Seite wählen
E-Mails in „cc“ und die Datenschutzgrundverordnung (DS-GVO).

E-Mails in „cc“ und die Datenschutzgrundverordnung (DS-GVO).

E-Mail Verkehr in „cc“

Darf ich mit Inkrafttreten der Datenschutzgrundverordnung E-Mails in „cc“ (Carbon Copy = Kopie) versenden oder nicht? Die Antwort auf diese, auf dem ersten Blick harmlose Frage, hat erhebliche Konsequenzen. Tausendfach werden täglich E-Mails in „cc“ versandt und die meisten Absender machen sich keine Gedanken zum Datenschutz. Häufig werden im Büroalltag E-Mails schlicht an einem großen Empfängerkreis mittels „cc“ weitergeleitet. Der Empfänger erfährt dadurch den Inhalt der vorhergehende Nachricht und die Emailbeteiligten. Diese wissen häufig davon nichts.

Geldbußen bei Emails in „cc“

Der Landesbeauftragte für Datenschutz in Sachsen Anhalt, Harald von Bose, hat nun in einem Fall Geldbußen wegen Verstößen gegen die Datenschutzgrundverordnung verhängt, weil eine-wohlgemerkt-private Person E-Mails in „cc“ versandt hat. Was war passiert? Bislang liegt nur eine Pressemeldung der Behörde vor. Ausweislich dieser soll eine private Person in einen E-Mail Verteiler zwischen 131 und 153 personenbezogene E-Mail Adressen verschickt haben. Dies natürlich ohne deren Einwilligung. Er hat sich über Medien, Behörden etc. beschwert und alle mit in „cc“ aufgenommen. Ein Fehler, wie sich danach herausstellte, weil ein Datenschutzverstoß vorliegt.

E-Mails als personenbezogene Daten

Dafür müssen E-Mails personenbezogene Daten darstellen, die unrechtmäßig verarbeitet wurden. E-Mail-Adresse zählen dann als personenbezogene Daten, wenn sie einer konkreten Person zugeordnet werden können. Werden also beispielsweise Klarnamen in der E-Mail benutzt, so ist eine Zuordnung ohne weiteres möglich (Max.Mustermann@info.de). Wird hingegen allgemein info@info.de benutzt, so ist ein Rückschluss nicht ohne weiteres möglich. Es kommt also auf den Einzelfall an.

Verstoß gegen die DS GVO?

Personenbezogene Daten können nur dann rechtmäßig verarbeitet werden, wenn eine Rechtsgrundlage hierfür besteht. Es liegt auf der Hand, dass in den meisten Fällen solche E-Mail-Verteiler ohne Einwilligung der Betroffenen benutzt werden. Die Weitergabe von personenbezogenen Daten wird, wenn es nicht dem Vertragszweck oder berechtigten Interessen dient, häufig rechtswidrig sein. Das wird häufig nicht gegeben sein.

Das Problem an dieser Konstellation ist, dass sich der Verstoß sehr einfach dokumentieren lässt. Man kann schlicht die Email ausdrucken. Daher sollten besonders Anbieter von „Newsletter“ aufpassen. Die Bußgelder können sehr üppig ausfallen..

Lösungsmöglichkeiten „bcc“

Daher kann nur angeraten werden, generell über „bcc“ (blind carbon copy) zu arbeiten.

Der Unterschied:

–           Die E-Mail-Adressen der Empfänger, die in den Feldern „An“ und „Cc“ aufgeführt sind, sind für alle Empfänger sichtbar.

–           Für einen Empfänger, der in „Bcc“ aufgeführt ist, sind die anderen unter „Bcc“ aufgelisteten „Mit-Empfänger“ nicht sichtbar.

Aber Achtung: Es dürfen natürlich nicht Daten unrechtmäßig weitergegeben werden. Davor schützt das „bcc“ ebenfalls nicht. Man vermeidet aber dadurch, dass die anderen Empfänger sehen, wer beispielsweise alles den Newsletter bezieht.

