Der Kläger verlangt von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen. Dies sind Ziffernfolgen, die bei jeder Einwahl vernetzten Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Bei einer Vielzahl allgemein zugänglicher Internetportale des Bundes werden alle Zugriffe in Protokolldateien festgehalten mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Dabei werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Der Kläger rief in der Vergangenheit verschiedene solcher Internetseiten auf.

Mit seiner Klage begehrt er, die Beklagte zu verurteilen, es zu unterlassen, ihm zugewiesene IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern. Das Amtsgericht hat die Klage abgewiesen. Auf die Berufung des Klägers hat das Landgericht dem Kläger den Unterlassungsanspruch nur insoweit zuerkannt, als er Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betrifft und der Kläger während eines Nutzungsvorgangs seine Personalien angibt. Gegen dieses Urteil haben beide Parteien die vom Berufungsgericht zugelassene Revision eingelegt.

Entscheidung des EuGH

Der Bundesgerichtshof (vgl. Pressemitteilung Nr. 152/2014) hat mit Beschluss vom 28. Oktober 2014 – VI ZR 135/13, VersR 2015, 370 das Verfahren ausgesetzt und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorgelegt. Nachdem der Gerichtshof mit Urteil vom 19. Oktober 2016 – C-582/14, NJW 2016, 3579 die Fragen beantwortet hat, hat der VI. Zivilsenat des Bundesgerichtshofs nunmehr mit Urteil vom 16. Mai 2017 über die Revisionen der Parteien entschieden. Diese hatten Erfolg und führten zur Aufhebung des Berufungsurteils und zur Zurückverweisung der Sache an das Berufungsgericht.

Dynamische IP-Adressen stellen für den Anbieter eines Online-Mediendienstes personenbezogene Daten dar

Auf der Grundlage des EuGH-Urteils ist das Tatbestandsmerkmal „personenbezogene Daten“ des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG richtlinienkonform auszulegen: Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein (geschütztes) personenbezogenes Datum dar.

Speicherung, um generelle Funktionsfähigkeit der Dienste zu gewährleisten

Als personenbezogenes Datum darf die IP-Adresse nur unter den Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden. Diese Vorschrift ist richtlinienkonform entsprechend Art. 7 Buchst. f der Richtlinie 95/46 EG – in der Auslegung durch den EuGH – dahin anzuwenden, dass ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedarf es allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer.

Diese Abwägung konnte im Streitfall auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen nicht abschließend vorgenommen werden. Das Berufungsgericht hat keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich ist, um die (generelle) Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten. Die Beklagte verzichtet nach ihren eigenen Angaben bei einer Vielzahl der von ihr betriebenen Portale mangels eines „Angriffsdrucks“ darauf, die jeweiligen IP-Adressen der Nutzer zu speichern. Demgegenüber fehlen insbesondere Feststellungen dazu, wie hoch das Gefahrenpotential bei den übrigen Online-Mediendiensten des Bundes ist, welche der Kläger in Anspruch nehmen will. Erst wenn entsprechende Feststellungen hierzu getroffen sind, wird das Berufungsgericht die nach dem Urteil des Europäischen Gerichtshofs gebotene Abwägung zwischen dem Interesse der Beklagten an der Aufrechterhaltung der Funktionsfähigkeit ihrer Online-Mediendienste und dem Interesse oder den Grundrechten und -freiheiten des Klägers vorzunehmen haben. Dabei werden auch die Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend zu berücksichtigen sein.

Vorinstanzen:

AG Tiergarten – Urteil vom 13. August 2008 – 2 C 6/08

LG Berlin – Urteil vom 31. Januar 2013 – 57 S 87/08

Karlsruhe, den 16. Mai 2017

Quelle: Pressemitteilung des Bundesgerichtshofs vom 16.05.2017

The post BGH zur Zulässigkeit der Speicherung von dynamischen IP-Adressen first appeared on .

