LG Bonn senkt Bußgeld gegen 1&1!

LG Bonn senkt Bußgeld gegen 1&1!

Bußgeld

Das Landgericht (LG) Bonn hat in einem Urteil vom 11.11.2020 Az. 29 OWi 1/20 LG das Bußgeld gegen den Telekommunikationsanbieter 1&1 von 9,55 Millionen EUR auf 900.000 EUR abgesenkt. Was war geschehen?

Sachverhalt

Uns liegt derzeit nur die Pressemitteilung des Landgerichts Bonn vor. Aus dieser geht folgender Sachverhalt hervor. Eine Stalkerin ihren Ex-Partner gestalkt hat und dafür bedarf es unter anderem der Kommunikationsdaten des Stalkingopfers. Diese kannte die Stalkerin offenbar nicht. Sie rief kurzerhand bei 1&1 an und erfragte die nämliche Telefonnummer. Dabei gab sie sich als die Ehefrau des Stalkingopfers aus. 1&1 fragte nach ihrer Legitimation und wandte dafür ein jahrelang erprobtes und von anderen Unternehmen weiterhin genutztes Verfahren. Es fragte nach Geburtsdatum und Name des Kunden. Schon hatte die Stalkerin die Telefonnummer. Führt das zu einem Bußgeld?

Datenschutzverstoß

Ein Bußgeld wird verhängt, wenn ein Datenschutzverstoß nach Datenschutzgrundverordnung (DSGVO) vorliegt. Die Behörde sah ein nicht ausreichend sicheres Authentifizierungsverfahren durch 1&1. Es reiche nicht aus, nur nach Namen und Geburtsdatum zu fragen. Das würde nicht Art. 32 Abs. 1 DSGVO entsprechen. Wir kennen leider noch nicht die Urteilsgründe, um das nachzuprüfen. Art. 32 Abs. 1 DSGVO ist aber eine -nach unserer Auffassung- zentrale Norm des Datenschutzrechts. Hier geht es ans Eingemachte. Muss jeder Unternehmer ein Standard-Datenschutzmodell implementieren oder reicht etwas weniger? Laut Gericht und Behörde war jedenfalls das Authentifizierungsverfahren nicht ausreichend.

Bußgeldkonzept der DSK

Wenn ein Verstoß vorliegt, ist der nächste Schritt bei einem Bußgeld, die Höhe des Bußgeldes und der Verschuldensgrad festzustellen. Die Datenschutzkonferenz (DSK), ein Zusammenschluss der deutschen Datenschutzbehörden hat nach Inkrafttreten der DSGVO ein Bußgeldkonzept entwickelt, dass Sie hier herunterladen können. Hauptkritik seitens Datenschutzanwälte war das rein  umsatzorientiertes Bußgeldkonzept der Behörden. Offenbar hat das LG Bonn hier eigene Erwägungen angestellt. Was letztlich dabei herauskommt müssen wir abwarten, wenn die Urteilsgründe vorliegen. Die Reduktion des Bußgeldes von 9,55 Millionen EUR auf 900.000 EUR ist aber ein deutliches Zeichen, dass auch andere Kriterien neben dem Umsatz eine Rolle gespielt haben.

Ausblick

Dieses Urteil ist ein Zeichen, dass der Gang zu Gericht lohnend sein kann. 1&1 hat im Hinblick auf die Höhe des Bußgeldes ein Erfolg erzielt. In der Datenschutzwelt werden im Hinblick auf die Bemessung des Bußgeldes mit Spannung das Urteil erwartet. Zusätzlich dürfte ach jetzt eine interessante Entscheidung zu Art. 32 DSGVO ergangen sein, insbesondere im Hinblick auf die Abfrage von Namen und Geburtsdatum bei der Authentifizierung. Hier sollten Unternehmer dringend nachbessern.

Anwalt für Datenschutz

Wenn Sie Fragen zum Datenschutz und Bußgeld haben, dann können Sie uns telefonisch unter 069 405 64 282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Rufen Sie uns an!

Beitragsbild: Alexander Andrews

E-Mails in „cc“ und die Datenschutzgrundverordnung (DSGVO).

