichen von Angaben möglich ist. Erfahrungsgemäß ist dies oft eine noch ausstehende Stellungnahme des Betriebsrats.
  • Als zweiter Schritt wird ein Leistungsantrag gestellt. Der Leistungsantrag kann bis zu drei Monate später gestellt werden. Fristbeginn ist mit Ablauf des Kalendermonats, in dem die Tage liegen, für die die Kurzarbeitgelder beantragt werden.

Wo ist das Risiko?

Insbesondere die Anträge auf Kurzarbeitergeld und auf Soforthilfe bergen Risiken für die Arbeitgeber, weil fehlende Angaben dazu führen können, dass die Leistungen (im Nachhinein) nicht gewährt werden. Dazu kommt das Risiko, dass vorsätzliche oder grob fahrlässige Falschangaben dazu führen, können, dass der Arbeitgeber z. B. auf Schadensersatz haftet. Genannt werden müssen im Antrag auf Soforthilfe zum Beispiel Rechtsgrundlagen, Gründe des Arbeitsausfalls und „fachlichen Weisungen“ der BfA.

Was ist intern rechtlich zu regeln?

Weiterhin muss die Kurzarbeit mit allen Arbeitnehmern einzeln besprochen und eine Einwilligung von beiden Seiten unterzeichnet werden, wenn dies nicht bereits im Arbeitsvertrag, dem Tarifvertrag oder durch eine Betriebsvereinbarung mit dem Betriebsrat geregelt wurde.

Neues Urteil: Was war geschehen?

Ein 13-jähriger Schüler und dessen Eltern verlangten eine „Bereinigung“ seiner Schülerakte, nachdem in seiner Akte diverse Eintragungen waren, die den Wechsel auf eine Privatschule erschweren könnten. Der Schüler musste aufgrund einem Gewaltvorfall eine Schule verlassen und wurde auch in einer anderen Schule diverse Male auffällig, was in seiner Schülerakte dokumentiert wurde.

Aufgrund eines geplanten Wechsels auf eine Privatschule beantragten die Antragsteller eine „Bereinigung“ bestimmter Seiten seiner Schülerakte unter Berufung auf die Datenschutz-Grundverordnung.

Wie entschied das Gericht im konkreten Fall?

Das VG Berlin (Az. 3 L 1028.19) entschied, dass ein Anspruch auf Bereinigung nicht gegeben sei. Als Gründe wurden ausgeführt, dass die Daten in der Schülerakte notwendig seien, da nur so der Zweck erfüllt werden könne, die Entwicklung der Persönlichkeit und das Verhalten des Schülers über seine Schullaufbahn zu dokumentieren. Entscheidend war auch, dass der Zweck zur Verarbeitung der Daten durch einen Schulwechsel nicht weggefallen war.

Kann man das auch anders sehen? Unsere Einschätzung:

Im konkreten Fall sehen wir die Entscheidung des VG Berlin als gerechtfertigt an. Dies vor allem in Hinblick darauf, dass es sich um Gewalttaten des Schülers handelte, welche aus der Schülerakte „bereinigt“ werden sollten. Vor diesem Hintergrund sind auch die berechtigten Interessen der anderen Schüler und der Lehrer der neuen Schule zu berücksichtigen.

Nach unserer Rechtsansicht besteht jedoch grundsätzlich schon die Möglichkeit, eine „Bereinigung“ einer Schülerakte auf die Datenschutz-Grundverordnung zu stützen. Dies vor allem bei kleineren Vorfällen, die auch in der Schülerakte dokumentiert werden und keine Auswirkungen auf andere Schüler haben.

Das Corona-Virus ist derzeit in aller Munde. Bei vielen ist die Panik groß und die Unsicherheit noch größer. Da derzeit noch nicht genau abgeschätzt werden kann, wie schnell sich das Virus verbreiten wird, werden vielerorts Großveranstaltungen und auch Messen abgesagt.

Die Absage von Messen verursacht für alle Beteiligten -trotz Verständnis für den Grund der Absage- Schwierigkeiten. Vielfach kommt die Frage auf, wer die Kosten für die bereits gebuchten Flüge und Hotels sowie die Kosten für die Messestände tragen soll.

Dazu muss unterschieden werden:

Wenn das Unternehmen selbst den Messestand absagt, können keine Schadensersatzansprüche gegenüber der Messe geltend gemacht werden.

Wenn der Messeveranstalter jedoch die Messe absagt, könnten Schadensersatzansprüche gegeben sein.

Wieviel Schadensersatz bekommt man?

Eine pauschale Antwort für etwaige Schadensersatzansprüche gibt es nicht.

Es kommt immer auf den jeweiligen Vertrag mit der konkreten Messe an.