Am heutigen Tag hat der Bundesrat dem vom Bundestag am 27.4.2017 beschlossenen Gesetzesentwurf eines neuen Bundesdatenschutzgesetzes zugestimmt. Damit kann dieser Entwurf nun nach Unterzeichnung durch den Bundespräsidenten in Kraft treten.

Das neue Bundesdatenschutzgesetz (BDSG-neu) regelt allerdings nur bestimmte ausgewählte Bereiche des Datenschutzes, da es die neue EU-Datenschutzgrundverordnung (DSGVO) letztendlich nur „flankiert“. Denn an sich finden sich nun die maßgeblichen Vorschriften zum künftigen europaweit gültigen Datenschutz in der DSGVO, welche zum 25.5.2018 Anwendung findet wird. Die DSGVO enthält allerdings in bestimmten Bereichen (nicht wenige) Öffnungsklauseln, wo die jeweiligen nationalen Gesetzgeber bestimmte Regelungen treffen müssen bzw. können.

Von dieser Möglichkeit hat der deutsche Gesetzgeber im Entwurf des BDSG-neu regen Gebrauch gemacht. Teilweise finden sich im BDSG-neu auch Regelungen in Bereichen, bei welchen sich nicht ohne Weiteres ein Rückschluss auf Öffnungsklauseln ziehen lässt und wo der Gesetzgeber die Regelungskompetenz des nationalen Gesetzgebers über die Öffnungsklauseln wohl sehr großzügig auslegt. Inwieweit hier die ein oder andere Vorschrift im BDSG-neu daher mit den Bestimmungen der DSGVO übereinstimmt und ein Vertragsverletzungsverfahren von Seiten der EU droht, wird sich noch zeigen müssen. Im Vorfeld hatte Renate Nikolay, die Kabinettschefin von EU-Justizkommissarin Věra Jourová, jedenfalls Bedenken angemeldet.

Wichtige Regelungen im BDSG-neu für Unternehmen

Für den Datenschutz in Unternehmen bringt das BDSG-neu folgende wichtige datenschutzrechtliche Regelungen mit sich (nur Übersicht):

1. Datenschutzregelungen der Videoüberwachung von öffentlich zugänglichen Räumen (§ 4 BDSG-neu): Die Neuregelung entspricht weitgehend den bereits bekannten geltenden Regelungen nach § 6b BDSG, wobei die Durchführung von Videoüberwachungen von öffentlich zugänglichen großflächigen Anlagen (z.B. Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen) und Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs (z.B. Bahnhöfen) erheblich erleichtert wird.
2. Die Befugnis zur Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO (sog. besonders sensible Daten, z.B. Gesundheitsdaten) wird präzisiert (§ 22 BDSG-neu). Ergänzend wird nach BDSG-neu für Unternehmen unter bestimmten Voraussetzungen die Verarbeitung von besonders sensiblen Daten im Bereich des „Rechts der sozialen Sicherheit und des Sozialschutzes“, zum „Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs“ erlaubt, ferner „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten“.

   Ferner findet sich in § 27 BDSG-neu Vorschriften zur Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken.