Bei Fragen rund um den Datenschutz helfe ich Ihnen gerne. Sie können mich telefonisch unter 069 405 64 282 oder unter info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main.

Bußgelder und Abmahnungen nach Datenschutzgrundverordnung. DS-GVO Anwalt in Frankfurt am Main.

Bußgelder und Abmahnungen nach Datenschutzgrundverordnung. DS-GVO Anwalt in Frankfurt am Main.

DS-GVO Anwalt in Frankfurt

Als Anwalt für Datenschutzrecht und zertifizierter Datenschutzbeauftragter bei TÜV-Süd berate ich in Frankfurt am Main Unternehmer zu den Auswirkungen der Datenschutzgrundverordnung (DS-GVO). Die zwei wichtigsten Gefahren für Unternehmer sind Bußgelder und Abmahnungen. Am 25. Mai 2018 ist das neue Regelwerk in Kraft getreten und damit für alle Unternehmer, die personenbezogene Daten verarbeiten, verbindlich.

Bußgelder nach DS-GVO

Im Datenschutzrecht gilt der Grundsatz, dass personenbezogene Daten nicht erhoben werden dürfen, sofern das nicht gestattet ist. Diese einfache Regel ist dann in einer Vielzahl von Paragrafen näher ausgestaltet. Damit der Gesetzgeber die Einhaltung des Datenschutzrechts gewährleisten kann, hat er Verstöße dagegen mit Bußgeld sanktioniert. Die DS-GVO unterscheidet nach der Art der Schwere des Verstoßes. Sind die Verstöße gering, dann kann das Bußgeld bis zu 10 Millionen betragen oder bis zu 2 % des weltweiten Bruttoumsatzes. Wiegen die Verstöße schwer, dann kann das Bußgeld bis zu 20 Millionen oder bis zu 4 % des weltweiten Bruttoumsatzes betragen. Adressat des Bußgeldes ist der Verantwortliche. In einer GmbH ist Verantwortlicher das vertretungsberechtigte Organ, also der Geschäftsführer. Bei der Aktiengesellschaft oder Verein ist Verantwortlicher der Vorstand. Diese haften dann aber auch persönlich. Im Zweifel können sich Geschäftsführer und Aktienvorstände relativ schnell ausmalen, dass die juristische Person dahinter (AG oder GmbH) im Zweifel den Schaden nicht übernehmen wird. Andernfalls Das könnte sie gegen gesellschaftsrechtliche Verpflichtungen verstoßen. Auch die sogenannte D&O Versicherung ist nur mit äußerster Vorsicht zu genießen. Verstöße gegen das Datenschutzrecht waren bisher als grobe Pflichtverletzungen angesehen. Versicherungen haften in solchen Fällen nur unter sehr engen Voraussetzungen.

Abmahnungen nach DS-GVO

Dem Unternehmer können auch Abmahnungen eines Konkurrenten drohen. Bislang ist in der Rechtsprechung nicht geklärt, ob die Datenschutzgrundverordnung (DS-GVO) eine Marktverhaltensregeln darstellt. Manche Gerichte bejahen das und wiederum andere verneinen das. Das Problem besteht darin, dass im Internet der fliegende Gerichtsstand gilt. Das bedeutet, dass der Konkurrent und Abmahner sich das Gericht aussuchen kann, wenn es sich um einen Verstoß gegen Datenschutzrecht im Internet (fehlerhafte Datenschutzerklärung auf der Homepage) handelt. Der logische Schluss liegt nahe, dass er sich das Gericht aussucht, das in dem Verstoß gegen die DS-GVO ein Verstoß gegen eine Marktverhaltensregel ansieht und damit eine Abmahnung als zulässig erachtet.

