KI -Tools im Unternehmen: Was gilt es zu beachten?

KI-Tools werden zunehmend genutzt und sind aus dem Büroalltag kaum noch wegzudenken. KI-Tools können verschiedene Aktivitäten automatisieren. Viele konkrete Anwendungen der KI können unseren Alltag und unser Berufsleben auf vielfältige Weise erleichtern.

Genauso wenig wie das Internet aus dem Berufsleben vieler Menschen wegzudenken ist, wird man in vielen Bereichen auf den Einsatz von KI-Tools verzichten können.

Doch inwieweit können für den Betrieb hieraus Risiken erwachsen? Gibt es auf Arbeitgeberseite eventuell Regelungsbedarf?

Soweit es sich um ein allgemein zugängliches System wie z.B. ChatGPT usw. handelt, sollte den Mitarbeitern eine Anweisung an die Hand gegeben werden, ähnlich wie bei Datenschutzhinweisen.

Entsprechende Regelungen können durch Ausübung des Direktionsrechts, durch den Erlass einer entsprechenden Richtlinie oder durch eine vertragliche Ergänzung des Arbeitsvertrages umgesetzt werden.

Es kann sich daher empfehlen, den Arbeitsvertrag durch „Hinweise zur Nutzung von KI-Tools“ zu ergänzen.

Folgende Punkte könnten hierbei angesprochen werden:

 

Verantwortlichkeit:

Der Mitarbeiter muss sich bewusst sein, dass die Ergebnisse von KI-Tools „Halluzinationen“ enthalten können. D.h. die ausgegebenen Ergebnisse hören sich zwar plausibel und überzeugend an, müssen jedoch nicht mit Tatsachen übereinstimmen.

Für die von der KI erzeugten Ergebnisse ist der jeweilige Mitarbeiter verantwortlich.

Bei der Kommunikation nach außen trifft die Haftung jedoch das Unternehmen.

Alle Ergebnisse von KI-Tools sind daher vom jeweiligen Mitarbeiter mit der im Geschäftsverkehr erforderlichen Sorgfalt zu prüfen.

 

Wettbewerbsproblematik:

An den Erzeugnissen der KI besteht nach § 2 Abs. 1 UrhG kein Urheberrechtsschutz, da Werke im Sinne des Urheberrechtsgesetzes nur Werke sind, die von einem Menschen geschaffen wurden. Allerdings können Erzeugnisse wie Bilder (oder auch Texte) zu einer Verwechslungsgefahr mit anderen Unternehmen oder zu anderen irreführenden Aussagen führen. Werden beispielsweise Falschbehauptungen über das Unternehmen oder Wettbewerber aufgestellt, so ist dies wettbewerbswidrig.

Bei der Bilderzeugung durch KI sind Verstöße mit bestehendem Designschutz denkbar.

 

Datenschutz beachten:

Personenbezogene Daten dürfen nicht in allgemein zugängliche KI-Tools hochgeladen werden. Vor der Nutzung solcher Tools sind personenbezogene Daten zu entfernen.

 

Geheimhaltungsverpflichtungen:

Die meisten Unternehmer haben (teilweise eine Vielzahl von) Geheimhaltungsvereinbarungen mit Kunden, Zulieferern und sonstigen Partnern geschlossen. Solche der Geheimhaltung unterliegenden Informationen dürfen nicht in allgemein zugängliche KI-Tools hochgeladen werden.

 

Die Ergebnisse der KI kurzhalten („Textdisziplin“):

Die Möglichkeiten eines Large Language Model (LLM), umfangreichen Text zu generieren, dürfen nicht dazu führen, dass die Texterzeugung unnötig aufgebläht wird.

 

Empfehlung: Die Nutzung von KI-Tools durch Mitarbeiter wird der Arbeitgeber nicht verhindern können. Allerdings sollten die Mitarbeiter wie beim Datenschutz für die Probleme bei der Nutzung von KI-Tools sensibilisiert werden und es sollte den Mitarbeitern ein Hinweis für die Nutzung solcher Tools an die Hand gegeben werden.

Onlinebestellmasken und Datenschutz

Obacht bei der Gestaltung der Bestellmaske im Onlineshop! Es gilt genau zu prüfen, welche Daten vom Besteller angefordert werden dürfen. Dies hat eine aktuelle Entscheidung des Verwaltungsgericht Hannover, Urteil vom 09.11.2021, Az. 10 A 502/19, noch einmal deutlich gemacht.

Ein Onlineshop für Drogerie- und Medizinprodukte hatte unter anderem das Alter der Besteller abgefragt.