E-Mails in „cc“ und die Datenschutzgrundverordnung (DSGVO).

DSGVO und E-Mails Verkehr in „cc“

Darf ich mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) E-Mails in „cc“ (Carbon Copy = Kopie) versenden oder nicht? Die Antwort auf diese, auf dem ersten Blick harmlose Frage, hat erhebliche Konsequenzen. Tausendfach werden täglich E-Mails in „cc“ versandt und die meisten Absender machen sich keine Gedanken zum Datenschutz. Häufig werden im Büroalltag E-Mails schlicht an einem großen Empfängerkreis mittels „cc“ weitergeleitet. Der Empfänger erfährt dadurch den Inhalt der vorhergehende Nachricht und die Emailbeteiligten. Diese wissen häufig nichts davon.

Geldbußen bei E-mails in „cc“

Der Landesbeauftragte für Datenschutz in Sachsen Anhalt, Harald von Bose, hat nun in einem Fall Geldbußen wegen Verstößen gegen die Datenschutzgrundverordnung DSGVO verhängt, weil eine -wohlgemerkt-private Person- E-Mails in „cc“ versandt hat. Was war passiert? Bislang liegt nur eine Pressemeldung der Behörde vor. Ausweislich dieser soll eine private Person in einen E-Mail Verteiler zwischen 131 und 153 personenbezogene E-Mail Adressen verschickt haben. Dies natürlich ohne deren Einwilligung. Er hat sich über Medien, Behörden etc. beschwert und alle mit in „cc“ aufgenommen. Ein Fehler, wie sich danach herausstellte, weil ein Datenschutzverstoß vorliegt.

E-Mails als personenbezogene Daten

Dafür müssen E-Mails nach DSGVO personenbezogene Daten darstellen, die unrechtmäßig verarbeitet wurden. E-Mail-Adresse zählen dann als personenbezogene Daten, wenn sie einer konkreten Person zugeordnet werden können. Werden also beispielsweise Klarnamen in der E-Mail benutzt, so ist eine Zuordnung ohne weiteres möglich (Max.Mustermann@info.de). Wird hingegen allgemein info@info.de benutzt, so ist ein Rückschluss nicht ohne weiteres möglich. Es kommt also auf den Einzelfall an.

Verstoßen E-mails gegen die DSGVO?

Personenbezogene Daten können nur dann rechtmäßig verarbeitet werden, wenn eine Rechtsgrundlage hierfür besteht. Es liegt auf der Hand, dass in den meisten Fällen solche E-Mail-Verteiler ohne Einwilligung der Betroffenen benutzt werden. Die Weitergabe von personenbezogenen Daten wird, wenn es nicht dem Vertragszweck oder berechtigten Interessen dient, häufig rechtswidrig sein. 

Das Problem an dieser Konstellation ist, dass sich der Verstoß sehr einfach dokumentieren lässt. Man kann schlicht die Email ausdrucken. Daher sollten besonders Anbieter von „Newsletter“ aufpassen. Die Bußgelder können sehr üppig ausfallen..

Lösungsmöglichkeiten „bcc“ für E-mails DSGVO

Daher kann nur angeraten werden, generell E-mails nach DSGVO über „bcc“ (blind carbon copy) zu versenden.

Der Unterschied:

–           Die E-Mail-Adressen der Empfänger, die in den Feldern „An“ und „Cc“ aufgeführt sind, sind für alle Empfänger sichtbar.

–           Für einen Empfänger, der in „Bcc“ aufgeführt ist, sind die anderen unter „Bcc“ aufgelisteten „Mit-Empfänger“ nicht sichtbar.

Aber Achtung: Es dürfen natürlich nicht Daten unrechtmäßig weitergegeben werden. Davor schützt das „bcc“ ebenfalls nicht. Man vermeidet aber dadurch, dass die anderen Empfänger sehen, wer beispielsweise alles den Newsletter bezieht.

Kanzlei für Datenschutzrecht DSGVO in Frankfurt

Bei Fragen rund um den Datenschutz DSGVO helfen wir Ihnen gerne. Sie können uns telefonisch unter 069 405 64 282 oder unter info@rechtsanwalt-dsgvo.de

Rufen Sie uns an!