Ausschlaggebend ist jedoch oftmals, ob der Veranstalter schuldhaft gehandelt hat. Ein schuldhaftes Handeln könnte vorliegen, wenn die Messe nicht abgesagt wurde, weil tatsächlich eine gesundheitliche Bedrohung vorlag, sondern weil viele Aussteller absagten und die Messe sich für den Veranstalter dadurch nicht mehr „rechnet“.

Je nach Vertrag mit dem Messeveranstalter können somit Schadenersatzansprüche geltend gemacht werden. Da ein entgangener Gewinn schwierig zu beziffern sein wird, wird sich hierbei der Schadensersatz weitestgehend auf die bereits erbrachten Kosten beziehen.

Da jedoch auch der Messestand, die gebuchten Unterkünfte und Flüge enorme Kosten auslösen können, kann sich oftmals die Prüfung des Vertrages mit dem Messeveranstalter und die Prüfung von Schadensersatzansprüchen lohnen.

So hilft Ihnen die Anwaltskanzlei Schenk Datenschutz GmbH:

Gerne prüfen wir Ihren Vertrag mit dem Messeveranstalter und etwaige Schadensersatzansprüche.

Frau Rechtsanwältin Schenk, Fachanwältin für gewerblichen Rechtsschutz (Marken-, Medien-, Wettbewerbs-, Patentrecht) und der Rest vom Team steht Ihnen mit ihrer rechtlichen Expertise beratend zur Seite.

Arbeitnehmer werden 1.000 € Schadensersatz wegen unerlaubter Bildveröffentlichung durch den Arbeitgeber vom Arbeitsgericht Lübeck zugesprochen

Das Arbeitsgericht Lübeck hatte Mitte 2019 in einem Vorverfahren (Beschluss vom 20.06.2019, Az. 1 Ca 538/19) entschieden, dass sich der Arbeitgeber schadensersatzpflichtig macht, wenn er das Foto eines Arbeitnehmers ohne dessen Einwilligung auf der firmeneigenen Facebook-Seite veröffentlicht.

Dem Arbeitnehmer, welcher geklagt hatte, wurden 1.000 € Schadensersatz wegen unerlaubter Bildveröffentlichung durch den Arbeitgeber zugesprochen.

Was war geschehen?

Der Arbeitnehmer hatte dem Unternehmen seine Einwilligung erteilt, sein Foto auf der Webseite des Unternehmens zu veröffentlichen und das Foto auszuhängen. Das Foto des Arbeitnehmers wurde in diesem Zuge auch auf der firmeneigenen Facebook-Seite veröffentlicht.

Als der Arbeitnehmer das Unternehmen verließ, widerrief er seine Einwilligung und verlangte die Beseitigung der Fotos.

Dem kam das Unternehmen auch nach, vergaß jedoch die Beseitigung der Fotos auf der Facebook-Seite.

Einwilligung erforderlich!

In dem Urteil des Arbeitsgerichts Lübeck wurde auch geäußert, dass im Rahmen von Arbeitsverhältnissen, zumindest in Hinblick auf die Veröffentlichung von Bildern von Arbeitnehmern, ein Berufen auf berechtigte Interessen grundsätzlich ausgeschlossen ist.

Wegen dem allgemeinen Persönlichkeitsrecht der Mitarbeiter, dass durch Art. 2 Abs. 1, 1 Abs. 1 GG geschützt ist, sind hohe Anforderungen an die Formulierung des Rechtstexten gestellt. Eine selbst verfasste Einwilligung, die den gesetzlichen Erfordernissen nicht nachkommt, kann im Zweifel als unwirksam angesehen werden. Die Rechtslage ist dann für Ihr Unternehmen so, als ob der Mitarbeiter überhaupt keine Einwilligung unterschrieben hätte. Das löst im Streitfall Schadensersatzzahlungen wegen Verletzung des allgemeinen Persönlichkeitsrechts aus.

Was ist nun zu tun?

Wir empfehlen, bei einem Widerruf der Einwilligung alle Fotos zu beseitigen. Bitte beachten Sie, dass teilweise solche Fotos auf Facebook oder anderen sozialen Plattformen weit hinten auf der Timeline liegen können. Es empfiehlt sich eine gründliche Durchsuchung aller Kanäle, auf welchen Fotos von Arbeitnehmern veröffentlicht werden. 

So hilft Ihnen die Anwaltskanzlei Schenk Datenschutz GmbH:

Gerne erstellen auch wir für Sie rechtskonforme Einwilligungen für Ihre Mitarbeiter. Auch in Fremdsprachen. Bitte teilen Sie uns mit, ob wir einen derartigen Rechtstext für Ihr Unternehmen gestalten sollen.

Frau Rechtsanwältin Schenk, Fachanwältin für gewerblichen Rechtsschutz (Marken-, Medien-, Wettbewerbs-, Patentrecht) und der Rest vom Team steht Ihnen mit ihrer rechtlichen Expertise beratend zur Seite.