Dies ist nach der Bewertung des Gerichtes allerdings nur bei Waren zulässig, bei denen eine altersspezifische Aufklärung erforderlich ist.

Nach der Datenschutzgrundverordnung ist für die Datenerhebung eine Rechtsgrundlage erforderlich (Art. 6 DSGVO). Eine solche Rechtsgrundlage kann beispielsweise die Vertragserfüllung sein. Eine konkrete Altersangabe ist aber für Waren (z.B. Drogerieartikel), für die keine altersspezifische Beratungspflicht besteht, zur Vertragserfüllung nicht erforderlich.

Die Datenerhebung bzw. Datenverarbeitung des konkreten Alters wäre daher nur zulässig, wenn eine informierte Einwilligung des Bestellers eingeholt wird oder nach Warentypus differenziert wird.

Konkret führt dies dazu, dass der Onlineshop bei der Datenerhebung im Bestellvorgang zwischen Waren, für die eine altersspezifische Beratungspflicht besteht, und anderen Waren differenzieren muss. Alternativ kann auch die Einwilligung des Bestellers eingeholt werden.

Aufgrund des datenschutzrechtlichen Prinzips der Datenminimierung darf lediglich die Tatsache der Volljährigkeit abgefragt werden, nicht jedoch das genaue Geburtsdatum.

Wie man an diesem Urteil sieht, sollte man sehr genau beachten, welche Daten man in Onlinemasken z.B. bei Bestellvorgängen abfragt. Man sollte bei jedem personenbezogenem Datum genau beachten, ob es hierfür eine Rechtsgrundlage gibt. 

Bei Fehlern drohen Bußgelder durch die Datenschutzbehörden oder Abmahnungen von Mitbewerbern.

Ein heißes Eisen: Gästedatenerfassung und Datenschutzgrundverordnung (DSGVO)

Vor kurzem wurde darüber berichtet, dass bei einem Softwarediensteanbieter für die Gastronomie massive Sicherheitslücken zutage getreten sind. Der Dienstleister bietet u.a. Gästereservierungs-und verwaltungstools mitsamt dem entsprechenden Speicherplatz an. Die Sicherheitslücken sollen dazu geführt haben, dass personenbezogene Daten der Gäste, die reserviert hatten (Name, Adresse, Datum, Uhrzeit, etc.), im Internet relativ frei zugänglich waren, teilweise sollen die Daten aus den vergangenen 9 Jahren einsehbar gewesen sein. Auch Gästeregistrierungsdaten, die im Zuge der Coronakrise erhoben werden, waren darunter. Der Anbieter hat zwar einerseits Sicherheitslücken eingeräumt, andererseits die Gastronomiebetriebe dafür verantwortlich gemacht, dass die Gästedaten noch nicht gelöscht worden waren. Als „Auftragsdatenverarbeiter“ sei er nicht für die Löschung der Daten zuständig.

Indes: Der Softwarehersteller/Dienstleister, der als Auftragsverarbeiter für den Gastrobetrieb tätig ist, kann sich seit Geltung der DSGVO nicht mehr dadurch herausreden, dass er auf die Verantwortlichkeit des Gastronomiebetriebes verweist.

Dieser ist als Auftraggeber der Datenverarbeitung zwar Verantwortlicher und erteilt die Weisungen für die Auftragsverarbeitung gem. Art. 28 (3) a) DSGVO.

Allerdings muss der Dienstleister den Gastronomiebetrieb als seinen Kunden nach Art. 28 (3) h) DSGVO unverzüglich informieren, falls er der Auffassung ist, dass die Weisung gegen die DSGVO verstößt. Noch gravierender ist es, wenn hierfür keine Weisung zugrunde lag und die dauerhafte Speicherung auf einer Standardeinstellung des Dienstleisters beruhte und dieser somit die Datenverarbeitung vorgab.  

Setzt der Dienstleister als Standardstellung eine dauerhafte Speicherung in seinem System, so muss er den Kunden auch darauf hinweisen, dass dies im Falle eines Gastronomiebetriebes für Reservierungsdaten nicht der DSGVO entspricht.

Nicht nur der Verantwortliche, sondern gerade auch für den Dienstleister besteht nach Art. 32 DSGVO  die Pflicht,  notwendige technische und organisatorische Maßnahmen zum Schutze der personenbezogenen Daten zu treffen. Hierzu gehört natürlich auch die Dauer der Speicherung zu beschränken, wie sich aus dem Grundsatz der Datenminimierung  (Art. 5 (1) c) DSGVO) ergibt.

