Entwicklungen und Neuheiten zum Thema DSGVO Grundbegriffe Mögliche Verstöße Folgen von Verstößen Bußgeld Abmahnung Schadensersatz Auskunftsgesuch – und jetzt

Grundbegriffe Art. 4 Nr. 1 „personenbezogene Daten“ „..alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen..“ z.B. Namen, Anschriften, Kontodaten von Kunden, Mitarbeitern Bestellhistorien oder auch schon eine Email-Adresse auch „Kennung“ reicht für Personenbezug Autokennzeichen, Steuernummer, Cookie oder IP-Adresse genügt

Grundbegriffe Art. 4 Nr. 2 „Verarbeitung“ jeder „..mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten..“ Also: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder die Verknüpfung, die Einschränkung, Löschen oder Vernichtung Neu: auch Erhebung und Nutzung von Daten erfasst

Grundbegriffe Weitere Definitionen In Art. 4 DSGVO weitere Definitionen, insbesondere für spezielle Verarbeitungsvorgänge(„Profiling, Pseudonymisierung“) sowie bestimmte Personen(„Verantwortlicher, Auftragsverarbeiter, Empfänger etc.“, s.u.)

Mögliche Verstöße I. Unterlassene Aufklärung, Art. 12 DSGVO „Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.“

Mögliche Verstöße Das heißt insbesondere: Information gemäß Art. 13 und 6 DSGVO Informationen in Art. 13 Name/Kontaktdaten des Verantwortlichen Ggf. Name und Kontakt des Datenschutzbeauftragten Zweck der Verarbeitung Ggf. (Dritt-)Empfänger Speicherdauer Empfänger Rechtfertigung Art 6 DSGVO

Mögliche Verstöße „die betroffene Person hat ihre Einwilligung zu der Verarbeitung…. für einen oder mehrere bestimmte Zwecke gegeben“ „die Verarbeitung ist für die Erfüllung eines Vertrags…..erforderlich…“ „…zur Erfüllung einer rechtlichen Verpflichtung erforderlich…“

Mögliche Verstöße „…erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen…“ „…für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt …“ „…zur Wahrung der berechtigten Interessen…erforderlich, sofern nicht die Interessen…der betroffenen Person,….überwiegen…“

Mögliche Verstöße II. Datenlecks Grundlage Art. 32 DSGVO „(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: die Pseudonymisierung und Verschlüsselung personenbezogener Daten; die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Mögliche Verstöße Aktuelle Diskussion: Notwendigkeit SSL-Verschlüsselung Kontaktformular „Das SSL-Protokoll sichert die Übertragung zwischen einer Domain auf einem Webserver und dem Besucher dieser Domain. Der On-Line-Kunde (Besucher) kann sich ziemlich sicher sein, daß seine Kreditkartennummer auf dem Weg von seinem Rechner zum Server des Shop-Betreiber gegen Ausforschung geschützt ist. Was dann mit den gesichert übertragenen Daten weiter passiert, ist jenseits dessen, was durch das SSL-Protokoll geregelt ist. Für den Kunden, der im Vertrauen auf die SSL-Sicherung seine Kontoinformationen kundgibt, ist nicht erkennbar, wie der Shop-Betreiber diese Informationen weiterverarbeitet. Es sind Fälle bekannt geworden, bei denen der Datenverarbeiter die gesichert übertagenen Daten anschließend ungesichert auf dem Server gespeichert hat. Nach einem erfolgreichen Hacker-Angriff waren die sensiblen Daten plötzlich in falschen Händen. Wir lernen daraus: SSL-Schützt nicht vor Schlamperei und Leichtsinn.“ Quelle: https://ssl.de/ssl.html

Mögliche Verstöße SSL dürfte Stand der Technik sein Fraglich ist, wie ein Schmerzensgeld zu beurteilen ist, nur weil es nicht genutzt wird (Vorher sichtbar, nur IP bislang übertragen) „Backoffice“ nicht einsehbar, somit Verstoß auch später möglich

Mögliche Verstöße III. Falsche/Keine Reaktion auf Geltendmachung von Rechten Betroffener Auskunftsrecht, Art. 15 Jederzeit Auskunft über „ob“ der Verarbeitung Zweck, Art der Daten, Empfänger, Speicherdauer, Bestehen von Löschungs- und Beschwerderechten Recht auf Berichtigung, Art. 16 Recht auf Löschung, Art. 17 Recht auf Einschränkung der Verarbeitung, Art. 18

Mögliche Verstöße Unverzüglich, spätestens innerhalb eines Monats reagieren (Frist kann unter Angabe von Gründen um 2 Monate verlängert werden) Wenn Identität des Betroffenen unklar, kann Ausweiskopie oder anderer Nachweis angefordert werden Auskunft muss unentgeltlich erfolgen Kein Weigerungsrecht des Verantwortlichen Wenn Antrag abgelehnt wird, muss Ablehnung mit Rechtsbehelfsbelehrung versehen werden

Folgen von Verstößen Abmahnung Bußgeld Schadensersatz

Dürfen Datenschutzverstöße abgemahnt werden? LG Würzburg: stattgegeben, aber: Sperrwirkung DSGVO/UWG? LG Wiesbaden u. LG Bochum: abgewiesen wegen abschließender Regelung in der DSGVO OLG Hamburg: abgewiesen Eigene Ansicht: Regelungen abschließend in DSGVO geregelt. Im vergleich zur vorigen Richtlinie gerade keine Umsetzung in nationales Recht notwendig, da Verordnung unmittelbar gilt. Es fehlt zur Anwendung des UWG nach einer entsprechenden Öffnungsklausel