Jeder Nutzer von Facebook hat sich bestimmt einmal oder mehrmals gefragt, was Facebook alles über ihn weiß.

Woher weiß Facebook, welche Werbeanzeigen mir angezeigt werden sollen, die zu meinen Interessen passen?

Dieser Antwort kann man jetzt durch eine neue Funktion von Facebook näherkommen.

Um etwas mehr Transparenz zu schaffen, versprach Mark Zuckerberg schon 2018, dass Facebook eine Möglichkeit bieten soll, den Aktivitätsverlauf zu sehen und gegebenenfalls zu löschen.

Dies wurde nun umgesetzt, wenn auch etwas versteckt und nicht ganz einfach für den Nutzer von Facebook zu finden.

Im Gegensatz zum Browserverlauf kann man auch nicht die gesamten Daten löschen, jedoch hat man zumindest einen Überblick und kann nachvollziehen, welche Daten über sein eigenes Profil (teilweise unbemerkt) gesammelt und zwischen welchen Unternehmen und Facebook ausgetauscht werden.

Wie sehe ich die über mich gesammelten Daten?

Um sich über die gesammelten Daten zu informieren, loggen Sie sich zunächst bei Ihrem Facebook-Konto ein.

Wenn Sie bei Facebook eingeloggt sein, klicken Sie auf den unten genannten Link „Meine Werbepräferenzen“. https://www.facebook.com/ads/preferences/?entry_product=ad_settings_screen

(Direkter Link zu Ihrem Facebook-Konto, wenn Sie -auch in einem anderen Tab- eingeloggt sind).

Hier werden Ihnen die über Ihr Facebook-Profil gesammelten Daten angezeigt (wenn auch nicht alle) und auch, in welche Interessengruppen Facebook Sie eingeordnet hat. Sie sehen, welche Shops und Angebote Sie besucht haben, die die Daten an Facebook weitergegeben haben.

Wie wähle ich die richtigen Einstellungen?

An dieser Stelle können Sie auch die richtigen Einstellungen wählen. Bei den Werbepräferenzen können Sie derzeit über folgende 3 Punkte entscheiden:

  • „Werbeanzeigen auf Basis von Partnerdaten,
  • Werbeanzeigen, die du außerhalb von Facebook siehst und die auf deinen Aktivitäten in Produkten der Facebook-Unternehmen basieren,
  • Werbeanzeigen auf Basis deiner Klicks auf Facebook.“

(Quelle: https://www.facebook.com/ads/preferences/?entry_product=ad_settings_screen

Im eingeloggten Zustand).

Stand 12.02.20

So hilft Ihnen die Anwaltskanzlei Schenk Datenschutz GmbH:

Unsere Expertise liegt unter anderem im Wettbewerbs- und Werberecht, auch im Zusammenhang mit datenschutzrechtlichen Themen. Wir beraten bereits eine Vielzahl von Marketingabteilungen.

Frau Rechtsanwältin Schenk, Fachanwältin für gewerblichen Rechtsschutz (Marken-, Medien-, Wettbewerbs-, Patentrecht) steht Ihnen mit ihrer rechtlichen Expertise beratend zur Seite.

Für rechtliche Fragen zu Werbung, Mailings und anderen Marketingaktionen stehen wir gerne zur Verfügung.

Gemäß der aktuellen Abmahnumfrage von Trusted Shops, bei der 2.865 Händler teilgenommen haben, wurden 47 % der Online-Händler abgemahnt.

Zeitraum

42% der Befragten gaben an, im Zeitraum von Oktober 2018- Oktober 2019 abgemahnt worden zu sein, wobei sie im Durchschnitt 2,4 Abmahnungen erhielten.

Abmahngründe

Die häufigsten Abmahngründe lagen in Verstößen in Bezug auf das Widerrufsrecht (15%), Verstöße in Bezug auf die Produktkennzeichnung (14%) und fehlerhaften Grundpreisangaben (12%).

Abmahngründe lagen auch im Datenschutzrecht (3%) oder in Verstößen gegen das Verpackungsgesetz (3%).

Existenz bedroht

Mehr als jeder zweite Teilnehmer (51%) gab an, dass durch Abmahnungen die eigene Existenz bedroht wurde. Auch Teilnehmer, welche noch keine Abmahnung erhalten hatten, gaben mit 56% an, sich durch potenzielle Abmahnungen in ihrer Existenz bedroht zu sehen. Dies liegt vor allem daran, dass sich Abmahnvereine zunehmend wirtschaftlich schwächere, kleinere Unternehmen abmahnen, bei welchen schon wenige Anmahnungen oder Vertragsstrafen zur Geschäftsaufgabe führen können. Interessant ist auch, dass am häufigsten Mitbewerber mit einem Rechtsanwalt (45%) abmahnen, gefolgt durch den IDO Verband mit 25%.

