Datenschutz Archive - Seite 2 von 4

Die deaktivierte facebook-Fanpage

Facebook-Fanpages, mit denen Unternehmen werben, sind datenschutzrechtlich immer noch ein Problem. Wir hatten bereits mehrfach über die Gründe berichtet. Vor ein paar Tagen hat das Bundesverwaltungsgericht (BVerwG) der Geschichte noch eine weitere Wendung hinzugefügt. Es ging darum, ob Datenschutzbehörden den Betrieb einer facebook-Fanseite gegenüber dem beworbenen Unternehmen untersagen können.

Aber zunächst noch einmal eine kurze Rekapitulation: Der Europäische Gerichtshof (EuGH) hatte im Sommer 2018 entschieden, dass nicht nur facebook, sondern auch der Nutzer von sogenannten facebook-Fanpages für das Sammeln und Verarbeiten der Daten verantwortlich ist. Dabei waren diese Fanpages bei vielen Unternehmen, gerade auch Stadtwerken, so beliebt, weil sie relativ günstige und wenig aufwendige Möglichkeiten für Werbung bieten. Allerdings besteht das Geschäftsmodell von facebook bekanntlich im Sammeln von Daten. Und das funktioniert mit den Fanpages sehr gut. Nicht nur hinsichtlich der facebook-Nutzer, die in die Datenschutzrichtlinien dieses social media- Konzerns eingewilligt hatten. Vielmehr sammelt facebook mit Hilfe von Cookies auch die Daten beliebiger Benutzer, die die Seite aufrufen und stellt sie unter anderem den Unternehmen zur Verfügung. Das war dem EuGH natürlich ein Dorn im Auge.

Nachdem die Sache vom EuGH entschieden worden war, ging sie wieder an das BVerwG zurück, das sie dem Gericht in Straßburg vorgelegt hatte. Das BVerwG musste nun darüber entscheiden ging, ob eine Datenschutzbehörde, im konkreten Fall die schleswig-holsteinische Datenaufsicht, anordnen kann, dass der Betreiber des von Facebook unterhaltenen Unternehmensauftritts die Fanseite abschalten muss. Beanstandet wird von der Rechtsprechung nämlich weiterhin, dass die Nutzer der Seiten nicht über Art, Umfang und Zwecke der Erhebung der Daten informiert werden. Außerdem würden sie nicht über ihr Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils zu Werbe- und Marktforschungszwecken unterrichtet.

Die Klägerin, das betroffenen Unternehmen, hat vor diesem Hintergrund argumentiert, dass sich die Datenschutzbehörden doch an facebook wenden sollten. Dagegen hat das BVerwG nun – unter Zurückverweisung an das vorlegende Oberverwaltungsgericht Schleswig – zugunsten der Behörde entschieden. Auch eine Anordnung gegenüber dem Unternehmen kann rechtens sein, wenn die Durchsetzung des europäischen Datenschutzrechts gegenüber facebook zu aufwendig ist.

Miriam Vollmer2019-09-23T20:20:55+02:0023. September 2019|Datenschutz, Digitales, Vertrieb, Wettbewerbsrecht|

Das neue Geheimnisschutzgesetz: Was steht drin, was ist zu tun?

Warum eigentlich ein neues Gesetz zum Schutz vor Geschäftsgeheimnissen (GeschGehG)? Gibt es denn immer noch nicht genug Gesetze? Schließlich sind viele Geschäftsgeheimnisse bereits über das Patent- oder das Urheberrechtsgesetz geschützt. Auch das Gesetz gegen den Unlauteren Wettbewerb (UWG) und die §§ 823 und 826 BGB gewähren einen gewissen Schutz, jedoch geht die Richtlinie 2016/943 vom 15.6.2016) über diesen bereits bestehenden zivilrechtlichen Schutz hinaus, so das der deutsche Gesetzgeber ein neues Gesetz erlassen musste, um technische, aber auch kaufmännische Geheimnisse von Unternehmen besser zu schützen.