3. Ergänzend zu Art. 6 Abs. 4 DSGVO werden Fälle der zulässigen Zweckänderung bei der Verarbeitung personenbezogener Daten definiert (§ 24 BDSG-neu). So ist eine zweckändernde Verarbeitung erlaubt wie bisher unter § 28 Abs. 2 Nr. 2 BDSG unter bestimmten Voraussetzungen bei Erforderlichkeit „zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten“ oder (neu) „zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche“.
4. Beschäftigtendatenschutz (§ 26 BDSG-neu): Es wurde weitgehend die Vorschrift des bestehenden § 32 Abs. 1 BDSG übernommen, allerdings wird nunmehr ausdrücklich auch auf Tarifverträge, Betriebs- oder Dienstvereinbarungen Bezug genommen. In § 26 Abs. 2 BDSG-neu wird auf die bestehende Problematik der „Freiwilligkeit“ von Einwilligungen im regelmäßig durch Abhängigkeit geprägten Arbeitsverhältnis eingegangen.
5. Datenschutzregeln beim Scoring und Wirtschaftsauskünften (§ 31 BDSG-neu) – ähnlich der bisherigen Regelung in § 28b BDSG und § 28a BDSG.
6. Einschränkung von Informationspflichten nach Art. 13 DSGVO und Art. 14 DSGVO (§§ 32, 33 BDSG-neu), Auskunftspflichten (§ 34 BDSG-neu) und Löschpflichten (§ 35 BDSG-neu).
7. Präzisierung von Regeln zu automatisierten Einzelentscheidungen gem. Art. 22 DSGVO bei einer „Entscheidung im Rahmen der Leistungserbringung nach einem Versicherungsvertrag“.
8. Verpflichtung von Unternehmen nach § 38 BDSG-neu, einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn diese „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“, ferner unabhängig von der Mitarbeiteranzahl bei der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO – i.d.R. bei der Verarbeitung von Gesundheitsdaten) oder Unternehmen, welche „geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ personenbezogene Daten verarbeiten (z.B. Auskunfteien, Adressverlage usw.). Diese Regelung entspricht weitgehend der bisherigen Vorschrift des § 4f Abs. 1 BDSG.

Das neue Bundesdatenschutzgesetz wird nach Unterzeichnung durch den Bundespräsidenten zeitgleich mit der DSGVO am 25.05.2018 zur Anwendung kommen. Das bisherige BDSG wird zu diesem Zeitpunkt außer Kraft treten.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

The post Neues Bundesdatenschutzgesetz beschlossen first appeared on .

Kommt es nach jetziger Rechtslage unter dem BDSG zu einer Datenpanne, d.h. einer Verletzung von Datenschutzvorschriften, etwa weil personenbezogene Daten einem unbefugten Dritten zur Kenntnis gelangt sind oder gelangen konnten (etwa durch Hacker-Angriff, Verlust eines Datenträgers oder mobilen Endgeräts), so können Informationspflichten nach § 42a BDSG bestehen.

Nach § 42a BDSG muss zum einen unverzüglich die zuständige Datenschutzaufsichtsbehörde informiert werden. Zum anderen müssen auch die von der Datenpanne betroffenen Personen informiert und es müssen diesen geeignete Maßnahmen zur „Minderung möglicher nachteiliger Folgen“ vorgeschlagen werden. Wenn der Kreis der Betroffenen so groß ist, dass dies einen „unverhältnismäßigen Aufwand erfordern würde“, ist die „Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme“ über die Datenpanne zu unterrichten.

Die Meldepflicht des § 42a BDSG greift aber nicht bei jedem beliebigen Datenschutzverstoß, sondern nur wenn, wenn besonders „sensible“ Daten von dem Verstoß betroffen sind. So muss es sich gem. § 42a BDSG um besondere Arten personenbezogener Daten gem. § 3 Absatz 9 BDSG (z.B. Gesundheitsdaten), einem Berufsgeheimnis unterliegende personenbezogene Daten, sich auf strafbare Handlungen, Ordnungswidrigkeiten oder auf den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehende personenbezogene Daten oder personenbezogene Daten zu Bank- oder Kreditkartenkonten handeln.
Außerdem müssen durch die Datenpanne „schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen“ drohen, was aufgrund der aufgeführten besonders sensiblen Datenbereiche allerdings der Regelfall ist.

Informationspflichten unter der Datenschutzgrundverordnung

Unter der Datenschutzgrundverordnung (DSGVO), welche ab Mai 2018 Geltung haben wird, werden die Meldepflichten bei Datenpannen nunmehr in zwei Vorschriften geregelt: Art. 33 DSGVO regelt die Informationspflicht gegenüber den Datenschutzaufsichtsbehörden während Art. 34 DSGVO die Anzeigepflicht gegenüber dem Betroffenen regelt.