Entwicklung

Laut der Umfrage steigt der Wert einer Abmahnung seit Jahren stetig an.

Zum Vorjahr stieg der durchschnittliche Wert der Abmahnung laut den teilnehmenden Befragten um 40% an und liegt derzeit bei 1.936 €. Dies kann auch daran liegen, dass die Zahl der durch Mitbewerber ausgesprochenen Abmahnungen gestiegen ist.

Kosten bei Verstoß gegen unterschriebene Unterlassungs- und Verpflichtungserklärung

Die durchschnittliche Höhe bei einem erstmaligen erneuten Verstoß gegen die Verletzung der unterschriebenen Unterlassungs- und Verpflichtungserklärung liegt bei 3.500 € und die durchschnittliche Höhe bei mehrmaligen Verstößen bei 7.300 €.

Hervorzuheben ist, dass sich 64% der Abgemahnten zur Wehr gesetzt haben, wobei 76% mit ihrem Widerspruch erfolgreich waren.  Dabei konnten 23% die Abmahnung vollständig zurückweisen, 25 % die Unterlassungserklärung zu Gunsten des Abgemahnten geändert (modifiziert) werden und 16% haben die Abmahnung akzeptiert, aber mussten die Kosten (teilweise) nicht zahlen.

(Quelle: https://business.trustedshops.de/blog/trusted-shops-abmahnumfrage-2019-liegt-vor)

Fazit:

Wenn Sie eine Unterlassungserklärung unterschreiben, schließen Sie einen Vertrag ab, der unter Umständen 30 Jahre lang gilt. Nach unserer Erfahrung liegen geforderte Zahlungen wegen Verstößen gegen unterschriebene Unterlassungserklärungen auch höher, als in der Studie angegeben (z.B. 50.000 €).

Es zeigt sich somit, dass eine Abmahnung auf keinen Fall ignoriert oder ungeprüft die Unterlassungserklärung unterschrieben werden sollte.

So hilft Ihnen die Anwaltskanzlei Schenk Datenschutz GmbH:

Unsere Expertise liegt unter anderem in sehr guten offensiven und defensiven Abwehrstrategien von Abmahnungen.

Frau Rechtsanwältin Schenk, Fachanwältin für gewerblichen Rechtsschutz (Marken-, Medien-, Wettbewerbs-, Patentrecht) steht Ihnen mit ihrer rechtlichen Expertise beratend zur Seite.

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder schreiben Sie uns eine E-Mail. Wir unterstützen Sie gerne, wenn Sie eine Abmahnung erhalten haben. Nehmen Sie Kontakt auf.

Unternehmenskauf: Mitarbeiterdaten und DSGVO

Der Datenschutz muss auch beachtet werden, wenn es im Vorfeld um die Beurteilung des Unternehmens geht.

Stets problematisch sind für die Begutachtung im Vorfeld auch die Verarbeitung der Mitarbeiterdaten.

Die Verarbeitung von personenbezogenen Mitarbeiterdaten im Zuge einer Unternehmenstransaktion kann nicht auf die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses gestützt werden.

Dass die Mitarbeiterdaten trotzdem verarbeitet und in Beurteilung des Unternehmens miteingeschlossen werden können, kann an eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO als Rechtsgrundlage gedacht werden. Dabei muss jedoch bedacht werden, dass eine Einwilligung jederzeit widerrufen werden kann und dass je nach Mitarbeiterzahl der Aufwand relativ hoch sein kann.

Als weitere Rechtsgrundlage kann das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DS-GVO in Erwägung gezogen werden. Die Interessenabwägung, welche hierzu durchgeführt werden muss, ist immer für den Einzelfall zu beurteilen und wird je nach Voraussetzungen positiv oder negativ ausfallen. Wenn die Interessenabwägung zu dem Schluss kommt, dass die Mitarbeiterdaten aufgrund des berechtigten Interesses verarbeitet werden dürfen, ist weiterhin zu beachten, dass die Grundsätze der Datensparsamkeit und der Vertraulichkeit zwischen den Unternehmen geregelt und eingehalten werden. Es müssen auch hinreichende technisch-organisatorische Maßnahmen gewährleistet werden und es dürfen keine besonders sensiblen Daten gemäß Art. 9 DS-GVO zwischen den Unternehmen ausgetauscht werden.

Problemtisch gestalten sich im Vorfeld eines Unternehmenskauf auch die Informationspflichten der Unternehmen. Da ein Verkauf eines Unternehmens in der Regel mehrere Monate von Verhandlungen und Gesprächen in Anspruch nimmt und die Parteien bis zum Abschluss des Vertrages Stillschweigen wünschen, kollidiert dies häufig mit den Transparenzpflichten der betroffenen Mitarbeiter, welche gemäß Art. 13 Abs. 3 DS-GVO vor der Weiterverarbeitung über die Zweckänderung informiert werden müssen.