Bemerkenswert immerhin: Der Gesetzgeber stellt klar, dass die Entdeckung eines Geschäftsgeheimnisses durch Testen eines Produkts oder Gegenstands, dass jemand beispielsweise gekauft oder auf anderen legalen Wegen erlangt hat, nicht verboten ist. Verboten sind allerdings eine ganze Reihe anderer Verhaltensweisen. Die meisten liegen auf der Hand, wie etwa das unbefugte Kopieren von Dokumenten oder Gegenständen. Eine Generalklausel verbietet alle sonstigen Verhalten, die nicht dem Grundsatz von Treu und Glauben und anständigen Marktgepflogenheiten entsprechen. Diese recht umwenig formulierte Generalklausel dürfte vor Gericht noch zu einigen Interpretationsschlachten einladen.

Geheimnisse, die man so oder auf andere nach dem Gesetz verbotene Weise erworben hat, darf man wieder nutzen noch offenlegen. Verboten ist es auch, das Geschäftsgeheimnis über eine andere Person zu erlangen, also sich etwa an einen Mitarbeiter heranzumachen und ihm die Geheimnisse in einem scheinbar privaten Rahmen zu entlocken. Zum Schutz von Journalisten, Arbeitnehmern und Whistleblowern wurden noch im Gesetzgebungsprozess Ausnahmeregelungen ergänzt, die die Kriminalisierung von Verhaltensweisen verhindert, an denen ein auch grundrechtlich geschütztes öffentliches Interesse besteht. Insbesondere betrifft dies den Quellenschutz bei Journalisten.

Das Gesetz beschränkt sich nicht nur darauf, dass Verbotene zu definieren. Es gewährt dem Verletzten auch Beseitigung-und Unterlassungsansprüche. Der Verletzte kann zudem auch präventiv vor Gericht ziehen. Er kann verlangen, dass der Verletzer das Geheimnis wieder herausgeben muss und alles, was auf dem Geheimnis beispielsweise an Produkten basiert, zurückgerufen bzw. vernichtet werden muss. Diese Rechte werden durch weitgehende Auskunftsverpflichtungen flankiert. Die Unverhältnismäßigkeitsschwelle, die in Extremfällen die Geltendmachung der Rechte der Geheimnisinhaber sperrt, dürfte recht hoch zu veranschlagen sein. Überdies schuldet der Rechtsverletzer Schadensersatz inklusive des durch die Rechtsverletzung erzielten Gewinns und auch immaterieller Schäden.

Das Gesetz bestimmt, dass durchweg die Landgerichte zuständig sind, auch wenn der Streitwert das an sich nicht hergibt. Wichtig ebenfalls: Im Prozess um Ansprüche nach dem Geschäftsgeheimnisgesetz gelten besondere Geheimhaltungsverpflichtungen für alle Prozessbeteiligten, und eine Geheimhaltungsverpflichtung auch nach Abschluss des Verfahrens. Dies bedingt auch eingeschränkte Akteneinsichtsrechte Dritter; einige weitere prozessuale Besonderheiten werden für die gerichtliche Praxis sicherlich interessant. Auch wichtig: die Verletzung von Geschäftsgeheimnissen ist mit bis zu drei Jahren Freiheitsstrafe oder Geldstrafe belegt, in besonders schweren Fällen sogar bis zu fünf Jahren.

Was bedeutet das nun für die Praxis: Klar ist, dass Unternehmen, die Geschäftsgeheimnisse haben, nicht abwarten können, ob und wann jemand diese verrät. Denn das Gesetz ordnet an, dass Geschäftsgeheimnisse nur dann geschützt sind, wenn sie Gegenstand von angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber sind. Unternehmen müssen deswegen in einem ersten Schritt ihre Geheimnisse identifizieren. Sodann müssen sie angemessene Geheimhaltungsmaßnahmen treffen. Unternehmen brauchen also in einem ersten Schritt ein Geheimnisverzeichnis, sodann ein Geheimhaltungskonzept, das das Maß des Angemessenen keinesfalls unterschreitet, und darauf basierende Geheimhaltungsrichtlinien, die bei den mit dem Geheimnis befassten Mitarbeitern entsprechend kommuniziert und regelmäßig aktualisiert werden müssen.

