Nun sind seit dem 25. Mai 2018 also dem Inkrafttreten (oder besser der Anwendbarkeit) der DSGVO knapp 150 Tage verstrichen. In diesem immer aktuell gehaltenen Beitrag berichten wir täglich über Fragen und Diskussionen zum Thema Datenschutz und DSGVO. Wenn Sie sich also up-to-date halten wollen, schauen Sie  regelmäßig in diesen Beitrag.

Massenklagen nach DSGVO

Aktuell ist die fünfseitige Untersuchung der Kollegen von DLA Piper, die hier abgerufen werden kann, in aller Munde. Während die Untersuchung aufmerksamen Beobachtern nicht wirklich viel neues präsentiert, bin ich über eine Passage am Schluss doch gestolpert, dort heißt es auf Seite 4 nach den möglichen Sanktionen durch die Behörden:

There is also an increased risk of “follow-on”
compensation claims, including group litigation which
follow a regulatory finding of liability. Litigation funders have
billions of Euros available to fund claims and – where local
civil procedure rules permit – are becoming increasingly
active pursuing group litigation claims for large groups
of affected individuals on the basis of alleged breaches of
GDPR and data protection laws. Recent UK group litigation
claims based on data protection law infringements would be
very familiar to US class action lawyers.

Sinngemäß wird darauf hingewiesen, dass nach möglichen Datenschutzverletzungen Sammelklagen drohen könnten. Das ist auch in Deutschland nicht mehr auszuschließen. Ob nun eine Musterfeststellungsklage wie gegen VW oder ob neue Abtretungsmodelle (wie Myright) oder sonstige LegalTech Modelle - sobald Betroffene von Gerichten bei Datenschutzverstößen Entschädigungen (Schmerzensgeld) in nennenswerter Höhe zusprechen - ist mit Aufruhr zu rechnen.

Wie wahrscheinlich sind hohe Schmerzensgelder für Betroffene wegen DSGVO Verstößen?

Ich erhalte in der Woche drei bis vier Anfragen von Betroffenen, ob sich dieser oder jener Datenschutzverstoß wirtschaftlich auswerten lasse - "kann ich da Geld bekommen?" In den meisten Fällen rate ich zumindest von einer Klage ab, weil ich (im Moment noch) keine Bereitschaft sehe, dass Gerichte Schmerzensgeld zusprechen werden. Nur in Ausnahmefällen übernehme ich das Mandat und klage dann auch. Wir führen aktuell ein Verfahren in der zweiten Instanz, in dem es um einen erheblichen Datenschutzverstoß geht und begehren in diesem  auch Schmerzensgeld. Die erste Instanz war eher zurückhaltend. So wie mir geht es vielen Kollegen, es dauert einfach bis genug Entscheidungen zu dieser Frage vorliegen. ich rechne damit, dass wir erst in den nächsten ein bis zwei Jahren von diversen Obergerichten Antworten bekommen. 

Tinder und der Datenschutz

Die ZEIT ONLINE berichtet über den Verdacht, dass u.a. Tinder Nutzerdaten gewerblich ausgewertet haben soll. Das würde mich jedenfalls wenig überraschen. Schließlich haben diese Unternehmen zumindest bis vor der DSGVO von einer umfassenden Auswertung der von Nutzern zur Verfügung gestellten Daten gelebt.

Was mich aber tatsächlich überrascht hat, ist dass zumindest nach Gesprächen mit zwei Betroffenen, Tinder auch die Kooperationsbereitschaft hinsichtlich der Auskünfte über die von Betroffenen gespeicherten Daten zumindest nur zögerlich zu beantworten bereit ist. Ich konnte das nicht verifizieren, weil beide Betroffene sich letztlich gegen eine Beauftragung entschieden haben, um ihrer Betroffenenrechte durchzusetzen - mutmaßlich weil sie die Kosten einer anwaltlichen Vertretung abschreckte. 

Wer um kostenlose Dienstleistung zu nutzen zunächst seine Daten "verkauft", der darf sich nicht wundern, wenn er auch für die Prüfung und Durchsetzung seiner Rechte, nichts ausgeben will, keinen Datenschutz erhält. Ich habe den Betroffenen aber auch den Tip gegeben sich an den jeweiligen Datenschutzbeauftragten zu wenden. Aber ob und wie lange die Bearbeitung da dauert, weiß ich freilich nicht.