Ein Unternehmenskauf sollte somit durch im Datenschutzrecht spezialisierte Berater begleitet werden. Es ist von hoher Wichtigkeit, dass alle Schritte und Abwägungen dokumentiert werden. Dies auch im Hinblick auf die angedrohten Bußgelder der Aufsichtsbehörden.

Gerne unterstützen wir Sie rechtlich in der Angelegenheit.

Für eine kostenfreie Ersteinschätzung stehen wir Ihnen gerne zur Verfügung.

Sabine Schenk
Rechtsanwältin
Fachanwältin für gewerblichen Rechtsschutz
TÜV-zertifizierte Datenschutzbeauftragte (TÜV Süd)

Anwaltskanzlei Schenk Datenschutz Rechtsanwaltsgesellschaft mbH

Presse: Frau Rechtsanwältin Schenk im Interview mit der Stuttgarter Zeitung.

Thema: Werbeaussagen bei Lebensmitteln: „Wie weit darf der Hersteller gehen?“

https://www.stuttgarter-zeitung.de/inhalt.goldener-windbeutel-von-foodwatch-wie-dreist-darf-werbung-sein.cb29e9fa-b90a-4562-b7f7-af5cdd276a72.html?reduced=true

Heute, am 26.11.2019 ist es soweit: Die beschlossenen Änderungen des Bundesdatenschutzgesetzes treten in Kraft.

Was wurde jedoch genau geändert und welche Konsequenzen ergeben sich für Sie?

Neben Wortänderungen wie z.B. in § 4 BDSG und Änderungen, die den Bundesbeauftragten betreffen wie in § 9 BDSG, kommt es zu größeren Veränderungen, welche den § 22 BDSG betreffen. Wenn Sie besondere Kategorien personenbezogener Daten verarbeiten, lohnt sich ein neuer Blick in das Bundesdatenschutzgesetz.

Besonders interessant für die meisten Unternehmen ist die Änderung in § 38 Abs. 1 S. 1 BDSG, welcher regelt, dass Unternehmen nun erst mit mindestens 20 Personen, welche ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen müssen.

Veröffentlichung im Bundesgesetzblatt Teil I Nr. 41: https://www.bgbl.de/xaver/bgbl/start.xav#__bgbl__%2F%2F*%5B%40attr_id%3D%27I_2019_41_inhaltsverz%27%5D__1574679770668

http://www.xing-news.com/reader/news/articles/2741376?cce=em5e0cbb4d.%3AVsgRdG6ilLIpv8qzWmRlBM&link_position=digest&newsletter_id=52485&toolbar=true&top_articles_id=312646&xng_share_origin=email

Ein aktuelles Urteil des EuGHs erfordert eventuell Änderungen an Ihrer Webseite bzw. Ihrem Shop. Das Urteil bezieht sich auf Ihren Cookie-Banner und auch andere Trackingsoftware.

Was besagt das EuGH-Urteil?

Der Europäische Gerichtshof hat sich am 01.10.2019 klar für ausdrücklich eingeholte Cookie-Einwilligungen ausgesprochen. In dem Urteil ging es um eine Klage der Verbraucherzentrale Bundesverband gegen ein Unternehmen, welches im Rahmen von Gewinnspielen Daten für Werbezwecke Dritter sammelte.

Übertragen auf Webseiten entschied der EuGH, dass die sehr häufig genutzten Einwilligungsbanner wie z.B. „Wir nutzen Cookies-wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden“ nicht ausreichend und gesetzeskonform sind.

Die Weiternutzung der Webseite stellt keine klare und zweifelsfreie Einwilligung des Nutzers für den konkreten Fall der Cookie-Nutzung dar.

Cookies, welche nicht zwingend erforderlich sind, dürfen deshalb erst nach einer ausdrücklichen und informierten Einwilligung des Nutzers verarbeitet werden.

Wann sind Cookies für eine Webseite erforderlich?

Es wird unterschieden zwischen Cookies, die zwingend erforderlich sind und „Marketing-Cookies“. Welche Cookies erforderlich sind, wurde nicht entschieden, jedoch ist davon auszugehen, dass Warenkorb-Cookies eines E-Shops, der Log-In-Status einer Community und die Sprachauswahl auf einer internationalen Seite als erforderliche Cookies anzusehen sind.

Alle weiteren Cookies und vor allem Cookies für Zwecke des Marketings oder der Tracking-Softwares sind eindeutig nicht erforderliche Cookies und bei deren Verwendung muss eine ausdrückliche Einwilligung eingeholt werden.

Was bedeutet das für Sie/Ihr Unternehmen?

Das Urteil bezog sich zwar nur auf die Nutzung von Cookies, gemeint sind jedoch alle Technologien, die Daten auf den Geräten der Nutzer speichern und auslesen.