Anzeige der Datenpanne bei der Datenschutzaufsichtsbehörde

Die zuständige Aufsichtsbehörde ist gem. Art. 33 DSGVO bei einer Verletzung des Schutzes personenbezogener Daten zu informieren. Eine solche Datenschutzverletzung liegt nach Art. 4 Nr. 12 DSGVO stets vor bei einer „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Verschärfte Anforderungen unter der DSGVO

Im Unterschied zu § 42a BDSG gilt die Meldepflicht unter der Datenschutzgrundverordnung nach Art. 33 DSGVO nicht nur bei Datenpannen bzgl. bestimmter „sensibler“ personenbezogener Daten (wie etwa Gesundheits- oder Bankdaten), sondern bei jeglicher Verletzung personenbezogener Daten. Einzige Einschränkung ist, dass eine Meldung an die Aufsichtsbehörde nicht erfolgen müsse, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Welche Erwägungen hier anzustellen sind, definiert Erwägungsgrund 75 der DSGVO.

Ein weiterer großer Unterschied zur bestehenden Rechtslage ist der Umstand, dass nach der Definition des Art. 4 Nr. 12 DSGVO für eine Meldepflicht bereits eine Datenschutzverletzung an sich ausreicht (z.B. ein reiner Datenverlust) und im Gegensatz zu § 42a BDSG ein „unrechtmäßiges Übermitteln“ oder eine „unrechtmäßige Kenntnisnahme“ von Dritten nicht erforderlich ist.

Dies stellt eine deutliche Verschärfung der Informationspflicht nach der Datenschutzgrundverordnung im Vergleich zur Rechtslage unter dem BDSG dar.

Art. 33 DSGVO sieht vor, dass die Meldung an die Datenschutzaufsichtsbehörde unverzüglich und „möglichst binnen 72 Stunden“ nach Bekanntwerden der Datenpanne erfolgen muss. Mit der Meldepflicht einher kommt eine umfassende Dokumentationspflicht gem. Art. 33 Abs. 5 DSGVO (und zwar der Datenschutzverletzung, deren Auswirkungen und den ergriffenen Abhilfemaßnahmen).

Bekanntgabe der Datenpanne an die Betroffenen nach DSGVO

Bedeutet die Datenpanne „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ des Betroffenen, so ist der Betroffene unverzüglich gem. Art. 34 DSGVO von der Datenschutzverletzung „in klarer und einfacher Sprache“ zu unterrichten.

Auch unter Art. 34 DSGVO kann bei „unverhältnismäßigen Aufwand“ der individuellen Benachrichtigung eine öffentliche Bekanntmachung angezeigt sein, allerdings ohne hier wie § 42a BDSG weitere Details festzulegen.

Ausnahmen von der Benachrichtigungspflicht

Eine Benachrichtigung des Betroffenen oder eine öffentliche Bekanntmachung kann nach Art. 34 Abs. 3 a oder b DSGVO allerdings unterbleiben, wenn insbesondere durch bereits vor der Datenpanne ergriffene technische und organisatorische Maßnahmen eine unbefugte Kenntnisnahme der Daten durch Dritte ausgeschlossen werden kann. Ein Anwendungsfall hierfür könnte etwa sein, dass etwa ein Datenträger mit hierauf gespeicherten personenbezogenen Daten verlustig gegangen ist, die personenbezogenen Daten aber ausreichend verschlüsselt sind, sodass ein Finder diese Daten nicht auslesen kann.

Eine Benachrichtigung des Betroffenen ist auch dann nicht erforderlich, wenn durch nach der Datenpanne ergriffene Maßnahmen das „hohe Risiko für die Rechte und Freiheiten der betroffenen Personen“ nicht mehr besteht.
Zu beachten ist allerdings, dass auch wenn der Betroffene aus diesen Gründen (Art. 34 Abs. 3 a oder b DSGVO) nicht zu benachrichtigen ist, eine Meldepflicht gegenüber der Datenschutzaufsichtsbehörde nach Art. 33 DSGVO nach wie vor besteht.