 

EU-Komission ohne Kenntnis über Höhe der Bußgelder: Echtes Problem?

Der Spiegel berichtet darüber, dass die EU-Kommission keine Kenntnis über die Höhe der verhängten Bußgelder habe; sowie über die Kritik daran, als es schwer sei die Effekte der DSGVO ohne diesen Faktor zu bewerten. 

Das halte ich tatsächlich nicht für zutreffend: 

Sicherlich müssen für eine umfassende Begutachtung auch alle Bußgelder einbezogen werden, die konkret verhängt werden. Ich propagiere aber schon länger die DSGVO endlich von der Last der Bußgelder zu befreien. Die Bußgelder sind nötig, um Unternehmen zu disziplinieren, welche beratungsresistent oder uneinsichtig sind. Die ständige Verknüpfung der DSGVO mit Bußgeldern in jeder Diskussion schadet nicht nur dem Ansehen der DSGVO sondern erschwert  sogar deren praktische Umsetzung: Die Bearbeitung von Betroffenen Anfragen- um ein Beispiel zu nennen - ist für viele Unternehmen ein Spießrutenlauf, weil immer die Sorge mit läuft eine Anfrage nicht ordentlich genug bearbeitet zu haben. Im Zweifel wird auch zu schnell gelöscht, obwohl die Identifikation des Betroffenen noch gar nicht sicher erfolgt ist, aber die Sorge vor einer Beschwerde des Betroffenen schürt das Tempo.

Je mehr wir die DSGVO von dem Schwert der Sanktionen trennen, desto eher werden auch die guten Seiten der DSGVO, als neuer Gold-Standard für den Umgang mit personenbezogenen Daten, offenbar.

Piraten wettern gegen WhatsApp: Wer meldet den Müll?

Die Piratenpartei Deutschland hat eine Presseerklärung herausgegeben, in welcher die Nutzung von WhatsApp durch die Gemeinde Wadgassen zur Kommunikation mit der Bevölkerung gerügt wird. Im Detail geht es darum, dass Bürger über WhatsApp Missstände wie Falschparken und illegale Müllablagen die Gemeinde informieren können. Immerhin 1000 Mal haben sich Bürger bemüssigt gefühlt, genau das zu tun. 

Klar ist, dass WhatsApp als zu Facebook gehörendes Unternehmen sehr kritisch anzusehen ist, wenn es um den Datenschutz geht. Die Kritik an der Gemeinde ist insoweit nicht von der Hand zu weisen, andererseits ist die Vorgehensweise zumindest effektiv. Jeder hat WhatsApp ein eigener Mängelmelder wie von der Piratenpartei gefordert würde immense Mittel verschlingen und letztlich so bedienunfreundlich sein, dass er nicht genutzt würde.

ich persönlich halte die Nutzung zumindest solange keine Personen und Kennzeichen fotografiert werden sondern Schlaglöcher und illegale Müllablagen für einen vertretbaren Kompromiss, wenn auch die besseren Gründe dafür sprechen, dass die Verwaltung generell auf die Nutzung von WhatsApp verzichten sollte oder gar müsste. Dann müssen Missstände eben wieder durch das Ordnungsamt aufgedeckt werden. Ich kann damit auch gut leben,

Gesundheitsdaten und die Cloud: Achtung vor den Kraken

Es gibt wohl kein Unternehmen, welches sich nicht mit der "Cloud" beschäftigen muss. Microsoft Office 365 kennen Endverbraucher und auch kleine mittelständische Unternehmen stehen aktuell vor dem Problem, ob sie einen neuen Server anschaffen oder auf die Software aus dem Hause Microsoft zurückgreifen, die eben Daten auch auf Servern von Microsoft vorhält. "Hoffentlich" bleiben die Daten auf Servern in Europa, aber kontrollieren kann das wohl niemand. Das Gleiche gilt für die Amazon Webservice (besser bekannt als AWS), viele mittelständische Unternehmen greifen auf deren Services zurück. Versprochen wird, dass die Daten in Servern in Europa gehostet werden, aber wer kann das wirklich prüfen? Natürlich bietet auch "google" entsprechende Dienstleistungen an, und auch hier - wirklich sicher ist man nicht.