Die Einwilligung für die Nutzung von Cookies, Tracking-Softwares etc. muss somit ausdrücklich per Klick, am besten auf eine Schaltfläche oder einer Checkbox, erklärt werden. Spätestens nach dem Urteil ist es nicht mehr zulässig, dass die Cookies, etc. beim Betreten der Webseite bereits aktiv sind und der Nutzer sie deaktivieren muss.

Das EuGH-Urteil regelt weiterhin auch, dass der Nutzer über die Art und Funktionsweise, die Lebensdauer der Cookies und die Identität der Dienstleister, die die Cookies verarbeiten, informiert werden muss.

Der Nutzer muss auch gem. Art. 13 und 14 DS-GVO informiert werden, wer der Verantwortliche der Webseite ist und welche Rechte ihm zustehen, er muss vor allem auch auf sein Widerrufsrecht hingewiesen werden.

Es ist weiterhin zu beachten, dass der Nutzer die Möglichkeit haben muss, zu den einzelnen Cookies und Tracking-Softwares seine Einwilligung zu erteilen. Es darf somit nicht eine allgemeine Einwilligung für alle genutzten Cookies und Tracking-Softwares eingeholt werden.

Wir empfehlen weiterhin, darauf zu achten, dass die Häkchen zu den einzelnen Cookies und Tracking-Softwares nicht schon voreingestellt gesetzt sind. Der Nutzer muss aktiv seine Einwilligung erteilen und selbst die Häkchen setzen.

Da der Nutzer jederzeit seine Einwilligung widerrufen kann, empfehlen wir, die Möglichkeit, die Einstellungen zu ändern, deutlich und an einem gut sichtbaren Platz auf der Webseite zu platzieren.

Wer was geklickt hat, muss dokumentiert werden, damit es im Streitfall nachweisbar ist.

Um dieser Pflicht nachzukommen, empfehlen wir, einen externen Dienstleister einzubeziehen. Alternativ kann das natürlich auch selbst programmiert werden.

Am 18.10.2019 haben die Datenschutzbehörden in Deutschland ein einheitliches Bußgeldmodell veröffentlicht. Die Datenschutz-Aufsichtsbehörden des Bundes und der Länder in Deutschland haben sich im Grundsatz auf einen gemeinsamen Ansatz zur Bußgeldzumessung im Rahmen der DSGVO geeinigt. Zweck ist, den „Bußgeldkatalog“ der DSGVO zumindest in Deutschland zu vereinheitlichen.

Wenn in der gesamten EU zu einem späteren Zeitpunkt eine weitere Vereinheitlichung erfolgen sollte, ersetzt das EU-Modell dann das nun vorgelegte Modell. Ob die gesamte EU allerdings einen einheitlichen Bußgeldkatalog bekommt, ist bislang noch unklar.

Auszug aus den Anwendungshinweisen zur Bußgeldbemessung:

„Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2.), dann ein wirtschaftlicher Grundwert ermittelt (3.), dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.) und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.).“

Wir hatten in der Kanzlei schon für einige Mandanten Konversation mit den Datenschutzbehörden. Wir freuen uns, dass wir bisher alle, unseren Mandanten drohenden Bußgelder erfolgreich abwehren konnten.

Bisher verhängten die deutschen Datenschutzaufsichtsbehörden ungefähr 100 Bußgelder (keine Angabe von 2 Bundeländern), wobei das höchste verhängte Bußgeld 200.000 € betrug. Dies wurde gegen ein Berliner Unternehmen wegen nicht gelöschter Kundendatensätze und unzulässigen Werbemails verhängt. Das deutsche Unternehmen Knuddels.de musste das erste seit der DSGVO-Einführung verhängte Bußgeld in Höhe von 20.000 Euro wegen einer Datenpanne zahlen. Das Flirt-Netzwerk konnte wohl davon profitieren, dass es seinen Meldepflichten vorbildlich nachgekommen ist. Das Bußgeld von 80.000 Euro wurde in Deutschland wegen geleakter Gesundheitsdaten aufgrund unzureichender interner Kontrollmechanismen fällig. Wegen eines fehlenden Vertrags zur Auftragsverarbeitung musste das Versandunternehmen Kolibri Image 5.000 Euro zahlen. Die Datenschutzbehörde teilte mit, dass das Unternehmen den Dienstleister erst nach Vertragsschluss hätte beauftragen dürfen und verhängte das Bußgeld.

Europaweit waren die Bußgelder sehr viel höher.

So verhängte die französische Datenschutzbehörde gegen Google ein Bußgeld von 50 Millionen Euro.

In Portugal wurde gegen ein Krankenhaus ein Bußgeld von 400.000 € fällig, da zu viele Personen Zugriff auf Patientendaten hatten.