Auch kann sich der Dienstleister nicht darauf berufen, dass er diese Pflichten nicht kennt bzw. nicht kennen musste. Die Speicherdauer muss durch den Gastronom im Verzeichnis der Verarbeitungstätigkeiten dokumentiert sein (Art. 30 DSGVO) und den Gästen (betroffene Personen) nach Art. 13 DSGVO  (Datenschutzerklärung) vom Gastronomiebetrieb mitgeteilt werden.

Offensichtlich ist in diesem Zusammenhang noch viel Unwissenheit und/oder Ignoranz bezüglich der Anforderungen nach der DSGVO vorhanden.

Nach Art. 83 DSGVO können bei diesen Verstößen empfindliche Bußgelder gegen den Dienstleister (und natürlich auch gegen den Gastronom) verhängt werden.

Auch können geschädigte Personen Schadensersatz nach Art. 82 DSGVO geltend machen.

Darüber hinaus wird der Gastronom gegen seinen Dienstleister auch einen Schadensersatzanspruch aufgrund der Verletzung des Vertragsverhältnisses haben.

Essen gehen in Zeiten von Corona: Wird der Gast nun gläsern?

Die erste Welle der Coronakrise 2020 scheint auszuklingen. Die Gastronomiebetriebe dürfen - unter Auflagen - wieder öffnen. Seit dem 25. Mai 2020 in Bayern auch im Innenbereich. Endlich nimmt einem wieder der Profi die Beantwortung der Frage nach dem „was kochen wir denn heute?“ ab.

Die Wiedersehensfreude mit den Gastgebern ist jedoch oftmals leicht getrübt. Hat man doch Schwierigkeiten, Gastgeber und altbewährtes Servicepersonal hinter den Schutzmasken überhaupt wieder zu erkennen. Umgehend nach Betreten des Lokals wird man sodann freundlich und bestimmt zum Ausfüllen eines Formulars aufgefordert, in dem diverse personenbezogene Angaben gemacht werden sollen.

Da man jedoch als Unternehmer (und natürlich auch als Verbraucher) mittlerweile für den Datenschutz sensibilisiert ist, stellt man sich unwillkürlich die Frage, ob denn alle Vorgaben der Datenschutzgrundverordnung eingehalten werden.

Eine Erläuterung,   wozu denn diese Daten dienen sollen und wie damit verfahren wird, ist nicht auf den ersten Blick ersichtlich. Die Servicekraft hingegen wird bei entsprechender Frage schmallippig.  „Wegen Corona“ lautet die Auskunft.

Nach Art. 13 der Datenschutzgrundverordnung sind der Person, deren Daten erhoben werden, bereits zum Zeitpunkt dieser Erhebung die wesentlichen Informationen mitzuteilen.

Die DSGVO verlangt im Wesentlichen folgende Angaben:

- den Namen und die Kontaktdaten des Verantwortlichen

- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten

- den Zweck, für den die personenbezogenen Daten verarbeitet werden sollen

- die Rechtsgrundlage für die Verarbeitung

- den Empfänger der Daten

- die Dauer der Speicherung

- die Rechte der Person, deren Daten erhoben werden (wie Auskunft, Berichtigung, Löschung usw., sowie des Beschwerderechtes bei den Aufsichtsbehörden)

- ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist.

 

Die Begründung „Corona“ erscheint zwar nicht falsch, allerdings doch etwas sehr „verkürzt“, wenn nicht gar unvollständig.

Auf diese Informationspflichten kann nur verzichtet werden, wenn die betroffene Person bereits über diese Informationen  verfügt.

Dies ist sicherlich nicht der Fall. Selbst die zuständigen Bayerischen Staatministerien sehen in ihrer Bekanntmachung (Änderung der Bekanntmachung „Corona-Pandemie: Hygienekonzept Gastronomie“ Gemeinsame Bekanntmachung der Bayerischen Staatsministerien für Gesundheit und Pflege und für Wirtschaft, Landesentwicklung und Energie vom 25. Mai 2020, Az. GZ6a-G8000-2020/122-321

https://www.verkuendung-bayern.de/baymbl/2020-291/)

vor, dass „der Gastgeber (hat) den Gast bei Erhebung der Daten entsprechend den Anforderungen an eine datenschutzrechtliche Information gemäß Art. 13 DSGVO in geeigneter Weise zu informieren hat“.

Was jedoch genau der Inhalt dieser Informationspflicht sein soll, lässt man offen.

Wenn man davon ausgegangen wäre, dass die Gäste nach Art. 13 Abs. 4 DSGVO bereits über die Informationen verfügen, so hätte man ja gleich auf diesen Art. 13 Abs. 4 DSGVO verweisen können und die Problematik wäre gelöst.

