Verstöße gegen die Datenschutzgrundverordnung sind auch Verstöße gegen das Wettbewerbsrecht

Das Landgericht Würzburg hat in einem Beschluss vom 13.09.2018 zu Az. 11 O 1741/18 festgestellt, dass das Bereithalten einer unverschlüsselten Website ohne ausreichende Datenschutzerklärung einen Verstoß gegen die Datenschutzgrundverordnung darstellt und auch wettbewerbsrechtliche Ansprüche aufgrund der §§ 3a, 8 ff UWG auslöst.

 

Im vorliegenden Fall hatte eine Rechtsanwältin in ihre Website keine den neuen Vorgaben der DSGVO entsprechende aktualisierte Datenschutzerklärung aufgenommen. Vor diesem Hintergrund wurde sie von einem anderen Rechtsanwalt abgemahnt und auf Unterlassung in Anspruch genommen. Das Landgericht Würzburg hat einen entsprechenden Beschluss gefasst.

 

Grundsätzlich ist die Anwendbarkeit des § 3a UWG auf Verstöße gegen die Datenschutzgrundverordnung umstritten. So lehnte noch das Landgericht Bochum am 07.08.2018 in einem Urteil zu Az. 12 O 85/18 die Anwendung des wettbewerbsrechtlichen Lauterkeitsrechts auf die DSGVO ab.

 

In der Praxis bedeutet dies jedoch, dass es weiterhin geboten ist, auf die zeitnahe Umsetzung der „neuen“ Anforderungen der Datenschutzgrundverordnung zu reagieren und sämtliche Bereiche des Geschäftsbetriebes dahingehend zu überprüfen und gegebenenfalls anzupassen.

 

Gerne stehen wir Ihnen hier beratend zur Seite.

Die Datenschutzgrundverordnung – was ist zu tun?

Zum 25.05.2018 sind die Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) in Kraft getreten.

Die DSGVO gilt als EU-Recht unmittelbar in allen Mitgliedsstaaten. Sie dient dem Schutz natürlicher Personen bei der Verarbeitung von deren personenbezogenen Daten, wie z.B. Name, Adresse, Bankdaten, Gesundheitsdaten.

 

Brisanz erfährt das neue Datenschutzrecht dadurch, dass bei Verstößen erhebliche Geldbußen vorgesehen sind. Zudem können sich betroffene Personen bei den Datenschutzaufsichtsbehörden beschweren. Schließlich wird vor Abmahnanwälten gewarnt, die gezielt nach Unternehmen Ausschau halten, die ihre Pflichten nicht erfüllen.

 

Die zentrale Frage ist nun, ob Sie bzw. Ihr Unternehmen die Regelungen der DSGVO zu beachten haben/hat.

Keine Anwendung findet die DSGVO, wenn natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit, personenbezogene Daten verarbeiten (z.B. Einladungen zur Geburtstagsfeier im Freundes-/Familienkreis). Anders verhält es sich schon, wenn Sie als Einzelperson z.B. eine Wohnung vermieten. In diesem Fall verarbeiten Sie die personenbezogenen Daten Ihres Mieters. Auf den Umfang der Vermietung kommt es nach aktueller Auffassung nicht an, so dass die DSGVO schon bei der Vermietung nur einer Wohnung greift. Sind Sie Inhaber eines Unternehmens und bieten Waren und/oder Dienst-/Werkleistungen an, verarbeiten Sie z.B. regelmäßig personenbezogene (Kunden-)Daten und müssen die Verpflichtungen der DSGVO erfüllen.

 

Sie sehen: Firmen, Institutionen, aber auch Einzelpersonen müssen sich auf die DSGVO einstellen.

 

Datenschutz ist kein Thema, dass sich von einem auf den anderen Tag umsetzen lässt. Zuallererst geht es darum, den Auftritt nach außen datenschutzkonform zu gestalten, um nicht angreifbar zu sein. Insbesondere sind die nachfolgenden Fragen zu klären:

 

  • Erfüllt die Datenschutzerklärung auf Ihrer Website die Anforderungen der DSGVO?

Es ist zu ermitteln, welche Datenverarbeitungsprozesse auf der Website stattfinden. Das fängt an bei der Erfassung der IP-Adresse des Besuchers der Website, geht über den Einsatz von z.B Cookies und Analysetools bis hin zur Bestellmöglichkeit von Newslettern oder der Verwendung von Social-Media-Plugins. Über die Datenverarbeitungsprozesse ist in der Datenschutzerklärung auf der Website zu informieren.

 

  • Benötigen Sie einen Datenschutzbeauftragten?

Sind mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist ein Datenschutzbeauftragter zu bestellen und der Aufsichtsschutzbehörde anzuzeigen. Für die Zehn-Personen-Regel ist die Zahl der Köpfe, nicht die Zahl der Stellen maßgeblich.

 

  •  Erfüllen Sie die Informationspflichten nach der DSGVO?

Nicht nur Ihre Kunden, Lieferanten etc. sind über die Datenverarbeitung zu informieren. Auch gegenüber Ihren Mitarbeitern besteht diese Verpflichtung.

 

Mit den genannten Themen, die das Erscheinungsbild nach außen betreffen, erschöpft sich der Datenschutz nicht. Weitere Aufgaben auf dem Weg zur Einhaltung der DSGVO sind anzugehen, wie zum Beispiel:

 

  • Umfangreiche Dokumentationspflichten:

Alle Verarbeitungstätigkeiten mit personenbezogenen Daten sind in einem Verarbeitungsverzeichnis zu erfassen.

 

  • Einrichtung sogenannter TOMs

Zur Sicherheit der verarbeiteten Personendaten sind technische und organisatorische Maßnahmen (TOMs) zu ergreifen und zu dokumentieren (Verschlüsselung, Backups, Zugangsberechtigung, Passwörter).

 

  • Auftragsdatenverarbeitung

Zu prüfen ist, ob Auftragsverarbeiter eingeschaltet sind (z.B. IT-Wartung, Cloud-Computing) und ggf. sind entsprechende Auftragsdatenverarbeitungsverträge abzuschließen.

 

  • Wie ist mit Datenschutzverletzungen umzugehen?

 

Die Umsetzung der DSGVO und das BDSG stellt jedes Unternehmen, jede Institution und jede Einzelperson vor eine Herausforderung. Gleichwohl müssen sich die Verantwortlichen mit den Anforderungen der DSGVO vertraut machen, die Datenverarbeitungsvorgänge auf ihre Vereinbarkeit mit der DSGVO überprüfen und dann an die neuen Regelungen anpassen.  

 

Bei der Umsetzung der neuen gesetzlichen Anforderungen beraten wir Sie selbstverständlich gerne.