In England verhängte die Datenschutzbehörde ein Bußgeld in Höhe von 204 Millionen Euro gegen eine Fluggesellschaft wegen mangelnder Sicherheitsvorkehrungen und gegen eine Hotelkette ein Bußgeld in Höhe von 110 Millionen Euro, da diese massenhaft Kundendaten im Internet offenlegte.

In Dänemark wurde ein Bußgeld in Höhe von 200.000 € verhängt, weil ein Möbelhersteller Kundendaten über die Speicherdauer hinaus speicherte und gegen ein Taxiunternehmen ein Bußgeld in Höhe von 161.000 €, welches Daten von acht Millionen Fahrten speicherte und somit gegen das Minimierungsgebot verstieß.

In Polen wurde ein Bußgeld in Höhe von 221.000 € gegen ein Unternehmen verhängt, welches der Erfüllung der Auskunftspflicht nach Art. 14 DS-GVO nur unzulänglich nachkam.

Der Bundesdatenschutzbeauftragte Ulrich Kelber äußerte zu den zukünftigen Bußgeldern, dass die Zurückhaltung der Datenschutzbehörden natürlich auch immer weniger werde und es auch bald in Deutschland Bußgelder in Millionenhöhe geben werde.

Fazit: Wir empfehlen: Holen Sie sich professionelle Unterstützung im Datenschutz in Ihr Unternehmen.

Sie haben ein Schreiben von der Datenschutzauskunfts-Zentrale bekommen?

Zur Zeit werden Schreiben per Fax verschickt mit folgender Überschrift:

„Datenschutzauskunfts-Zentrale Erfassung Gewerbebetriebe zum Basisdatenschutz nach EU-DSGVO. Eilige Fax-Mitteilung“

Als Absender wird die DAZ Datenschutzauskunft-Zentrale in Oranienburg (DAZ-Zentrale Postverteilungsstelle (…) genannt.

Frist

In dem Schreiben wird eine Frist gesetzt. Das Schreiben soll danach bis zu einem bestimmten Datum „gebührenfrei an die EU-weite zentrale Faxstelle 0800/“ … der Datenschutzauskunft-Zentrale gesendet werden.

Schreiben einer Behörde?

Sind Sie im ersten Moment erschrocken, weil Sie gedacht haben, es handelt sich bei dem Schreiben der Datenschutzauskunft-Zentrale um ein Schreiben einer Behörde?

Unseres Erachtens wird genau dies von der Datenschutzauskunft-Zentrale bezweckt. Es handelt sich daher nach unserer Einschätzung um einen Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb.

Ebenso gibt es ein höchstrichterliches Urteil aus dem Jahre 2012, durch das die Rechtsposition von Adressaten derartiger Schreiben gestärkt worden ist. Der Bundesgerichtshof hat danach ein derartiges Schreiben mit versteckten Kosten unter dem Blickwinkel allgemeiner Geschäftsbedingungen betrachtet.

Was ist zu tun?

Unsere Empfehlung: Unterschreiben Sie den Antrag der Datenschutzauskunft-Zentrale nicht.

Schicken Sie das Fax nicht zurück.

Fax schon verschickt. Und jetzt?

Auch wenn man den Antrag der Datenschutzauskunft-Zentrale schon unterschrieben und zurückgeschickt hat, bestehen häufig gute Chancen, sich rechtlich zu wehren.

Gerne unterstützen wir Sie rechtlich in der Angelegenheit. Für eine kostenfreie Ersteinschätzung stehen wir Ihnen gerne zur Verfügung. 

Sabine Schenk

Rechtsanwältin Fachanwältin für gewerblichen Rechtsschutz

TÜV-zertifizierte Datenschutzbeauftragte (TÜV Süd)

Quelle: „das“ „Auf Allgäuer Unternehmen kommt viel Aufwand zu“, in: Allgäuer Zeitung (01.03.2018), Zeichnung: Küchle“

Artikel auch als PDF: Auf Allgäuer Unternehmen kommt viel Aufwand zu

„Jetzt wird ernst: Die neue Datenschutzgrundverordnung 2018! Datenschutz bei kleinen und mittelständischen Unternehmen und deren Umsetzung in der Praxis“ 

Vortrag von Frau Rechtsanwältin Sabine Schenk (TÜV- zertifizierte Datenschutzbeauftragte) vor dem Bund der Selbstständigen-Gewerbeverband Bayern e. V.

am 26. Februar 2018,19.30 Uhr

Allgäu Digital, Keselstraße 16 in 87435 Kempten

Der Vortrag ist kostenfrei. Um Anmeldung wird gebeten.

Das EU-Parlament hat dem Datenschutz-Rahmenabkommen zwischen der EU und den USA zugestimmt. Ob das EU-US-Datenschutzrahmenabkommens jedoch offiziell in Kraft treten kann, wird der Rat entscheiden.