Offensichtlich verlangt man jedoch von den Gastgebern, dass sie die oben genannten Punkte selbst mit Leben füllen.

Interessant ist hierbei die Rechtsgrundlage:

Für eine zutreffende Information der Rechtsgrundlage stehen nur die in Art. 6 DSGVO genannten Fälle, in denen eine Datenverarbeitung zulässig ist, zur Verfügung. Aus diesem Katalog müssen die richtigen Gründe ausgewählt werden.

Dies könnte die Erfüllung einer gesetzlichen Verpflichtung nach Art. 6 (1) c) DSGVO sein. Weiter kann die Verarbeitung erforderlich sein, um lebenswichtige Interessen  des Betroffenen oder anderer Personen zu schützen Art. 6 (1) d) DSGVO.

Desweiteren wird man sagen können, dass eine solche Erfassung eine Wahrnehmung einer Aufgabe,  die im öffentlichen Interesse liegt, Art. 6 (1) e) DSGVO, sein könnte.

Bei einer Pandemie wird man hier sicher einen großzügigen Beurteilungsmaßstab anlegen können. Im sonstigen Alltag des Unternehmers sollte man sich jedoch davor hüten, ebenso großzügig zu sein.

Die Angabe einer tragfähigen Rechtsgrundlage aus dem Katalog der Gründe in Art 6. DSGVO ist essentiell.

Die Empfänger der Daten sind klar geregelt. Die Übermittlung erfolgt ausschließlich an die zuständigen Gesundheitsbehörden.

Auch der Zweck ist in der Bekanntmachung präzise vorgegeben: „Um eine Kontaktpersonenermittlung im Falle eines nachträglich identifizierten COVID-19-Falles unter Gästen oder Personal zu ermöglichen“ und zur „Auskunftserteilung auf Anforderung gegenüber den zuständigen Gesundheitsbehörden“

Die Dauer der Speicherung ist mit einem Monat angegeben.

Es zeigt sich somit, dass auch für den Gastronomiebetrieb in diesen Zeiten eine ausreichende Belehrung erforderlich wäre, auch der Gastrobetrieb muss somit entsprechend informieren.

In diesen besonderen Zeiten wird man sicherlich bei dieser ohnehin besonders gebeutelten Branche großzügig verfahren und bei solchen Verstößen ein Auge zudrücken.

Als Unternehmer sollte man allerdings seine eigenen Datenschutzinformationen nochmals kritisch hinterfragen und sich freuen, dass man sich beruhigt zurücklehnen und das Essen genießen kann.

EuGH-Urteil vom 01.10.2019 zu Cookies auf Webseiten

Ein Urteil des Europäischen Gerichtshofes zur Notwendigkeit von Einwilligungserklärungen bei der Nutzung von Cookies auf Webseiten, Az. C-673/17, hat vergangene Woche für Aufsehen gesorgt. Der EuGH hat sich insbesondere auch mit der Frage beschäftigt, wie diese Einwilligungserklärung auszugestalten ist.

Nach dem Urteil des EuGH muss der Nutzer einer Internetseite zumindest bei nicht notwendigen Cookies eine freie Einwilligungsentscheidung treffen dürfen.

Im entschiedenen Fall dienten die Cookies zur Sammlung von Daten für Werbezwecke. Die Cookies waren daher nicht für den Betrieb oder die Nutzung der Webseite zwingend notwendig.

Nach der Datenschutzgrundverordnung (DSGVO) ist für eine solche Datenerhebung eine Einwilligung notwendig, soweit kein anderer Rechtfertigungsgrund eingreift.

In diesem Fall hat der EuGH auch klargestellt, wie die Einwilligung erfolgen muss.

Die vom  Verantwortlichen verwendeten voreingestellten Ankreuzkästchen genügten hierzu nicht.

Vielmehr muss der Nutzer der Webseite das Ankreuzkästchen aktivieren,  damit eine wirksame Einwilligung vorliegt.

Werden keine „Ankreuzkästchen“ verwendet, so bedeutet dies, dass bei einem Weiterklicken des Cookiehinweises nicht automatisch die Cookies aktiviert werden dürfen, um die volle Funktionalität der Webseite nutzen zu können.

Willigt der Nutzer der Webseite nicht ein, so dürfen auch keine solchen nicht notwendigen Cookies verwendet werden.