Nicht zu beneiden sind Ärzte, Krankenkassen oder Abrechnungsstellen, die nun alle auch auf Dienstleistungen unserer global Player zurückgreifen (müssen), in Amerika werden die Kraken-Arme schon weit ausgestreckt und zwar gerade bei Gesundheitsdaten. Es steht zu befürchten, dass wenn entsprechende Bedürfnisse der Daten-Kraken geweckt werden, diese sich auch Möglichkeiten genauer ansehen werden, um auf europäische Gesundheitsdaten zuzugreifen. 

 

Microsoft wertete Gespräche in China aus - Hätten Sie das gedacht?

Microsoft wertete Skype Gespräche und Anfragen an Cortana zur besseren Spracherkennung in China aus. Mit datenschutzrechtlichen Anforderungen belastete sich Microsoft bzw. deren Dienstleister in China dabei nicht wie DERSTANDARD berichtet.

Natürlich ist die erste Reaktion nun von Kritikern des Datenschutzes ein lautes "Siehste, das war doch klar". Zugegeben es ist jetzt nicht wirklich überraschend, sollte aber nun nicht dazu führen, dass wir als Europäer nun den Datenschutz in Frage stellen. Nach dem Motto: Wir trennen den Müll und dann wird es doch auf der Müllkippe wieder alles in einen Topf geworfen und verbrannt. Das wäre zu kurz gesprungen. Datenschutz wird eine Herkules-Aufgabe.

Nach meiner Meinung ist die Verteidigung von Microsoft, ihre Verfehlungen seien abgestellt, eher Schutzbehauptungen. Fakt ist, dass niemand das wirklich überprüfen kann. Daten sind ein erhebliches Wirtschaftsgut und von vielen großen Unternehmen - wenn auch nicht zwingend von Microsoft - die Geschäftsgrundlage. Solange es Unternehmen wie Facebook und Google gibt, werden Daten im großen Stil kommerziell ausgewertet und um diese Unternehmen bildet sich eine Industrie.

Der Staat kann hier unterstützen, aber letztlich muss der Verbraucher bereit sein, auf per se hilfreiche Dienste wie "Skype" und "Cortana" zu verzichten, wenn er seine Datenhoheit zurückgewinnen wird, bis dahin ist nach dem Datenskandal vor dem Datenskandal. 

 

Datenschutzbeauftragter ab 20 Personen: O Captain! My Captain!

Der Gesetzgeber hatte im letzten Jahr kleine und mittelständische Unternehmen entlastet. Unternehmen, die nicht im Sinne des Art. 37 Abs. 1 lit b) und c) DSGVO entweder als Kerntätigkeit schwerpunktmäßig personenbezogene Daten umfangreich verarbeiten oder umfangreich besondere Kategorien von Daten verarbeiten, müssen nur noch dann einen Datenschutzbeauftragten benennen, wenn in der Regel mindestens 20 Personen (zuvor waren es 10) Personen mit personenbezogenen Daten arbeiten. Das steht in § 38 BDSG. Es gibt zwar noch eine weitere Unterausnahme, aber davon sind wohl vergleichsweise wenige Unternehmen betroffen. 

Kritik an der neuen Regelung von allen Seiten

Viele Berater kritisieren die Gesetzesänderung, weil sie ja nicht die Pflicht zur Achtung der DSGVO mindert, sondern einfach nur, dass eine Person sich dieser Aufgabe  dezidiert  widmet.  Ich sehe dass gelassener, wenn die grundsätzlichen Hausaufgaben gemacht wurden. Ene kurze Checkliste wäre wie folgt: Wenn das Unternehmen eine aktuelle Datenschutzerklärung sowie ein Verarbeitungsverzeichnis samt TOMs hat und im Unternehmen bereits ein grundsätzliches Verständnis für den Datenschutz entwickelt wurde, sollte man den Unternehmen mal ein wenig Ruhe gönnen. Gefährlich ist es nur, wenn die Unternehmen sich bisher um nichts gekümmert haben und nun denkt, dass bisschen Datenschutz erledigt sich von selbst. Nur weil niemand den Ausguck besetzt, verhindert das keinen Sturm. 

