Schwerwiegender Datenschutzverstoß: 35,3 Mio. Euro Bußgeld gegen H&M

Aufgrund massiver Datenschutzverstöße gegenüber den eigenen Mitarbeitern durch die H&M Hennes & Mauritz Online Shop A.B. & Co. KG, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein Bußgeld von über EUR 35.000.000.00 erlassen. Das Unternehmen sammelte über Jahre Informationen zu den privaten Lebensumständen von über hundert Angestellten. In sogenannten „Welcome-Back-Talks“, sowie in Einzel- und Flurgesprächen wurden unter anderem Informationen zu Krankheitssymptomen und Diagnosen der Mitarbeiter erlangt und teilweise aufgezeichnet.

Ein Gastbeitrag unseres studentischen Mitarbeiters Benjamin Diez.

Continue reading

AG Schwetzingen: Anwaltskosten für DGSVO-Auskunft auch ohne Verzug zu erstatten

Im Zuge eines Verfahrens wegen der unerlaubten Zusendung von Werbemails hat das Amtsgericht Schwetzingen der Klägerin den Ersatz von Rechtsanwaltskosten für die Geltendmachung des datenschutzrechtlichen Auskunftsersuchens nach Artikel 15 DSGVO zugesprochen (Urteil vom 19.08.2019, Az 4C 44/19). Ein derartiger Kostenersatz wird im Allgemeinen nur bei Verzug oder aufgrund einer Rechtsverletzung gewährt.

Continue reading

EuGH kippt Privacy Shield

Am 16. Juli 2020 hat das höchste europäische Gericht in der Rechtssache Maximilian Schrems gegen Facebook und die irische Datenschutzbehörde (C-311/18) sein Urteil gesprochen. Das dem Rechtsstreit zugrunde liegende US-EU-Datenschutzabkommen wurde für unwirksam erklärt und die Anforderungen an Unternehmen, die sich der Standarddatenschutzklauseln (SCC) bedienen, wurden verschärft.

Continue reading

Pflicht zur Benennung eines Datenschutzbeauftragten

Im November 2019 wurden die deutschen Datenschutzregelungen an die Vorgaben der europäischen Datenschutzgrundverordnung (DS-GVO) angepasst. Eine der wichtigsten Änderungen betraf das Bundesdatenschutzgesetz (BDSG): Erst ab 20 Mitarbeitern, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Continue reading

WhatsApp & Co.: Verwendung von Messengerdiensten in Unternehmen

Viele Unternehmen nutzen Messengerdienste, insbesondere WhatsApp, als internes Kommunikationsmittel oder für den Kontakt mit Kunden. Dies ist aus datenschutzrechtlicher Sicht nicht unproblematisch. Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat unlängst in einem „Merkblatt für Verantwortliche zur Nutzung von WhatsApp“ Stellung bezogen. Der folgende Beitrag soll insbesondere die mit der Nutzung von WhatsApp einhergehenden Probleme sowie etwaige Lösungsmöglichkeiten beleuchten.

Continue reading

Facebook-Fanpages im Widerspruch zum Datenschutzrecht

Mit Urteil vom 11.09.2019 – 6 C 15.18 befasste sich das BVerwG mit der Frage, ob ein Fanpage-Betreiber bei Facebook verpflichtet werden kann, seine Seite zu deaktivieren, wenn die digitale Infrastruktur der Internetplattform schwerwiegende datenschutzrechtliche Mängel aufweist. Es liegen noch keine Entscheidungsgründe vor. Aus der Pressemitteilung jedoch ergibt sich, dass das Schließen von Fanpages den Seitenbetreibern auferlegt werden kann. Allerdings trug das Urteil nur wenig zu dem wesentlichen Aspekt der Streitigkeit bei: Wie kann die Verpflichtung, Fanpages zu schließen, verhindert werden?

Continue reading

Neue Vorgaben der Datenschutz-Aufsichtsbehörden zu Tracking und Cookies

Die Konferenz der Datenschutz-Aufsichtsbehörden in Deutschland (DSK) hatte im letzten Jahr für Verunsicherung bei Website-Betreibern gesorgt, als sie sich in einem Positionspapier – relativ undifferenziert – auf den Standpunkt stellte, Tracking-Mechanismen (z.B. Cookies, Tracking-Pixel etc.) seien nur nach vorheriger Einwilligung des Website-Nutzers zulässig.