Erstes Bußgeld Online-Plattform Knuddels 20.000 EUR wegen veröffentlichter Nutzerdaten Warum so niedrig? Meldeplicht nachgekommen und mit Behörden kooperiert Bislang 41 Bußgeldbescheide (Stand 15.01.2019) Höchstes Bußgeld (Stand 15.01.2019) in Deutschland wurde verhängt von der Landesdatenschutzbeauftragten Baden-Württemberg iHv. 80.000 EUR (Gesundheitsdaten einsehbar), Stand 15.01.2019

Bußgeldhöhe Gibt es eine Bagatellgrenze? Bagatellgrenze in Art. 82 DSGVO? EG 146 „Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Begriff des Schadens weit auszulegen AG Diez (Urteil vom 07.11.2018, Az.: 8 C 130/18): es muss ein spürbarer Nachteil entstehen, der objektiv nachvollziehbar ist, hier 50,00 EUR Schmerzensgeld für Newsletter ohne Einwilligung angemessen

Schadensersatz Art. 82 DSGVO „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Schadensersatz Materieller Schaden Immaterieller Schaden Weite Auslegung gemäß Erwägungsgrund 146 Kosten Rechtsverfolgung Recherche ggf. Immaterieller Schaden Schmerzensgeld, erwägungsgründe 75 und 85 DSGVO (Effektivitätsgrundsatz des EuGH) Orientiert an Ausgleichs- und Genugtuungsfunktion des Schmerzensgeldes Bsp. Weitergabe von Gesundheitsdaten Der Höhe nach unbegrenzt

Schadensersatz Kausalität - Verstoß muss kausal für den Schaden sein - in Diskussion: Rückgriff auf Rechtsprechung des EuGH zum Kartellschadenersatz ( jeder „ursächliche Zusammenhang“, gerade kein „unmittelbarer Zusammenhang“)

Schadensersatz Beweislastverteilung/Verschulden Grds. Nach dt. Recht: Anspruchstellerträgt Beweislast, aber: Art. % II DSGVO: Rechenschaftsprinzip Verschulden: es obliegt dem Verantwortlichen, sich zu entlasten, Art. 82 III DSGVO

Kurioses Klingelschilder Wunschzettelbaum in Roth Glühbirnen von Yeelight: per App an- und ausschaltbar, jedoch nicht mehr in Europa Sperre amerikanischer Nachrichtenseiten; Washington Post bietet EU-Abo an

Ausblick Nachholbedarf im Bereich Privacy by Default/Design? -> Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications (e-Privacy-Verordnung) September 2018: Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die VO (EU) 2016/679 und zur Umsetzung der RL 68/2016/EU (2. DSAnpUG-EU) durch Bundesregierung beschlossen, aber: kein neuer Erfüllungsaufwand für Wirtschaft Geplant: neues Gesetz zur IT-Sicherheit

Auskunftsgesuch – und jetzt? Bin ich überhaupt verpflichtet, Auskunft zu geben? Muss ich die Anfrage weiterleiten? Greift ein Ausschluss? Ist der Antragssteller autentifiziert und legitimiert? Ggf. Nachfordern Welche Daten verarbeite ich über den Antragssteller? (Positivauskunft/Negativauskunft) Was muss ich ihm diesbezüglich mitteilen? Personenbezogene Daten + Art. 15 DSGVO In welcher Form? Schriftlich/elektronisch (wenn Anfrage elektronisch, sonst postalisch), wenn mündlich verlangt wird, mündlich (wobei hier sicherzustellen ist, dass auch der “Richtigte” am Telefon ist Wann? Unverzüglich, spätestens nach 4 Wochen

Auskunftsgesuch – und jetzt? Beispiel Negativauskunft Adresse Sehr geehrte/r Frau/Herr/x, Ihre Anfrage vom 14.03.2019 haben wir erhalten. Auf Ihr Auskunftsersuchen teilen wir Ihnen mit, dass wir keine Sie betreffenden personenbezogenen Daten speichern (Unterschrift/Name)

Auskunftsgesuch – und jetzt? Beispiel Positivauskunft Adresse Sehr geehrte/r Frau/Mann/x, Auf Ihr Auskunftsgesuch vom 14.03.2019 teilen wir Folgendes mit: Persönliche Daten Zu Ihren persönlichen Daten haben wir Adresse/Email-Adresse/IP-Adresse/Geburtsdatum etc. gespeichert

Auskunftsgesuch – und jetzt? 2. Zweck der Speicherung ist … (Vertrag/Vertragsanbahnung etc.) 3. Verarbeitung: wir verarbeiten folgende Daten … 4. Wir geben folgende Daten weiter ….die Weitergabe erfolgt an … (Transportunternehmen/Logistik/etc.) 5. Weiterleitung der Daten an Drittländer 6. Herkunft der Daten: die Daten stammen aus… (meist Übermittlung durch Betroffenen selbst) 7. Betroffenenrechte 8. Beschwerderecht Aufsichtsbehörde

18:15 – 19:00 Uhr Rechtssicherheit bei Social-Media-Auftritten RA Matthias Rosa Fachanwalt für IT-Recht RESMEDIA Mainz – Anwälte für IT-IP-Medien Rheinhessensaal, 3. OG Update Arbeitsrecht RAin Kathrin Kapischke Fachanwältin für Arbeits- und Sozialrecht Kanzlei Rudolf & Vossberg Partnerschaft mbB Raum 5/6, 1. OG