1. Umstellen auf neue EU-Standardverträge zum Datentransfer bis zum 27. Dezember 2022, UK-Angemessenheitsbeschluss und mehr
von Dr. Andreas Splittgerber und Christian Leuthner
Es gibt einige Neuigkeiten im Bereich Datentransfers. Hier in aller Kürze:
(i) Die EU-Kommission hat neue EU-Standardverträge (4 Module – Controller/Processor, Controller/Controller, Processor/Processor, Processor/Controller) beschlossen. Diese müssen bei internationalen Datentransfers für Neuverträge ab dem 27. September 2021 verwendet werden. Alle Altverträge müssen bis zum 27. Dezember 2022 auf die neuen EU-Standardverträge umgestellt werden. Mehr dazu auf unserem Blog.
(ii) Das Vereinigte Königreich hat zumindest bis 2025 ein angemessenes Datenschutzniveau. Es ist damit datenschutzrechtlich fast wie ein EU-Mitgliedsstaat zu behandeln. Mehr dazu auf unserem Blog.
(iii) Der Europäische Datenschutzausschuss hat die finale Fassung seiner Leitlinien für Supplementary Measures bei internationalen Datentransfers veröffentlicht. Unternehmen müssen neben dem Datentransfermechanismus (oben (i)) einen 6-Stufentest durchführen und dokumentieren, um festzustellen, ob/dass die Gesetze im Empfängerland dem Datentransfermechanismus nicht widersprechen. Dies ist Ausfluss der Schrems II-Entscheidung. Mehr dazu auf unserem Blog.
(iv) Die EU-Kommission hat ein Muster für innereuropäische Auftragsverarbeitungsverträge beschlossen. Dieses Muster kann, muss aber nicht von Unternehmen verwendet werden.
Fazit: Alle Unternehmen, die international tätig sind, müssen in den nächsten Monaten ihre internationalen Datentransfers prüfen und aktualisieren. Hören Sie unseren Podcast dazu. Reed Smith hat auch ein „Data Transfer Assessment Tool“ entwickelt, das Unternehmen hierbei unterstützt. Kontaktieren Sie uns!
2. LAG Baden-Württemberg: Kein Schadensersatzanspruch wegen Datenübermittlung in die USA auf Grundlage der Standardverträge
von Dr. Philipp Süss, LL.M. und Dr. Alexander Hardinghaus, LL.M.
Mit Urteil vom 25. Februar 2021 (Az.: 17 Sa 37/20) entschied das LAG Baden-Württemberg, dass ein Arbeitnehmer wegen Datenverarbeitungen durch die Konzernmutter in den USA vom verantwortlichen Arbeitgeber im konkreten Fall keinen Schadensersatz gemäß Artikel 82 Abs. 1, 2 DSGVO verlangen könne. Die Gefahr des Missbrauchs der Daten durch Ermittlungsbehörden in den USA oder andere Konzerngesellschaften komme zwar für die Begründung eines immateriellen Schadens des Arbeitnehmers grundsätzlich in Betracht. Erforderlich sei allerdings, dass der Schaden „wegen eines Verstoßes“ gegen die DSGVO entstanden sei (Kausalität).
Fazit: Die Entscheidung zeigt, dass die Einhaltung der allgemeinen datenschutzrechtlichen Rechenschaftsplicht ein wirksames Mittel zur Verteidigung gegen Schadensersatzansprüche auf Grundlage des Artikels 82 DSGVO darstellen kann.
3. BGH: Umfang des Auskunftsrechts aus Art. 15 DSGVO
von Sven Schonhofen, LL.M.
Der BGH hat mit Urteil vom 15. Juni 2021 (Az.: VI ZR 576/19) den Umfang des Auskunftsanspruchs des Art. 15 DSGVO definiert. Hierzu könne auch die Korrespondenz zwischen Betroffenem und Verantwortlichem gehören. Der Anspruch sei nicht dadurch ausgeschlossen, dass die Korrespondenz dem Betroffenen bereits bekannt sei. Auch interne Vermerke oder Kommunikation, die Informationen über den Betroffenen enthalten (z.B. über Äußerungen des Betroffenen in Gesprächen), können unter den Auskunftsanspruch fallen. Es sei unbeachtlich, dass es sich bei den Vermerken nur um interne Vorgänge des Verantwortlichen handele.
Fazit: Der BGH legt den Auskunftsanspruch sehr weit aus. Verantwortliche müssen nach diesem Grundsatzurteil sehr umfangreich Auskunft erteilen – auch über interne Vermerke oder dem Betroffenen bereits bekannte Vorgänge.
4. EuGH-Generalanwalt: Inbox-Werbung bei Free-Mail Diensten künftig nur noch mit Einwilligung zulässig?
von Caroline Walz
Nach Auffassung des EuGH-Generalanwalts (Schlussanträge vom 24. Juni 2021 in der Rechtssache C-102/20) sei Inbox-Werbung bei kostenlosen E-Mail-Anbietern nur nach Einwilligung des Empfängers zulässig. Der BGH legte dem EuGH die Frage vor, ob es sich bei Inbox-Werbung, die im privaten Postfach des Empfängers gelistet wird, mit „Anzeige“ gekennzeichnet und weder weitergeleitet noch beantwortet werden kann, um eine Direktwerbung per elektronischer Post im Sinne des Art. 13 Abs. 1 RL 2002/58/EG handele. Der EuGH-Generalanwalt bejaht diese Frage und begründet dies damit, dass die Anzeige auf derselben Ebene direkt im privaten Postfach wie eine E-Mail erscheine und es sich daher um Werbung per E-Mail handele.