Miriam Vollmer2019-03-25T09:08:28+01:0025. März 2019|Datenschutz, Industrie, Wettbewerbsrecht|

Schreckgespenst Datenschutz: Bußgeldbescheid nach Behördenanfrage

Eine auf den ersten Blick etwas erschreckende Nachricht wabert durch das Internet: Ein kleiner Online-Versandhandel soll sich im Mai 2018 an den hessischen Beauftragten für Datenschutz gewandt haben und um Rat hinsichtlich eines Dienstleisters gebeten haben, der im Auftrag des Unternehmens Kundendaten verarbeitet, aber trotz Nachfragen keinen Vertrag zur Auftragsdatenverarbeitung geschickt hatte. Offenbar hoffte man auf ein klärendes Wort der Behörde. Diese enttäuschte diese Hoffnung jedoch. Nach Ansicht der Datenschutzbehörde musste sich nämlich das anfragende Unternehmen selbst um eine solche Vereinbarung kümmern und einen Entwurf dem Auftragsverarbeiter vorlegen.

Das Unternehmen sah das anders und verlieh dieser Ansicht auch Ausdruck. Ein Anwalt trat auf den Plan und unterstrich im Auftrag des Unternehmens gegenüber der Behörde noch einmal, dass man den Dienstleister in der Pflicht sah. Die Datenschutzbehörde sah das aber immer noch anders und gab die Angelegenheit nach Hamburg ab. Die Datenschutzbehörde in Hamburg erließ daraufhin gegen das Unternehmen, das nachgefragt hatte, einen Bußgeldbescheid über 5000 €.

Was lernen wir nun aus diesem Verfahren? Besser Abstand halten zu den Datenschutzbehörden? Vielleicht hilft eher ein Blick auf die rechtlichen Grundlagen. Die Auftragsverarbeitung ist in Art. 28 DSGVO geregelt. Hiernach muss – die Verordnung beschreibt das recht detailliert – derjenige, der sich als Verantwortlicher eines Dienstleisters bedient, dafür Sorge tragen, dass der einen ordentlichen Datenschutz einhält. Nach Art. 28 Abs. 3 DSGVO ist Grundlage ein zusätzlicher Vertrag, in dem ein recht engmaschig umschriebener Standard verpflichtend vereinbart wird. In Dienstleistungsketten muss eine lückenlose Verpflichtungskette diesen Standard sichern, Art. 28 Abs. 4 DSGVO.

In der Regelung steht nicht, wer den Entwurf dieser Vereinbarung vorzulegen hat. Es entspricht der gängigen Praxis, dass der Auftragsverarbeiter einen Vertrag vorliegt, denn schließlich weiß er am besten, durch welche konkreten Maßnahmen er den rechtskonformen Umgang mit den zu verarbeitenden Daten gewährleisten will. Und was er überhaupt ganz genau mit Daten macht. Juristisch zwingend ist das aber nicht. Entsprechend hat die Behörde nicht ganz unrecht, wenn sie sich darauf beruft, dass dann, wenn dem Auftraggeber schlicht nicht bekannt ist, was der Auftragsverarbeiter mit den Daten macht, und auch keine Vereinbarung vom Verarbeiter vorgelegt wird, auf die Zusammenarbeit verzichtet werden sollte. Denn in einer solchen Lage ist ja kaum vorstellbar, wie die dargestellte Pflicht zum Abschluss des Vertrages überhaupt sachgemäß eingehalten werden soll.

Allerdings: Dies bedeutet nicht, dass nun panisch jedem Dienstleister, der keinen Auftragsverarbeitungsvertrag vorgelegt hat, die Zusammenarbeit aufzukündigen wäre. Nicht alles, was auf den ersten Blick nach Auftragsverarbeitung aussieht, ist auch eine solche. Dies ist im ersten Schritt sorgfältig zu prüfen. Möglicherweise braucht man ja gar keine solche Vereinbarung. Und dies immerhin lehrt dieser Fall: Bevor sich ein Unternehmen aus einer ungeklärten Situation heraus an eine Behörde wendet, sollte sie für sich Klarheit gewonnen haben, ansonsten besteht stets die Gefahr, einen Sachverhalt lückenhaft, ungenau oder gar unrichtig zu kommunizieren, so dass die Behörde sich genötigt sieht, aktiv zu werden. Denn wenn erst einmal Bescheide in der Welt sind, ist es deutlich aufwendiger, gegen diese anzugehen, als von vornherein abgesichert und klar zu kommunizieren.

