Ihre Referenten Stefan Sander, LL.M. (Informationsrecht), B.Sc. Rechtsanwalt, Fachanwalt für IT-Recht Software-Systemingenieur Heiko Schöning, LL.M. (Informationsrecht) Rechtsanwalt
Agenda Datenschutz Pflichten nach aktueller Gesetzeslage Haftung Strafrechtliche Aspekte Praxisbeispiel: Betrieb einer Internetseite (3)
Datenschutz Was meint eigentlich der Begriff (4)
Datenschutz keine einheitliche Definition, aber: Schutz des Rechts auf informationelle Selbstbestimmung (BVerfGE 65, 1 Volkszählungsurteil ) Schutz des Persönlichkeitsrechts bei der Datenverarbeitung Schutz der Privatsphäre Schutz vor missbräuchlicher Datenverarbeitung (5)
personenbezogene Daten als Anknüpfungspunkt 3 Abs. 1 BDSG: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) geschützt werden Menschen egal, wie sensibel die Daten sind (6)
Gesetze (nicht abschließende Aufzählung) Allgemeine Datenschutznormen Bundesdatenschutzgesetz (BDSG) Datenschutzgesetze der Länder Bereichsspezifische Datenschutzregelungen Telemediengesetz (TMG), 11 ff. Telekommunikationsgesetz (TKG), 91 ff. SGB I ( 35 Sozialgeheimnis ) i.v.m. SGB X ( 67 85a) (7)
Haftung Keine umfassende Regelung im BDSG trotz spezialgesetzlicher Gestaltung 7: Schadensersatzanspruch bei jedem Verstoß gegen eine Datenschutzvorschrift; aber kein Ersatz für immaterielle Schäden (Schmerzensgeld), vgl. 253 Abs. 1 BGB Keine Grundlagen für Unterlassungsansprüche Deliktische Ansprüche ( 823, 824, 826 BGB) Anders als bei 7 BDSG ist nicht immer eine rechtswidrige Datenverwendung erforderlich. 823 Abs. 2 BGB i.v.m. BDSG o dient die jeweilige Norm dem Schutz von Individualinteressen? 32 BDSG - Beschäftigtendatenschutz (+) 9a BDSG Datenschutzaudit (-) 823 Abs. 2 BGB i.v.m. Art. 2 Abs. 1 i.v.m. Art. 1 Abs. 1 GG 44 TKG i.v.m. TKG (z.b. 88 Abs. 3 Fernmeldegeheimnis ); Begrenzung in 44a TKG (8)
Haftung Vertragliche und quasi-vertragliche Ansprüche Vorvertragliche Ansprüche o Daten von Bankkunden für Kreditentscheidungen o Bewerberdaten o 280 Abs. 1 ivm 311 Abs. 2, 241 Abs. 2 BGB ivm der verletzten Datenschutznorm Vertragliche Ansprüche o Verletzung von Neben- und Schutzpflichten aufgrund Datenschutzverstoß o 280 Abs. 1 ivm 241 Abs. 2 BGB Nachvertragliche Ansprüche o Nachvertragliche Schutzpflichten o 280 Abs. 1 ivm 241 Abs. 2, 242 BGB (9)
Strafrechtliche Implikationen am Beispiel des BDSG Ordnungswidrigkeiten 43 Abs. 1 Nr. 1 bis 11 o z.b. wer trotz Verpflichtung keinen DSB nicht, nicht richtig oder nicht rechtzeitig bestellt, 43 Abs. 1 Nr. 2 o Es drohen Bußgelder bis 50.000, 43 Abs. 3 S. 1 Var. 1 43 Abs. 2 Nr. 1 bis 7 o z.b. wer entgegen 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig macht, 43 Abs. 2 Nr. 5b o Es drohen Bußgelder bis 300.000, 43 Abs. 3 S. 1 Var. 2 Darüber hinaus ist Gewinnabschöpfung möglich, 43 Abs. 3 S. 2, 3 (10)
Strafrechtliche Implikationen am Beispiel des BDSG Straftaten, 44 Abs. 1: Wer eine in 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Abs. 2: Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Aufsichtsbehörde. Weitere Straftatbestände in Spezialgesetzen und dem StGB (11)