Ein weiterer Aspekt kommt hinzu: Nach Auffassung des EuGH ist die Grenze für personenbezogene Daten sehr weit zu ziehen. Der Nutzer soll nämlich vor jedem Eingriff in seine Privatsphäre geschützt werden. Insbesondere soll er auch gegen die Gefahr geschützt werden, dass "Hidden Identifiers" oder ähnliche Instrumente mittelbar zu einer Identifizierung und damit zu einem Personenbezug führen. Das heißt, im Zweifel ist davon auszugehen, dass personenbezogene Daten vorliegen und die DSGVO anzuwenden ist.

 

Social Media Plug Ins und Anforderungen nach der DSGVO

Welche Anforderungen gelten an die Einbindung eines Like-Buttons von Facebook in die Internetseite nach der Datenschutzgrundverordnung? Inwieweit muss der Webseitenbetreiber seine Nutzer informieren und deren Einwilligung einholen?

Ein aktuelles Urteil des EuGH schafft Klarheit (Urteil des EuGH v. 29.07.2019, C-40/17).

Bei der Verwendung von Social Media Plug Ins, wie z.B. dem Facebook Like-Button, ist der Webseitenbetreiber für die Datenerhebung (auch) verantwortlich.

Damit diese Datenerhebung rechtmäßig ist, muss eine ausdrückliche Einwilligung durch den Nutzer erfolgen. Diese kann durch eine 2-Klick-Lösung realisiert werden.

D.h. die Daten dürfen nur dann an den Social-Media-Anbieter übermittelt werden, wenn der Nutzer die Funktion bewusst aktiviert hat.

Was nach dem Urteil nicht erlaubt ist: Wenn die Übermittlung von Daten an Facebook stattfindet, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerkes Facebook ist oder den "Gefällt mir"-Button angeklickt hat. Den meisten Nutzern dürfte gar nicht klar sein, dass auch personenbezogene Daten von ihnen an Facebook übermittelt werden, selbst wenn sie kein Konto dort haben und nur die Webseite aufrufen, auf der der Like-Button integriert ist. Zumindest IP-Adressen können bereits übermittelt werden, was ja als Erhebung und Weiterleitung personenbezogener Daten anerkannt ist.

Sollten Sie auf Ihrer Internetseite das Facebook Plug-in nutzen, so sollte kontrolliert werden, ob tatsächlich eine 2-Klick-Lösung implementiert ist. Selbstverständlich ist der Nutzer auch in der Datenschutzerklärung über die Datenerhebung zu informieren.

Für die weitere Verarbeitung der Daten durch den Social-Media-Anbieter ist dann jedoch auch dieser verantwortlich. Der deutsche Webseitenbetreiber hingegen gilt nur für die Erhebung und Weiterleitung der Daten als der Verantwortliche. Allerdings sind beide, sowohl der Anbieter als auch der Webseitenbetreiber, gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO, so der EuGH.

Wichtig ist auch noch, dass gemäß Art. 26 DSGVO zwischen dem Webseitenbetreiber und dem genutzten Dienst eine Vereinbarung vorgesehen ist. Dies ist bei Facebook gegeben, allerdings bei anderen Diensten nicht. Ist eine solche Vereinbarung nicht vorhanden, ist von der Einbindung eines solchen Dienstes abzuraten, da die Vorgaben der DSGVO nicht eingehalten werden können. Darüber hinaus muss der wesentliche Inhalt dieser Vereinbarung der betroffenen Person zur Verfügung gestellt werden [Art. 26 (2) Satz 2 DSGVO]. Es steht zu befürchten, dass diese Pflicht zumindest auch dem Webseitenbetreiber auferlegt wird. Ein kurzer Hinweis sollte daher in der Datenschutzerklärung hierzu zu finden sein.

 

Quo vadis, DSGVO?

Die Datenschutzgrundverordnung (DSGVO) ist nun mittlerweile seit fast einem Jahr in Kraft. Zeit, um ein erstes vorsichtiges Resümee zu ziehen.

Die Datenschutzaufsichtsbehörden haben bisher noch keine große Aktivität gegenüber kleineren Unternehmen an den Tag gelegt. Dies soll sich jedoch ändern.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Februar 2019 angekündigt, Unternehmenswebseiten zu überprüfen. Hierbei steht die Verwendung von Cookie-Bannern im Mittelpunkt.

Nach der Verlautbarung des BayLDA wird die „Alternativlosigkeit“ vieler Cookie-Banner als problematisch angesehen.

Bei der Umsetzung ist genau darauf zu achten, dass ohne Einwilligung nur in wenigen Ausnahmefällen das Setzen von Cookies erlaubt ist. Die Rechtsgrundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) steht immer unter dem Vorbehalt, dass nicht die Interessen des Betroffenen überwiegen.