Fazit: Wie der EuGH in diesem Fall entscheiden wird, bleibt abzuwarten. Folgt er jedoch der Ansicht des EuGH-Generalanwalts, fällt die Inbox-Werbung in den Anwendungsbereich des Art. 13 Abs. 1 RL 2002/58/EG und damit des § 7 (2) Nr. 3 UWG. Demnach wäre Inbox-Werbung bei E-Mail- Diensten nur nach vorheriger Einwilligung zulässig.
5. Filesharing auf Tauschbörsen - Stärkung der Urheberrechte durch EuGH
von Irmela Dölle
Der EuGH hat in seinem Urteil vom 17. Juni 2021 (Az.: C-597/19) zum Filesharing auf Tauschbörsen u.a. entschieden, dass (1) zum Zwecke einer Schadensersatzklage eine systematische Speicherung von IP-Adressen durch Inhaber von Rechten des geistigen Eigentums oder von ihnen beauftragten Dritten unter bestimmten Voraussetzungen zulässig ist und (2) eine Datenübermittlung der Namen und Anschriften solcher Filesharing-Teilnehmer durch Provider an Rechtsinhaber erfolgen kann. Dabei muss aber insbesondere der Auskunftsantrag solcher Rechtsinhaber nicht missbräuchlich, gerechtfertigt und verhältnismäßig sein.
Fazit: Der EuGH hat (wieder einmal) die Positionen von Inhabern von Rechten des geistigen Eigentums gestärkt, indem er klargestellt hat, dass diesen grundsätzlich die im Unionsrecht vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe zustehen sollen. Solchen Rechtsinhabern ist es auch erlaubt, IP-Adressen von Nutzern von Peer-to-Peer-Netzen systematisch zu speichern (vorgelagerte Datenverarbeitung) und an den Rechtsinhaber oder an einen Dritten im Hinblick auf eine Schadensersatzklage zu übermitteln (nachgelagerte Datenverarbeitung). Der Anbieter eines Internet-Anschlusses darf also IP-Adresse speichern und diese bei entsprechenden Urheberrechtsverletzungen an den betroffenen Dritten übermitteln.
6. OGH: Statistische Wahrscheinlichkeit als personenbezogene Daten?
von Dr. Thomas Fischl
Eine spannende Entscheidung aus Österreich: In seiner Entscheidung vom 18. Februar 2021 (Az.: 6Ob127/20z), setzte sich der OGH in Österreich mit der Frage auseinander, ob und unter welchen Umständen Informationen zu bestimmten Affinitäten von Personen, die über statistische Wahrscheinlichkeiten errechnet werden, als personenbezogene Daten nach der DSGVO gewertet werden können. Unter anderem hatte die beklagte Partei Daten zur Bioaffinität, Investment- und Distanzhandelsaffinität des Klägers gespeichert. Die Affinitäten wurden dem Kläger im Wege eines Marketings-Analyseverfahrens zugeordnet.
Fazit: „Affinitäten“ können als personenbezogene Daten zu qualifizieren sein, wenn sie direkt einer Person zugeordnet sind und Aussagen enthalten etwa über Vorlieben und Einstellungen. Ob die Einschätzungen tatsächlich unzutreffend sind, ändert daran nichts.
7. OLG Frankfurt: Deutsches Website-Impressum eines U.S.-amerikanisches Unternehmens
von Ramona Kimmich
Das OLG Frankfurt hat mit Urteil vom 18. Februar 2021 (Az.: 6 U 150/19) entschieden, dass es für das Impressum der deutschen Website eines Unternehmens mit U.S.-amerikanischer Rechtsform (wie einer LLC) ausreichend sei, wenn der Name des Vertretungsberechtigten unter „CEO“ angegeben wird. Für die Niederlassungsangabe reiche es aus, eine Anschrift anzugeben, unter der lediglich ein Briefkasten erreichbar ist. Die Abkürzung „CEO“ für den Chief Executive Officer sei hinreichend bekannt und die Angabe des physischen Geschäftssitzes nicht erforderlich, da die Impressumsangaben nur die Kontaktaufnahme ermöglichen sollen.
Fazit: Website-Betreiber sollten ihr Impressum übersichtlich gestalten und müssen alle Pflichtangaben gemäß § 5 TMG nennen. Bei der Gestaltung der Impressumsangaben müssen sie nicht in allen Fällen die im Gesetz genannten Begriffe verwenden.
Lesehinweise zum IT- und Datenschutzrecht
von Sven Schonhofen, LL.M.
- Europäischer Datenschutzausschuss
- Empfehlungen zum Konzept des Verantwortlichen und Auftragsverarbeiters
- Empfehlungen zu genehmigten Verhaltensregeln als Datentransfermechanismus – mehr auf unserem Blog
- Empfehlungen zu Sprachassistenten
- Gemeinsame Stellungnahme des Europäischen Datenschutzausschuss und des Europäischen Datenschutzbeauftragten zum Entwurf der EU-Verordnung zu Künstlicher
- Intelligenz – mehr auf unserem Blog
- Datenschutzkonferenz: Orientierungshilfe zu Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail
- Ergebnisse der länderübergreifenden Prüfung zu Cookie-Einwilligungen auf Webseiten von Medienunternehmen
- Wann sind Reichweitenmessungs-Cookies zwingend notwendige Cookies? Mehr auf unserem Blog
- Tätigkeitsberichte der deutschen Datenschutzbehörden:
- Handlungsempfehlungen bei Ransomware-Angriffen – mehr auf unserem Blog
- Update zu Hate Speech Gesetzen in der EU – mehr auf unserem Blog
- Gesetz zum autonomen Fahren