Probleme beim Einloggen

Patent- und Urheberrecht & Marken- und Wettbewerbsrecht

Recht Patentrecht Urheberrecht Medienrecht Markenrecht Cybermobbing Datenschutzrecht Designrecht Abmahnung Internetrecht Werbung IP UWG

Rolf Diekmann DSGVO und Logistik: Sind Spediteure und Transportunternehmen Auftragsverarbeiter?
Auftragsverarbeitung setzt eine schriftliche vertragliche Regelung voraus (Art. 28 Abs. 3 DSGVO, https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE). Zur Einordnung von Transportunternehmen hat sich noch keine klare Meinung herausgebildet, was die Branche vor Probleme stellen kann.
Art. 4 Nr. 8 DSGVO bietet keine Definition des Auftrags. Aus allgemeinen Grundsätzen ergibt sich aber das Element der Weisungsunterworfenheit. Der Verantwortliche ist Herr der Daten, der Auftragsverarbeiter hat sie in seinem Machtbereich, darf sie aber jedoch nur dem Willen des Verantwortlichen gemäß als seine "Marionette" verarbeiten und verfolgt keine eigenen Zwecke, vom finanziellen abgesehen (BeckOK DatenschutzR/Spoerr, 24. Edition Stand: 01.05.2018, DS-GVO Art. 28 Rn. 18; Martini in: Paal/Pauly, Datenschutz-Grundverordnung, 2017, Art. 28 Rn. 2).
Zur Konkretisierung kann auf die Stellungnahme 1/2010 der Artikel 29-Datenschutzgruppe zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsdatenverarbeiter“, WP 169, 16.2.2010 zurückgegriffen werden. Zitat aus S. 31:
„Das wichtigste Kriterium ist, dass der Auftragsverarbeiter „im Auftrag des für die Verarbeitung Verantwortlichen“ handeln muss. Im Auftrag eines anderen zu handeln bedeutet, in dessen Interesse zu handeln, und erinnert an die Rechtsfigur der Aufgabenübertragung „Delegation“). Im Kontext des Datenschutzrechts ist es die Aufgabe eines Auftragsverarbeiters, die von dem für die Verarbeitung Verantwortlichen erteilten Weisungen zumindest hinsichtlich des Zwecks der Verarbeitung und der wesentlichen Elemente der Mittel zu befolgen.“
Ein weiteres Kriterium ist die Abwesenheit eigener Zweckverfolgung. Zitat aus WP 169 S. 18:
„Wenn ein Auftragnehmer einen Einfluss auf den Zweck hat und die Verarbeitung (auch) zu seinem eigenen Nutzen durchführt, beispielsweise durch die Verwendung der erhaltenen personenbezogenen Daten zur Erbringung von Mehrwertdiensten, ist er ein für die Verarbeitung Verantwortlicher (oder möglicherweise ein gemeinsam für die Verarbeitung Verantwortlicher) für eine andere Verarbeitungstätigkeit und unterliegt daher allen Verpflichtungen des anwendbaren Datenschutzrechts.“
Demnach ist der Lieferant, der im Streckengeschäft direkt an den Empfänger liefert, kein Auftragsverarbeiter, denn er verfolgt eigene Zwecke (Erfüllung des Liefervertrages). Transportunternehmen (Frachtführer, Spedition) sind dagegen nur mit der Zustellung von Waren beauftragt. Dies behandelt die WP 169, S. 31 im Lichte der Kriterien der Weisungsabhängigkeit und des Fehlens eigener Zweckwahrnehmung an dem Beispiel der Auslagerung von Postdienstleistungen:
"Private Organisationen erbringen Postdienstleistungen im Auftrag von (öffentlichen) Agenturen – z. B. Versendung von Familien- oder Mutterschaftszulagen im Auftrag der staatlichen Sozialversicherung. Eine Datenschutzbehörde vertrat die Auffassung, dass die betreffenden privaten Organisationen in diesem Fall zu Auftragsverarbeitern erklärt werden sollten, da ihre Aufgabe zwar mit einem gewissen Grad an Autonomie durchgeführt wird, sich aber auf nur einen Teil der Verarbeitungen beschränkt, die für die Zwecke erforderlich sind, die der für die Verarbeitung Verantwortliche festgelegt hat.“
Die trotz eines erheblichen Grades von Weisungsfreiheit von „einer Datenschutzbehörde“ befürwortete Einstufung als Auftragsverarbeiter wird aus der engen Begrenzung der Verarbeitung und der Bindung an einen genau definierten Zweck hergeleitet. Dies ist bei Transportunternehmen im Bereich des Warentransports nicht der Fall, denn deren Verantwortung umfasst den gesamten Prozess des Versands, nicht lediglich einen Teilbereich und setzt größere Weisungsfreiheit voraus.
Das entspricht der Auffassung, die von der Datenschutzkonferenz laut „Kurzpapier“ Nr. 13 (https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Kurzpapier_Auftrag.pdf?__blob=publicationFile&v=3):
„Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die ... sind beispielsweise in der Regel die Einbeziehung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer), Inkassobüros mit Forderungsübertragung, Bankinstituts für den Geldtransfer, Postdienstes für den Brieftransport“
Was für den Postdienst gilt, muss mindestens auch für sonstige Transportunternehmen gelten. Beide entscheiden als Fachunternehmen eigenständig und im Eigeninteresse über die Art und Weise der Datenverarbeitung.
Weitere Kriterien, die für eine Auftragsverarbeitung sprechen, zählt WP 169, S. 34 auf:
o die Ausführlichkeit der von dem für die Verarbeitung Verantwortlichen erteilten Weisungen, die den Handlungsspielraum bestimmt, der dem Auftragsverarbeiter bleibt;
o die Überwachung der Erbringung der Dienstleistung durch den für die Verarbeitung Verantwortlichen. Eine permanente sorgfältige Beaufsichtigung durch den für die Verarbeitung Verantwortlichen, mit der sichergestellt werden soll, dass der Auftragsverarbeiter die Weisungen und Vertragsbedingungen genau
beachtet, lässt darauf schließen, dass der für die Verarbeitung Verantwortliche noch die vollständige und alleinige Kontrolle über die Verarbeitungsvorgänge ausübt;
o den Eindruck, den der für die Verarbeitung Verantwortliche den betroffenen Personen vermittelt, und die hieraus resultierenden Erwartungen der betroffenen Personen.
Das alles gilt für Transportunternehmen nicht, die als Fachunternehmen ein Gewerbe mit qualifiziertem know how im eigenen Namen ausüben.
Ergebnis:
Transportunternehmen sind keine Auftragsverarbeiter, sondern führen eigenständige Leistungen mit eigener Zwecksetzung und ohne fachliche Weisungsunterworfenheit aus. Das Tranportunternehmen ist also selbst Verantwortlicher i.S. des Art. 4 Nr. 7 DSGVO und hat daher die Anforderungen der DSGVO eigenständig zu erfüllen.
Andreas Rodemann
Ein weiterer Kommentar
Letzter Kommentar:
Rolf Diekmann
Sprachlich wäre das sicher klarer, aber Art. 4 Nr. 8 und 28 DSGVO sprechen vom "Auftragsverarbeiter". So spart die EU-Kommission einige Buchstaben und in Summe sicherlich Tonnen von Papier beim Ausdrucken der DSGVO.
Bernd Preiß OLG Frankfurt a.M. zum Recht auf „Vergessenwerden“
Recht auf Vergessenwerden
Trefferlisten aus Suchmaschinen prägen das Internet. Nicht selten berühren diese aber sensible Interessen einzelner Personen. Über den Interessenausgleich zwischen dem Suchmaschinenbetreiber Google und einer Einzelperson hatte kürzlich das Oberlandesgericht Frankfurt entschieden – dies bereits vor dem Hintergrund der DSGVO .. .
Rolf Diekmann DSGVO: sind auch Hobbyfilmer betroffen?
Fotos von Personen enthalten personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO, wenn physische Merkmale identifizierbar sind (s. EuGH, Urt. v. 11.12.2014 – C-212/13, NJW 2015, 463 – Rynea, Tz. 22).
Profis wissen um die Grauzone zwischen KUG und DSGVO. Derzeit herrscht die Meinung vor, dass das KUG Vorrang genießt. Dieses erfasst aber nur Verbreiten und Zurschaustellen von Fotos. Beim Anfertigen der Fotos kommt dagegen die Anwendung der DSGVO in Betracht. Die Frage ist, ob das auch für Hobbyfotografen und -filmer gilt.
Vom Anwendungsbereich der DSGVO bzw. des BDSG ist die Datenverarbeitung zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ausgenommen (Art. 2 Abs. 2 c DS-GVO, § 1 Abs. 1 S. 2 BDSG).
Zwei Entscheidungen verdeutlichen die Abgrenzung:
Dash-Cam
Die permanente und anlasslose Aufzeichnung des Verkehrsgeschehens mittels Dash-Cam dient auch der Sicherung von Beweismitteln, so dass es sich nicht mehr um nur persönliche Tätigkeiten handelt (BGH, Urteil vom 15.5.2018 – VI ZR 233/17, NJW 2018, 2883, Tz. 24). Mangels Einwilligung der gefilmten Personen (soweit erkennbar gemacht) kommt es dann darauf an, ob Artikel 6 Abs. 1 lit. f) DSGVO (Wahrung der berechtigten Interessen) eingreift. Der BGH hält nur kurzzeitige anlassbezogene Speicherung im Zusammenhang mit einem Unfallgeschehen für zulässig.
Fotografieren beim Nachbarschaftsstreit