Praxisbeispiel: Betrieb einer Internetseite Rechtsrahmen (12)
Cybersecurity und der Betrieb einer Internetseite Bundesdatenschutzgesetz (BDSG) 9 12 ff, bzw. 27 ff technische und organisatorische Maßnahmen Zulässigkeit des Umgangs mit pbd Telemediengesetz (TMG) 13 Abs. 7 (n.f.) 13 Abs. 1 technische und organisatorische Vorkehrungen Informationspflichten (13)
Praxisbeispiel: Betrieb einer Internetseite Allgemeine Geschäftsbedingungen und Einwilligungserklärungen (14)
Häufig anzutreffende Texte auf Internetseiten Allgemeine Geschäftsbedingungen Nutzungsbedingungen Impressum / Disclaimer Datenschutzerklärung (15)
Allgemeine Geschäftsbedingungen und datenschutzrechtliche Einwilligungen 4a Abs. 1 BDSG Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist ( 13 Abs. 2 TMG). Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. (16)
Allgemeine Geschäftsbedingungen und datenschutzrechtliche Einwilligungen 13 Abs. 2 TMG Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass 1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, 2. die Einwilligung protokolliert wird, 3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und 4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. (17)
Praxisbeispiel: Betrieb einer Internetseite Rechtsprechung zu üblichen Gestaltungen (18)
Internationale Anwendbarkeit des deutschen Datenschutzrechts 1 Abs. 5 S. 1, 2 BDSG Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. OVG Schleswig, Beschl. v. 22.4.2013 4 MB 10/13, 11/13 (Facebook./. ULD) (19)
Ich habe die Datenschutzerklärung gelesen und bin einverstanden. Vertrag? AGB im Sinne der 305 ff BGB? LG Berlin, Urt. v. 30.4.2013 15 O 92/12 (vzbv./. Apple) Informationspflicht bzgl. Maßnahmen der Datensicherheit? (20)
Datenschutzrechtliche Einwilligungen im Kleingedruckten LG Berlin, Urt. v. 6.3.2012 16 O 551/10 (vzbv./. Facebook: hier FriendFinder ) LG Berlin vom 19.11.2013-15 O 402/12 (vzbv./. Google) LG Berlin, Urt. v. 28.10.2014 16 O 60/13 (vzbv./. Facebook: hier AppCenter ) Gesetzesentwurf BT-Drs. 18/4631 Geplante Änderung des UKlaG zur Durchsetzung des Datenschutzes (21)
Praxisbeispiel: Betrieb einer Internetseite Auskunftsverpflichtungen (22)
Auskünfte über Bestandsdaten (von Telemedien) 14 Abs. 2 TMG (in Kraft seit dem 1.3.2007) Auf Anordnung der zuständigen Stellen darf der Diensteanbieter im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies erforderlich ist o für Zwecke der Strafverfolgung, o zur Gefahrenabwehr durch die Polizeibehörden der Länder, o zur Aufgabenerfüllung des Verfassungsschutzes, des BND, des MAD oder des BKA oder o zur Durchsetzung der Rechte am geistigen Eigentum. BGH, Urt. v. 1.7.2014 VI ZR 345/13 (23)
Vielen Dank für Ihre Aufmerksamkeit Fragen? Anmerkungen? Diskussion! Stefan Sander, LL.M., B.Sc. Rechtsanwalt Fachanwalt für IT-Recht Software-Systemingenieur 0203 / 39 20 89 00 sander@sds.ruhr Heiko Schöning, LL.M. Rechtsanwalt 0203 / 39 20 89 00 schoening@sds.ruhr Harmoniestraße 2a, 47119 Duisburg https://www.sds.ruhr