Wenn dieser Sturm kommt, wird es sehr teuer und zwar für den Kapitän. Bei Vereinen kann der Vorstand und bei Unternehmen die Geschäftsführung für Versäumnisse im Datenschutz in die persönliche  Haftung genommen werden. 

Bonpflicht im Zeiten des Datenschutzes

Viele Mitbürger sind schon mit der "Bonpflicht" in  Kontakt gekommen. Diese stellt aber gerade Apotheken vor einige weitere Schwierigkeiten, wenn auf dem Bon Name des Kunden und/oder gar das verschriebene Medikament vermerkt sind. Diei dann gegebenenfalls von den Kunden zurückgelassenen Bons müssen angemessen vernichtet werden und können nicht einfach in den Müll geworfen werden. In diesem Fall geht also der Umweltschutz leer aus.

 

 

lukrativer Datenschutz für unseriöse Anbieter?

Das Handelsblatt berichtet über das lukrative Geschäftsmodell Datenschutz von Anwälten und unseriösen Beratern. Danach würden Unternehmen erhebliche Summen aufbringen, um sich datenschutzrechtlich beraten zu lassen, es gebe aber eine Vielzahl schwarzer Schafe, die ohne hinreichende Expertise und ohne echten Mehrwert für das Unternehmen mitverdienen. Das ist in der Sache wenig überraschend, schwarze Schafe gibt es bekanntlich immer. Wenn im Beitrag dann noch mitgeteilt wird, dass viele Berater mit Halbwissen glänzen und dutzende oder gar hunderte Unternehmen beraten ohne sich wirklich vom Unternehmen ein Bild gemacht zu haben, ist das sicherlich zu bedauern. Das liegt aber nicht allein an den schwarzen Schafen. 

Viele Unternehmen können/wollen sich eine umfassende Beratung im Datenschutz gar nicht leisten. Sie sind froh von erfahrenen Vertrieblern geködert zu werden, um das Thema irgendwie abzuhaken und nicht mehr ständig wegen der Furcht vor drohenden hohen Bußgeldern von der Arbeit abgehalten zu werden.

Das Thema Datenschutz wurde und wird mit dem Schwert der drohenden Bußgelder in die Unternehmen getragen. Die Aufsichtsbehörden werden - zu Unrecht - als Drohgespenst wahrgenommen, welches nur - für die meisten Unternehmen ruinös - sanktionieren will. Die Aufsichtsbehörden haben aber keine hinreichende Ausstattung, um die spärliche Zeit  auch erzieherisch etwa mit datenschutzrechtlichen Anordnungen zu nutzen. 

In einem solchen Klima kann das Unkraut schlechter Beratung einfach besser gedeihen. 

 

"Datenschutz" vor Suchmaschinen

Das neue Jahr hat begonnen und die FAZ hat einen schönen Artikel über das Spannungsfeld zwischen Meinungsfreiheit und dem Recht auf Vergessen veröffentlicht, der hier nachgelesen werden kann.

In unserer täglichen Arbeitspraxis ist tatsächlich eine große Frage wie wird das Persönlichkeitsrecht eines einzelnen nicht unendlich für Verfehlungen identifiziert zu werden in Einklang gebracht mit der Möglichkeit alles und jeden über Suchmaschinen zu finden bzw. dem Interesse von Presseverlagen über Suchmaschinen umfassend gefunden zu werden. Insbesondere als auch die Archive von Online Auftritten über Google durchsucht werden können, gibt es faktisch kein Vergessen. Das Bundesverfassungsgericht hat nun im Beschluss zum AZ 1 BvR 16/13 vom 6. November 2019 - "Recht auf Vergessen I" sich  dahingehend geäußert, dass  Online Pressearchive zu Schutzvorkehrungen gegen die zeitlich unbegrenzte Verbreitung personenbezogenen Berichte durch  Suchmaschinen verpflichtet sein können.

 

Rufen Sie uns an!

040 411 881 570(Mo-Fr 8 - 19.30 Uhr & Sa 10 - 16 Uhr)
  • kostenlose Ersteinschätzung
  • kein Callcenter - Fachanwalt persönlich
  • bundesweit
Lassen Sie sich bequem zurückrufen
Bewertung: 5 Sterne von 3 Abstimmungen.