Miriam Vollmer2019-01-21T23:37:05+01:0021. Januar 2019|Datenschutz|

Zurück 123 Vor

Dr. Miriam Vollmer ist Rechtsanwältin und Fachanwältin für Verwaltungsrecht. Sie vertritt seit 2006 rund um die Themen Klima, Umwelt, Wettbewerb und Energie. Frau Dr. Vollmer ist Lehrbeauftragte der Universität Bielefeld, leidenschaftliche Prozessanwältin, Vortragsrednerin mit breiter Erfahrung von Fortbildungsveranstaltungen bei Unternehmen und Verbänden bis zur re:publica und Verfasserin zahlreicher Publikationen.

Mehr über Frau Dr. Vollmer finden Sie hier.

Dr. Olaf Dilling ist Rechtsanwalt. Er blickt auf eine lange Wissenschaftskarriere zurück. So hat er am Umweltforschungszentrum (UFZ) Leipzig zu Stickstoffemissionen geforscht, hat nach einer Promotion über grenzüberschreitende Produktverantwortung eine Vertretungsprofessur in Oldenburg wahrgenommen, in Georgien und Mazedonien die Regierung beraten, einen Lehrauftrag an der Uni Bremen und eine Station beim Sachverständigenrat für Umweltfragen (SRU) absolviert.
Er hat breite Erfahrungen als Sprecher und Berater, kennt sich vom Umweltrecht bis zu Digitalthemen wie der Wikipedia aus und hat umfangreich publiziert.

Mehr über Herrn Dr. Dilling finden Sie hier.

Dr. Christian Dümke ist seit 2007 als Rechtsanwalt im Energierecht tätig. Sein Schwerpunkt liegt dabei in der Vertragsgestaltung und der zivilgerichtlichen Prozessführung, einschließlich der Durchsetzung wettbewerbsrechtlicher Ansprüche mit energierechtlichem Bezug. Zudem ist Herr Dr. Dümke spezialisiert in dem sich ständig fortentwickelnden Recht der erneuerbaren Energien (EEG/KWK) und der passenden rechtlichen Ausgestaltung von dezentralen Energieversorgungskonzepten in geschlossenen Verteilernetzen und Quartieren. Herr Dr. Dümke berät überwiegend kommunale Energieversorgungsunternehmen, Anlagenbetreiber und Industrieunternehmen aber auch Vertreter der Immobilienwirtschaft.

Mehr über Herrn Dr. Dümke finden Sie hier.

Dirk Buchsteiner ist Rechtsanwalt seit 2019 und seit über zehn Jahren im Umweltrecht aktiv. Er begleitet Unternehmen und die öffentliche Hand vor allem im Immissionsschutz- und Kreislaufwirtschaftsrecht, hat aber auch reiche Erfahrung im Planungs‑, Wasser- und Bergrecht. Buchsteiner führt Infrastrukturprojekte von der ersten Machbarkeitsstudie bis zur Inbetriebnahme und kämpft die Belange seiner Mandanten auch vor den Verwaltungsgerichten zum Erfolg. Dirk Buchsteiner ist auch ein gefragter Referent, der auch regelmäßig Immissionsschutz- und Abfallbeauftragte schult.

Mehr über Herrn Dirk Buchsteiner finden Sie hier.

Die deakti­vierte facebook-Fanpage

Das neue Geheim­nis­schutz­gesetz: Was steht drin, was ist zu tun?

Schreck­ge­spenst Daten­schutz: Bußgeld­be­scheid nach Behördenanfrage

Die deaktivierte facebook-Fanpage

Das neue Geheimnisschutzgesetz: Was steht drin, was ist zu tun?

Schreckgespenst Datenschutz: Bußgeldbescheid nach Behördenanfrage