Oft wird die notwendige Güterabwägung zwischen unternehmerischem Interesse auf der einen Seite und dem Interesse des Betroffenen auf der anderen Seite jedoch nicht vorgenommen und einfach pauschal von einer Berechtigung des unternehmerischen Interesses ausgegangen.  Vielfach ist dies jedoch nicht der Fall und es müsste eine explizite Einwilligung eingeholt werden.

Nach Ansicht des BayLDA muss in der Datenschutzerklärung belastbar begründet werden, warum die Interessen des Verantwortlichen die Interessen des Betroffenen überwiegen.

Eine solche Begründung dürfte strenggenommen meist nicht stichhaltig sein.

Allenfalls bei reinen Session-Cookies, die aus technischen Gründen notwendig sind, kann man dies annehmen.

Konsequenterweise ist somit nach der Auffassung des BayLDA (fast) immer eine Einwilligung erforderlich.

Somit sollte das Cookie erst gesetzt werden, wenn der Nutzer tatsächlich seine Einwilligung aktiv erteilt hat.

Gleiches gilt natürlich auch für Plug-Ins oder Skripte.

Besonders schwierig umzusetzen ist dies bei der Nutzung von Diensten wie Vimeo, Google-Fonts, Google Maps, Youtube und Facebook-Plug-ins.

Empfehlung: Bei der Überarbeitung einer Webseite sollte daher zukünftig darauf geachtet werden, dass Cookies, Plug-Ins oder Skripte erst gesetzt bzw. aktiviert werden, wenn eine Einwilligung erfolgt ist.

Die Datenschutzerklärung ist jeweils natürlich entsprechend anzupassen.

Bereitet Ihnen die DSGVO immer noch Kopfzerbrechen?

Vielen Unternehmern und Freiberuflern ist erst kurz vor dem Stichtag 25.05.2018 bewusst geworden, welch tiefgreifende Umstellungen das neue Datenschutzrecht (DSGVO) mit sich bringt.  

So waren nicht nur umfangreiche Änderungen bei Online-Shops und Websites nötig, auch betriebsintern galt es, Arbeitsabläufe im Hinblick auf den Schutz der Daten von Kunden und Mitarbeitern abzuklopfen. Beim Kundenkontakt mit Datenerhebung müssen z.B. auch Informationspflichten erfüllt werden, meist muss ein Verfahrensverzeichnis („Verzeichnis der Verarbeitungstätigkeiten“) zum Umgang mit personenbezogenen Daten geführt werden, dessen Angaben nach dem Erwägungsgrund des Art. 82 DSGVO so detailliert sein müssen, dass die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse von der Aufsichtsbehörde („am Schreibtisch“) kontrolliert werden können.

Die betriebsinternen Abläufe müssen also durchleuchtet und in eine dokumentierte Form gebracht werden, die den gesetzlichen Vorgaben entspricht. Oft wird dem Unternehmer hier erst klar, dass es einen strukturierten und kontrollierten Umgang mit personenbezogenen Daten in seinem Unternehmen noch gar nicht gibt.

Ich bin Ihr erfahrener Ansprechpartner in Sachen Umsetzung der DSGVO und helfe Ihnen auch, wenn es bereits deswegen zu Konflikten mit Wettbewerbern oder Behörden kam.

Auftragsverarbeiter- weitere Auftragsverarbeiter - Auftragsverarbeiterergebnisse- diese Begriffe sind Ihnen unbekannt? Dann wird’s aber Zeit, dass Sie sich mit ihnen beschäftigen:

Zum 25. Mai 2018 ist das neue Bundesdatenschutzgesetz (BDSG) mitsamt der Datenschutzgrundverordnung (DS-GVO) in Kraft getreten, und beinahe jedes Unternehmen, das Daten natürlicher Personen verarbeitet, muss entsprechende organisatorische Maßnahmen treffen, um die hohen Datenschutzanforderungen zu erfüllen. Es können sonst Bußgelder im zweistelligen Millionenbereich fällig werden.

Alle Unternehmen, die Softwaredienstleistungen für andere Unternehmen anbieten und infolgedessen mit personenbezogenen Daten umgehen müssen, sollten sich zudem mithilfe eines Vertrages zur Auftragsverarbeitung gegen ausufernde Kosten infolge der Umorganisation absichern. In so einem Vertrag werden die Pflichten von Auftragnehmer („Auftragsverarbeiter“) und Auftraggeber klar definiert und es kann festgelegt werden, wer die Kosten für welche Zusatzleistung, die infolge des Datenschutzes zu erbringen ist, zu tragen hat.