Fazit

Aus diesen Gründen aber auch aus eigenem Interesse kann nur empfohlen werden, sich mit Datenschutzrecht auseinander zu setzen und Datenschutzkonformität herzustellen. Als Anwalt und zertifizierter Datenschutzbeauftragter bei TÜV-Süd auf dem Gebiet der Datenschutzrechts (DS-GVO) in Frankfurt am Main berate ich Sie gerne.

Sie können mich unter der Tel. 069 405 64 282 oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen

Über Anruf oder Ihre Nachricht freue ich mich.

Ihr Anwalt für DSGVO in Frankfurt

Wann ist die Videoüberwachung nach der Datenschutzgrundverordnung (DSGVO) zulässig?

Wann ist die Videoüberwachung nach der Datenschutzgrundverordnung (DSGVO) zulässig?

Diese Frage stellen sich viele, die eine Kamera benutzen wollen. Das Thema ist im Zuge der DSGVO komplexer geworden und kann in der gebotenen Kürze hier nur angerissen werden. Es soll ein erster Einstieg sein. Es ist immer und stets der Einzelfall zu prüfen. Wer zunächst in das Bundesdatenschutzgesetz neue Fassung (BDSG n.F.) einen Blick riskiert, findet dort den § 4 BDSG n.F.. Dem ersten Anschein nach sieht es so aus, als hätte der Gesetzgeber eine taugliche Rechtsgrundlage für die Videoüberwachung geschaffen. Auf den zweiten Blick wird aber deutlich, dass diese Norm nicht für private Unternehmer gilt.

Fehlende Öffnungsklausel für die Videoüberwachung

Dies hat mit den Europarecht zu tun. Die DSGVO erlaubt eine Regelung im nationalen Recht, wie es das BDSG ist, nur dann, wenn eine sogenannte Öffnungsklausel vorliegt. Das bedeutet vereinfacht, dass der europäische Gesetzgeber es dem nationalen Gesetzgeber erlaubt, weitergehende Regelungen zu treffen. Das ist gerade bei der Videoüberwachung leider nicht in der erforderlichen Form geschehen. Das bedeutet, dass ein Rückgriff auf § 4 BDSG n.F. für die Videoüberwachung durch private Unternehmer nicht möglich ist. Eine Öffnungsklausel ist nur für die Art. 6 Abs. 2 DSGVO lit. c) und e) vorgesehen. Das sind die Normen, die eine Datenverarbeitung bei einer rechtlichen Verpflichtung oder bei Wahrnehmung von Aufgaben im öffentlichen Interesse, ermöglichen. Eine rechtliche Verpflichtung zur Videoüberwachung für private Unternehmer wird wohl kaum zu konstruieren sein. Das Ergebnis ist, dass das Bundesdatenschutzgesetz BDSG im nicht-öffentlichen Bereich nicht anwendbar sein wird.

Ausweg über Art. 6 Absatz 1f DSGVO

Deswegen wird in der Literatur bislang die Ansicht vertreten, dass die Verarbeitung personenbezogener Daten über den Art. 6 Absatz 1f DSGVO möglich sein wird. Danach hat eine Abwägung zwischen dem Interesse an der Datenverarbeitung und dem Grad der Betroffenheit durch die Datenverarbeitung stattzufinden. Hierbei muss auch beachtet werden, dass bei einer Rechtfertigung über die Rechtsgrundlage des Artikel 6f DSGVO diese Interessenabwägung in den Informationspflichten gehört und dort wiedergegeben sein muss. Genauer heißt das, dass die Abwägung in der Datenschutzerklärung enthalten sein muss. Näheres zu den Informationspflichten bei der Videoüberwachung werde ich in einem separaten Beitrag erläutern.

Wie einleitend dargestellt muss der Einzelfall genau unter die Lupe genommen werden, um die Zulässigkeit der Videoüberwachung klären zu können.

Anwalt für Datenschutz

Bei Fragen rund um die Videoüberwachung können Sie mich gerne unter der Telefonnummer 069 406 64 282 oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen. Ich freue mich über Ihren Anruf oder Ihre Nachricht.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter  in Frankfurt am Main