Da dieser Standpunkt (jedenfalls ohne jegliche Differenzierung) aus Sicht der meisten Experten zu streng war, wurde diese Vorgabe in der Praxis bisher kaum umgesetzt (und auch nicht geahndet). Die meisten Unternehmen, die auf ihrer Website Tracking-Dienste einsetzen, verwenden aktuell sogenannte „Cookie-Banner“ (Einblendung beim Aufruf der Website, z.B. „Unsere Website verwendet Cookies. Durch die Nutzung unserer Website erklären Sie sich mit der Speicherung von Cookies einverstanden.“).

Nun hat die DSK ihre Vorgaben zur Verwendung von Tracking-Mechanismen in einer neuen Orientierungshilfe konkretisiert und differenziert. Die Orientierungshilfe können Sie hier abrufen.

Continue reading

Sind Facebook-Seiten noch legal – Die gemeinsame Verantwortlichkeit von Facebook und Seitenbetreibern

Anfang Juni 2018 entschied der Europäische Gerichtshof (EuGH), dass die Betreiber von Facebook-Seiten neben Facebook für die datenschutzrechtlichen Belange verantwortlich sind. Nach diesem, viel diskutierten und bereits als Todeserklärung für Facebook-Seiten betitelten, Urteil (Az:  C‑210/16 vom 05.06.2018) geschah erst einmal lange gar nichts.

Am 05.09.2018 hielt die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in einem Beschluss fest, dass Facebook-Seiten in der zu diesem Zeitpunkt aktuellen Fassung rechtswidrig seien, da zwischen Facebook und dem Seitenbetreiber ein sog. „joint-controller-Vertrag“ vorliegen muss, der klärt, wer die Pflichten aus der Datenschutzgrundverordnung (DSGVO) übernimmt. Continue reading

BGH: Jameda.de muss Arzt-Profil löschen, da das Portal nicht neutral sei

Der BGH hat ein Grundsatzurteil (BGH, Urteil vom 20. Februar 2018 – VI ZR 30/17gegen das Ärztebewertungsportal Jameda gefällt. Ärzte, die ihre Daten nicht gelistet wollen, haben ein „schutzwürdiges Interesse an dem Ausschluss der Speicherung“ ihrer Daten (§ 29 Abs. 1 Satz 1 Nr. 1 BDSG) und einen Anspruch auf deren Löschung.

Laut Urteil kann sich ein „neutraler“ Informationsmittler auf das Grundrecht der Meinungs- und Medienfreiheit (Art. 5 Abs. 1 Satz 1 GG, Art. 10 EMRK) berufen und dies gegenüber dem Recht auf Schutz der personenbezogenen Daten (Recht auf informationelle Selbstbestimmung, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, Art. 8 Abs. 1 EMRK) geltend machen. Da aber Jameda die sogenannten Premium–Pakete anbietet, mit deren Hilfe die zahlenden Ärzte ihre Praxis besser als die nicht-zahlenden Ärzte darstellen können, ist die Beklagte kein „neutraler“ Informationsmittler.

Continue reading

In eigener Sache: Rechtsanwalt Gebhard jetzt auch zert. Datenschutzbeauftragter

Wir freuen uns, mitteilen zu können, dass unser Kollege Felix Gebhard im Oktober 2017 die Zertifizierung als „Datenschutzbeauftragter DSB-TÜV“ nach den Richtlinien der TÜV SÜD Akademie erworben hat.

Damit wird der Beratungsschwerpunkt Datenschutz bei BPM legal erheblich erweitert. Unternehmen können Rechtsanwalt Felix Gebhard zudem künftig auch als externen Datenschutzbeauftragten im Sinne des Art. 37 Abs. 6 der Datenschutzgrundverordnung (bisher § 4f Bundesdatenschutzgesetz) benennen.

Im Hinblick auf das bevorstehende Inkrafttreten der EU-Datenschutzgrundverordnung im Mai 2018 und die generell zunehmende Bedeutung des Datenschutzes wird es für Unternehmen immer wichtiger, sich auf die künftigen rechtlichen und technischen Anforderungen vorzubereiten und gegebenenfalls Prozesse anzupassen.

Die Kanzlei BPM legal berät seit vielen Jahren Unternehmen, vornehmlich in den Bereichen ECommerce und IT, in allen relevanten Rechtsfragen und mit besonderem Schwerpunkt im Datenschutz. Mit der neuen Qualifikation unseres Kollegen Felix Gebhard kann das bisherige Beratungsspektrum nochmals erheblich erweitert werden.