Achtung bei Verkauf eines Onlineshops: Bußgeld wegen Datenschutzverletzung droht.

Werden bei Verkauf eines Onlineshops auch die Kundendaten an den Erwerber veräußert, geht das Bayerische Landesamt für Datenschutz (BayLDA) davon aus, dass dies eine Datenübermittlung im Sinne des § 3 Abs. 4 Nummer 3 BDSG darstellt.

In einem solchen Fall, in dem keine Zustimmung der Kunden vorlag, wurde durch das Bayerische Landesamt für Datenschutz gegenüber dem Verkäufer und auch dem Erwerber Bußgeld in fünfstelliger Höhe festgesetzt.

Empfehlung: Bei einem Verkauf eines Onlineshops oder eines anderen Unternehmens sollte für die Übermittlung der Daten die Einwilligung der Kunden eingeholt oder  zumindest ein Widerspruchsrecht eingeräumt werden, was vom BayLDA als zulässig angesehen wird.

 

Man sieht: Auch die Übertragung des selbst-erworbenen Kundenstamms ist nicht ohne weiteres möglich.

Neues Urteil: Facebook-"Gefällt mir"-Button führt zur Abmahnung

Die Verbraucherzentrale NRW hat verschiedene Unternehmen wegen Verwendung des Facebook-"Gefällt mir"-Buttons abgemahnt und Unterlassungsansprüche gerichtlich durchgesetzt.

Die Verwendung dieses "Gefällt mir"-Buttons auf einer Unternehmenswebseite führt dazu, dass Cookies bei dem Webseitenbesucher gesetzt werden und die IP-Adresse gespeichert wird.

Nach Ansicht des Landgerichts Düsseldorf hätten die Website -Betreiber hierüber belehren und eine Einwilligung einholen müssen.

Begründet wird dies auch damit, dass die IP-Adresse bei einer späteren Anmeldung bei Facebook somit Rückschlüsse auf das Surfverhalten des dann bekannten Nutzers zulässt.

Die Verbraucherschützer lassen sich nun feiern, da sie den Datenschutz gestärkt hätten.

Das Urteil des Landgerichts ist jedoch fragwürdig. Personenbezogene Daten liegen nämlich nur vor, wenn auch Rückschlüsse auf die Person möglich sind. Der Unternehmer, der lediglich den Facebook-Button einbindet, hat jedoch keinen eigenen Zugriff auf die Daten des Facebook-Cookies und Facebook  wird ihm auch keine Rückmeldung über einen zukünftigen Facebook-Nutzer geben. 

Für den Webseitenbetreiber stellen diese Daten somit gerade keine personenbezogenen Daten dar.

Meldet sich allerdings der Seitenbesucher bei Facebook an, so akzeptiert er deren Bedingungen. Personenbezogene Daten liegen daher bei Facebook vor.

Es wäre daher also eher Aufgabe der Verbraucherzentralen, die Vertragsbedingungen von Facebook gerichtlich überprüfen zu lassen. Aber stattdessen geht man lieber gegen Unternehmen vor, die lediglich der Vorliebe ihrer Kunden für Social Media  gerecht werden wollen.

 

Empfehlung: Der „Gefällt mir"-Button muss daher gelöscht werden. Alternativ kann eine Umgehungslösung installiert werden, die keine Cookies verwendet oder es kann eine entsprechende Belehrung erfolgen und eine Einwilligung eingeholt werden. Beide Alternativen erhöhen allerdings den Aufwand für den Webseitenbetreiber.

Dashcam-Aufzeichnungen im Straßenverkehrsprozess doch zulässig!

AG Nürnberg, Urteil vom 08.05.2015 - 18 C 8938/14, jetzt erst veröffentlicht.

 

Die Rechtslage zur Nutzung von Dashcams ist umstritten. Eine eindeutige gesetzliche Regelung fehlt. In einem jüngst veröffentlichten Urteil des AG Nürnberg wird die Verwendung von Aufzeichnungen in einem Zivilprozess für zulässig erachtet.

Ein Verstoß gegen § 6b Abs. 1 Nr. 3 BDSG liegt nicht vor. Diese Regelung zur Videoüberwachung bezieht sich nach der Erwägung des Gerichts nach seinem Wortlaut nur auf die Überwachung öffentlicher Flächen durch stationäre Anlagen. Somit gilt dies nicht für eine Aufzeichnung aus einem Fahrzeug heraus.