Die EU-Justizkommissarin Frau Jourová hat dazu weiter ausgeführt, dass das Datenschutz-Rahmenabkommen zwischen der EU und den USA hohe Datenschutzstandards für Datenübermittlungen bei der Strafverfolgung setze. Es beziehe sich auf personenbezogenen Daten, die zwischen der EU und den USA zum Zwecke der Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten, einschließlich terroristischer Tätigkeiten, ausgetauscht werden.

Eine bedeutende Neuerung ist, dass die USA allen EU-Bürgern das Recht zugestehen, ihre Datenschutzrechte vor US-Gerichten geltend zu machen – ein Recht, das für US-Bürger in Europa bereits gilt.

Dem diesbezüglichen Klagerecht von EU-Bürgern vor US-Gerichten hat der US-Kongress mit der Verabschiedung des sog. „Judicial Redress Acts“ am 24.02.2016 zugestimmt.

Quelle: EU-Aktuell v. 01.12.2016

Ziel des EU-US-Privacy-Shield soll der verbesserte Schutz von Grundrechten der EU-Bürger bei dem Datenaustausch von personenbezogenen Daten in die USA sein.

Der Beschluss wird nun den Mitgliedstaaten zugeleitet. In den USA wird der Rahmen im US-Bundesregister veröffentlicht.

In dem EU-US-Privacy-Shield (EU-US-Datenschutzschild) ist unter anderem folgendes geregelt:

Die Rechte  der einzelnen die Bürger sollen gestärkt werden. Zum Beispiel soll ein kostenloses Verfahren der alternativen Streitbeilegung zur Verfügung gestellt werden. Außerdem sollen die nationalen Datenschutzbehörden mit der Federal Trade Commission zusammenarbeiten, um etwaigen Beschwerden nachzugehen und abzuhelfen. Im Außenministerium soll außerdem eine Ombudsstelle eingerichtet werden, an die sich Bürger mit Rechtsschutzbegehren (Bereich der nationalen Sicherheit) wenden können. Zum leichteren Verständnis für die EU-Bürger plant die Kommission, einen „Bürger-Leitfaden zur Erläuterung der Rechtsbehelfe“ zu veröffentlichen.

Unternehmen, die Daten verarbeiten, sollen strenge Auflagen bekommen. Das US-Handelsministerium soll die Liste der teilnehmenden Unternehmen regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass die Unternehmen die Regeln einhalten, denen sie sich selbst unterworfen haben. Unternehmen soll die Gelegenheit gegeben werden, im Hinblick auf die Einhaltung der Regeln Anpassungen vornehmen zu können.

Die USA haben der EU zugesichert, dass der Datenzugriff von Behörden aus Gründen der Rechtsdurchsetzung oder der nationalen Sicherheit lediglich unter der Voraussetzung der Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sein werde.

(Quelle: EU-Aktuell v. 12.07.2016)

„Das sicherste Mittel, um teure Rechtsverletzungen mit weitreichenden Folgen beim Datenaustausch mit amerikanischen Unternehmen zu vermeiden, ist, ergänzende Individualvereinbarungen zu schließen.“, weiß Frau Rechtsanwältin Sabine Schenk, Europajuristin (Universität Würzburg) und TÜV-zertifizierte Datenschutzbeauftragte, Inhaberin der Anwaltskanzlei Schenk. Dabei werde im Unternehmens- Alltag oft vergessen, dass z.B. auch Zahlungsdiensteanbieter oder Web-Conference-Anbieter oft amerikanische Unternehmen sind. Hier sollte ein besonderes Augenmerk auf die Datenschutzerklärungen und weiteren individuellen Verträge gelegt werden.

Im Einzelfall sollte der Rat eines spezialisierten Rechtsanwalts herangezogen werden. Profitieren Sie von unseren aktuellem rechtlichem Kenntnisstand und unserem Spezialwissen. Frau Rechtsanwältin Schenk ist Inhaberin der Anwaltskanzlei Schenk (www.anwalt-datenschtzbeauftragter.de) und Spezialistin für IT-Recht und Gewerblichen Rechtsschutz (Wettbewerbs-/Werbe-, Marken-, Urheber-, Patentrecht) sowie TÜV-zertifizierte Datenschutzbeauftragte.

Nutzen Sie Lösungsansätze, die Sie weiter bringen: Mit modernen Onlinedatenbanken und Software, mit täglich hoher Einsatzbereitschaft und Professionalität bearbeiten wir Ihre Anliegen schnell und zuverlässig. Für Ihre Außendarstellung stellen wir Ihnen Marketingmaterialien zur Verfügung. So geben Sie Ihren Kunden Sicherheit und schaffen Vertrauen, auch bei der Neukundengewinnung.

Auf Ihre Fragen freue ich mich und beantworte sie persönlich.

Sabine Schenk