Das Entgegenstrecken des Smartphones in Fotografier- bzw. Filmhaltung ist als Mittel der Einschüchterung äußerst beliebt. Das OLG Dresden (Urteil vom 31. Juli 2018 – 4 U 381/18) hatte zu entscheiden, ob dem Nachbarn gegen die Nachbarin Unterlassungsansprüche wegen Persönlichkeitsrechtsverletzung zustehen, die ihm bei einer Konfrontation am Gartenzaun ein Handy vor die Nase gehalten und den Eindruck erweckt hatte, sie habe ihn fotografiert. Ob tatsächlich fotografiert wurde, blieb ungeklärt und darum lehnte das OLG Unterlassungsansprüche ab. Wenn aber fotografiert worden wäre, hätte dann die DSGVO gegolten? Es kommt wie auch bei der Dash-Cam auf die Motive des Fotografierenden an. Soll das Foto Beweiszwecken im Nachbarschaftsprozess dienen, gilt die DSGVO. Soll das Foto den Nachbarn nur einschüchtern, nerven und in Rage bringen, so handelt es sich um persönliche Motive und die DSGVO gilt nicht. Aber vorsicht! Wenn das Bedrängen mit dem Handy beharrlich wird, kommt leicht der Stalking-Paragraph ins Spiel (§ 238b StGB).
Aber auch, wer über Youtube, Instagram oder Facebook Geld verdienen will, muss schon vor dem "Schuss" eine Einwilligung einholen.
Fazit:
Die DSGVO kann auch den Privatknipser treffen. Ein breites Feld für richterliche Motivforschung.
Rolf Diekmann Haftet der Geschäftsführer einer GmbH persönlich für DSGVO-Verstöße und was kann er dagegen tun?
Mancher Geschäftsführer hat zu Recht Angst vor den Horror-Rechtsfolgen der DSGVO. Bei jeder Rechtsverletzung droht gemäß Artikel 82 DSGVO immaterieller Schadensersatz, also eine Art Schmerzensgeld mit explizitem Abschreckungscharakter. Je höher, desto besser. Und Art. 83 DSGVO (Abs. 4, 5) droht Geldbußen von bis zu 10 Mio. bzw. 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 2% bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs an. Der Rahmen wird zwar nur bei schweren, hartnäckigen Verstößen durch international aufgestellte Unternehmen ausgeschöpft werden, aber auch weitaus geringere Summen sind schon ruinös genug.
Haftet der Geschäftsführer auch selbst? Man kann dazu im Internet, aber auch der juristischen Fachliteratur viel Unklares und Beunruhigendes lesen. Vergessen Sie das. Der Geschäftsführer haftet nicht direkt persönlich, denn er ist nicht "Verantwortlicher" im Sinne der DSGVO.
Aber:
Bußgeld: Laut § 41 BDSG gilt das OWiG auch für Bußgelder nach Art. 83 DSGVO. Somit gilt auch § 130 OWiG zur „Verletzung der Aufsichtspflicht in Betrieben und Unternehmen“. Dieser schreibt vor, dass der Inhaber und über § 9 Abs. 1 Nr. 1 OwiG auch der Geschäftsführer einer GmbH für Organisationverschulden haftet. Sprich: wenn der Geschäftführer den Betrieb nicht so organisiert, dass der Datenschutz beachtet wird, haftet er selbst für Bußgelder.
Schadensersatz: hier ist es ähnlich. Zwar haftet nur die GmbH direkt, aber diese kann bei Verschulden aus dem Anstellungsverhältnis Regress beim Geschäftsführer nehmen.
Die Haftung für Schadensersatz und Bußgeld kommt also über mehrere Ecken auf den Geschäftsführer zu. Aber sie kommt am Ende doch.
Darum sollte der Geschäftsführer einer GmbH nicht eher ruhig schlafen, als er Folgendes geregelt hat:
1. Organisatorische Maßnahmen, damit der Datenschutz beachtet wird und die Verantwortung mit Dritten teilen:
- Auskünfte des Datenschutzbeauftragten einholen.
- Auskünfte eines fachkundigen Rechtsanwalts einholen, die allerdings gut begründet sein müssen; rechtliche Blankoschecks sind null und nichtig.
- Stärkung der Zuverlässigkeit des Unternehmens durch Zertifizierungen, qualifiziertes Personal, ständige Fortbildungen.
2. D&O Versicherung prüfen und den Deckungsschutz an das HAftungsrisiko anpassen.
Dann kann der Geschäftsführer abends ruhig ins Bett gehen.
Bernd Preiß Umsetzung der DSGVO: Neues aus Bayern und Nordrhein-Westfalen
Datenschutzreform in den Bundesländern
Wirksame Länderregelungen finden sich zwar in fast allen Bundesländern. In NRW hat der Landesgesetzgeber aber nun zum zweiten Mal das NRW DSAnpUG-EU berichtigt. Auch in Bayern sieht man noch Nachholbedarf. Der jüngste Reformvorschlag aus dem Freistaat hat bundesgesetzliche Änderungen im Visier ...

Moderatoren

Infos zu den Moderatoren

Über die Gruppe "Patent- und Urheberrecht & Marken- und Wettbewerbsrecht"

  • Gegründet: 08.12.2006
  • Mitglieder: 9.926
  • Sichtbarkeit: offen
  • Beiträge: 2.948
  • Kommentare: 2.579