Ihr Rechtsanwalt und zertifizierter Datenschutzbeauftragter für Datenschutz in Frankfurt am Main.

Beitragsbild: Host Sorter

Bußgelder und Abmahnungen nach Datenschutzgrundverordnung (DSGVO)

Bußgelder und Abmahnungen nach Datenschutzgrundverordnung (DSGVO)

DSGVO Anwalt in Frankfurt

Als Anwalt für Datenschutzrecht und zertifizierter Datenschutzbeauftragter bei TÜV-Süd beraten wir in Frankfurt am Main Unternehmer zu den Auswirkungen der Datenschutzgrundverordnung (DSGVO). Die zwei wichtigsten Gefahren für Unternehmer sind Bußgelder und Abmahnungen. Am 25. Mai 2018 ist das neue Regelwerk in Kraft getreten und damit für alle Unternehmer, die personenbezogene Daten verarbeiten, verbindlich.

Bußgelder nach DSGVO

Im Datenschutzrecht gilt der Grundsatz, dass personenbezogene Daten nicht erhoben werden dürfen, sofern das nicht gestattet ist. Diese einfache Regel ist dann in einer Vielzahl von Paragrafen näher ausgestaltet. Damit der Gesetzgeber die Einhaltung des Datenschutzrechts gewährleisten kann, hat er Verstöße dagegen mit Bußgeld sanktioniert. Die DSGVO unterscheidet nach der Art der Schwere des Verstoßes. Sind die Verstöße gering, dann kann das Bußgeld bis zu 10 Millionen betragen oder bis zu 2 % des weltweiten Bruttoumsatzes. Wiegen die Verstöße schwer, dann kann das Bußgeld bis zu 20 Millionen oder bis zu 4 % des weltweiten Bruttoumsatzes betragen. Adressat des Bußgeldes ist der Verantwortliche. In einer GmbH ist Verantwortlicher das vertretungsberechtigte Organ, also der Geschäftsführer. Bei der Aktiengesellschaft oder Verein ist Verantwortlicher der Vorstand. Diese haften dann aber auch persönlich. Im Zweifel können sich Geschäftsführer und Aktienvorstände relativ schnell ausmalen, dass die juristische Person dahinter (AG oder GmbH) im Zweifel den Schaden nicht übernehmen wird. Andernfalls Das könnte sie gegen gesellschaftsrechtliche Verpflichtungen verstoßen. Auch die sogenannte D&O Versicherung ist nur mit äußerster Vorsicht zu genießen. Verstöße gegen das Datenschutzrecht waren bisher als grobe Pflichtverletzungen angesehen. Versicherungen haften in solchen Fällen nur unter sehr engen Voraussetzungen.

Abmahnungen nach DSGVO

Dem Unternehmer können auch Abmahnungen eines Konkurrenten drohen. Bislang ist in der Rechtsprechung nicht geklärt, ob die Datenschutzgrundverordnung (DSGVO) eine Marktverhaltensregeln darstellt. Manche Gerichte bejahen das und wiederum andere verneinen das. Das Problem besteht darin, dass im Internet der fliegende Gerichtsstand gilt. Das bedeutet, dass der Konkurrent und Abmahner sich das Gericht aussuchen kann, wenn es sich um einen Verstoß gegen Datenschutzrecht im Internet (fehlerhafte Datenschutzerklärung auf der Homepage) handelt. Der logische Schluss liegt nahe, dass er sich das Gericht aussucht, das in dem Verstoß gegen die DSGVO ein Verstoß gegen eine Marktverhaltensregel ansieht und damit eine Abmahnung als zulässig erachtet.

Datenschutz Anwalt Frankfurt

Aus diesen Gründen aber auch aus eigenem Interesse kann nur empfohlen werden, sich mit Datenschutzrecht auseinander zu setzen und Datenschutzkonformität herzustellen. Als Anwalt und zertifizierter Datenschutzbeauftragter bei TÜV-Süd auf dem Gebiet der Datenschutzrechts (DSGVO) in Frankfurt am Main berate ich Sie gerne.