Auch liegt ein berechtigtes Interesse nach § 6 b Abs. 1 Nr. 3 BDSG in der Beschaffung von Beweisen für einen wirksamen Individualrechtsschutz

Aber selbst, wenn ein Gericht dies anders bewerten sollte und damit ein Verstoß gegen § 6 b BDSG gegeben wäre, so führt dies nicht zu einem Beweisverwertungsverbot im Zivilverfahren. Das BDSG enthält eben kein Beweisverwertungsverbot.

Auch durch das Recht am eigenen Bild (§ 22 S. 1 KunstUG) kann der Täter die Verwertung von Aufzeichnungen vor Gericht nicht verhindern.

§ 22 KunstUG schützt nur vor der unzulässigen Verbreitung oder öffentlichen Zurschaustellung. Die Herstellung solcher Abbildungen ist hierdurch nicht verboten.

§ 24 KunstUG lässt ausdrücklich die Zurschaustellung zum Zwecke der Rechtspflege, also  z.B. die Verwendung im Rahmen eines Gerichtsprozesses, zu.

 

Insgesamt stellt die Bewertung des Gerichts ein praxisnahes Urteil dar. Man kann man daher davon ausgehen, dass eine z.B. auf die Dauer der Fahrt begrenzte Aufzeichnung zulässig ist. Ereignet sich ein Unfall und hat der Geschädigte keine andere Möglichkeit, Beweis vorzulegen, so darf die Aufzeichnung auch aufbewahrt und im Gerichtsprozess verwendet werden.

 

Einigkeit besteht, dass eine Veröffentlichung im Internet oder die Weitergabe an die Polizeibehörden aus Blockwartmentalität keine solche Rechtfertigung bieten und daher einen Verstoß gegen das Datenschutzgesetz darstellen (siehe auch VG Ansbach, Urt. v. 12.08.2014 - AN 4 K 13.01634).

Cloud Contracting - Datenschutz

EuGH kippt Safe Harbour-Modell!

Es drohen anlass- und verdachtsunabhängige Datenschutz-Prüfungen

Das Bayerische Landesamt für Datenschutzaufsicht hat im Sommer 2013 begonnen, bei zufällig stichprobenartig ausgewählten Unternehmen eine schriftliche Prüfungsaktion durchzuführen.

 

Erfahren Sie mehr hierzu und beachten Sie die Checkliste!

 

Wichtige Rechsprechungsänderung!

Das Fehlen einer Datenschutzerklärung ist wettbewerbswidrig.

Urteil des OLG Hamburg v. 27.6.2013, 3 U 26/12.

Datenschutz / Datenschutzrecht

Datenschutz rückt in den Kernbereich der unternehmerischen Sorgfaltspflicht.

Bis vor nicht allzu langer Zeit wurde dem Datenschutz relativ wenig Bedeutung zugemessen. Bedeutsam war vor allem  der Arbeitnehmerdatenschutz in den Betrieben. Datenschutz bei der Nutzung von personenbezogenen Daten zu Geschäftszwecken und zur Werbung wurde von vielen Unternehmen nur unzureichend beachtet.

Zwar sind Verstöße mit hohen Bußgeldern bedroht, allerdings war die Gefahr der Entdeckung zumindest bei kleineren Unternehmen bislang gering.

Es ist jedoch zu erwarten, dass sich dies zukünftig ändert. Einerseits verstärkt sich die Sensibilität der Aufsichtsbehörden, andererseits dürfte auch der zunehmende Wettbewerb für eine Kontrolle des Datenschutzes sorgen.

Nachdem Teile der Rechtsprechung mittlerweile Datenschutzverstöße  auch als Wettbewerbsverstöße ansehen, ist damit zu rechnen, dass zunehmend die Einhaltung der Regeln des Datenschutzes in den Focus von wettbewerblichen Auseinandersetzungen gerät.

So ist nach einem Urteil des OLG Köln v. 19.11.2010, Az. 6 U 73/10, die Verwendung der Kenntnis, zu welchem neuen Vertragspartner der Kunde gewechselt ist, ein Datenschutzverstoß und als wettbewerbswidrig zu unterlassen.

Dem Unternehmer drohen bei solchen Verstößen daher Abmahnungen und kostenträchtige Auseinandersetzungen. Darüber hinaus besteht auch noch die Gefahr der Verhängung von Bußgeldern.

Sorgen Sie daher als Unternehmer vor und gestalten Sie auch Ihre Werbemaßnahmen datenschutzkonform.

Selbstverständlich unterstütze ich Sie auch bei sonstigen juristischen Fragen des Datenschutzes.

Schützen Sie Ihre Daten!