Sie können uns unter der Tel. 069 405 64 282 oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen

Über Anruf oder Ihre Nachricht freuen wir uns. Rufen Sie uns an!

Ihr Anwalt für DSGVO in Frankfurt.

Beitragsbild: Imgix

Wann ist die Videoüberwachung nach der Datenschutzgrundverordnung (DSGVO) zulässig?

Wann ist die Videoüberwachung nach der Datenschutzgrundverordnung (DSGVO) zulässig?

Videoüberwachung DSGVO

Die Frage, wann die Videoüberwachung nach der Datenschutzgrundverordnung (DSGVO) zulässig ist, stellen sich viele, die eine Videokamera benutzen wollen. Das Thema ist im Zuge der DSGVO komplexer geworden und kann in der gebotenen Kürze hier nur angerissen werden. Es soll ein erster Einstieg sein. Es ist immer und stets der Einzelfall zu prüfen. Wer zunächst in das Bundesdatenschutzgesetz neue Fassung (BDSG n.F.) einen Blick riskiert, findet dort den § 4 BDSG n.F.. Dem ersten Anschein nach sieht es so aus, als hätte der Gesetzgeber eine geeignete Rechtsgrundlage für die Videoüberwachung geschaffen. Auf den zweiten Blick wird aber deutlich, dass diese Norm nicht für private Unternehmer gilt.

Fehlende Öffnungsklausel für die Videoüberwachung

Dies hat mit den Europarecht zu tun. Die DSGVO erlaubt eine Regelung im nationalen Recht, wie es das BDSG ist, nur dann, wenn eine sogenannte Öffnungsklausel vorliegt. Das bedeutet vereinfacht, dass der europäische Gesetzgeber es dem nationalen Gesetzgeber erlaubt, weitergehende Regelungen zu treffen. Das ist gerade bei der Videoüberwachung nicht in der erforderlichen Form geschehen. Das bedeutet, dass ein Rückgriff auf § 4 BDSG n.F… für die Videoüberwachung durch private Unternehmer nicht möglich ist. Eine Öffnungsklausel ist nur für die Art. 6 Abs. 2 lit. c), e) DSGVO vorgesehen. Das sind die Normen, die eine Datenverarbeitung bei einer rechtlichen Verpflichtung oder bei Wahrnehmung von Aufgaben im öffentlichen Interesse, ermöglichen. Eine rechtliche Verpflichtung zur Videoüberwachung für private Unternehmer wird wohl kaum zu konstruieren sein. Das Ergebnis ist, dass das Bundesdatenschutzgesetz (BDSG n.F.) im nicht-öffentlichen Bereich nicht anwendbar sein wird.

Ausweg über Art. 6 Absatz 1f DSGVO

Deswegen wird in der Literatur bislang die Ansicht vertreten, dass die Verarbeitung personenbezogener Daten über den Art. 6 Absatz 1f DSGVO möglich sein wird. Danach hat eine Abwägung zwischen dem Interesse an der Datenverarbeitung und dem Grad der Betroffenheit durch die Datenverarbeitung stattzufinden. Hierbei muss auch beachtet werden, dass bei einer Rechtfertigung über die Rechtsgrundlage des Artikel 6f DSGVO diese Interessenabwägung in den Informationspflichten gehört und dort wiedergegeben sein muss. Genauer heißt das, dass die Abwägung in der Datenschutzerklärung enthalten sein muss. Näheres zu den Informationspflichten bei der Videoüberwachung werde ich in einem separaten Beitrag erläutern.

Wie einleitend dargestellt, muss der Einzelfall genau unter die Lupe genommen werden, um die Zulässigkeit der Videoüberwachung klären zu können.

Anwalt für Datenschutz

Bei Fragen rund um die Videoüberwachung können Sie uns gerne unter der Telefonnummer 069 406 64 282 oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen. Wir freuen uns über Ihren Anruf oder Ihre Nachricht.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter  in Frankfurt am Main.

Beitragsbild: Markus Spiske