Gem. Art. 83 Abs. 4 a DSGVO ist die Verletzung dieser Pflichten mit Geldbußen von bis zu 10 000 000 EUR oder von bis zu 2 % des Jahresumsatzes des Unternehmens bedroht.

Mitteilungspflicht bei Auftrags(daten)verarbeitungen

Sofern eine Datenpanne im Rahmen einer Auftragsdatenverarbeitung (oder künftig: Auftragsverarbeitung) geschieht, ist nach den Festlegungen in den notwendigen Vereinbarungen zur Auftrags(daten)verarbeitung der jeweilige Vertragspartner in der Regel zu informieren, zumindest sofern dessen Daten von der Datenpanne betroffen sind.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

The post DSGVO: Meldepflicht bei Datenpannen first appeared on .

Datenschutzbeauftragter nach BDSG – Bestellpflicht

Nach derzeitigem Rechtsstand unter dem Bundesdatenschutzgesetz (BDSG) haben Unternehmen nach § 4f Abs. 1 BDSG einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn das Unternehmen nicht „in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt“. Bedeutet: Wenn mindestens 10 Mitarbeiter im „Normalfall“ personenbezogene Daten per EDV verarbeiten, ist die Bestellung eines Datenschutzbeauftragten Pflicht; eine vorübergehende Überschreitung dieser Schwelle ist für die Bestellpflicht unschädlich. Die Schwelle liegt bei einer nicht-automatisierten Datenverarbeitung zwar bei 20 Mitarbeitern, allerdings wird es heute wohl kaum noch Unternehmen geben, welche keine IT einsetzen und damit automatisiert Daten verarbeiten.

Darüber hinaus sind Unternehmen auch unterhalb dieser Schwelle verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn diese „automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten“. Eine Vorabkontrollpflicht besteht nach § 4d Abs. 5 BDSG in der Regel immer dann, wenn die Datenverarbeitung schwerwiegend in die Persönlichkeitsrechte des Betroffenen eingreift („besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen“), etwa wenn besonders sensible Daten nach § 3 Abs. 9 BDSG (z.B. Gesundheitsdaten) verarbeitet werden oder Persönlichkeitsprofile erstellt werden.

Die Bestellung bei Unternehmen hat spätestens innerhalb eines Monats nach der Tätigkeit des Unternehmens zu erfolgen (§ 4f Abs. 1 S. 2 BDSG).

Datenschutzbeauftragter nach BDSG – Fachkunde und Zuverlässigkeit

Der betriebliche Datenschutzbeauftragte muss eine gewisse Fachkunde und Zuverlässigkeit mit sich bringen (§ 4f Abs. 2 BDSG). Nach dem Beschluss des Düsseldorfer Kreises (Zusammenschluss der Datenschutzaufsichtsbehörden Deutschlands) vom 24./25. November 2010 sind bei der Fachkunde hier unter anderem Grundkenntnisse zu Persönlichkeitsrechten, den Datenschutzgesetzen und zur Anwendung technischer Datensicherheitsvorgaben und je nach Einsatzgebiet gewisse branchenspezifisches Grundwissen erforderlich.

Im Rahmen der Zuverlässigkeit stellt der Düsseldorfer Kreis Anforderungen an die Unabhängigkeit des Datenschutzbeauftragten wie etwa ein direktes Vortragsrecht an die Geschäftsführung, die Verschwiegenheit und dass keine Interessenkonflikte mit einer etwa ausgeübten Tätigkeit im Unternehmen besteht (z.B. bei Stellung als Geschäftsführer, Personalleiter, IT-Leiter usw.).

Ein Verstoß gegen diese Pflichten ist mit bis zu 50.000 EUR bußgeldbewährt (§ 43 Abs. 1 Nr. 2 BDSG).

Diese Pflichten zur Bestellung eines Datenschutzbeauftragten bestehen derzeit nicht europaweit. Wie die Bundesrepublik Deutschland haben einige Mitgliedsstaaten die Funktion des betrieblichen Datenschutzbeauftragten im Rahmen der Umsetzung der Datenschutzrichtlinie 95/46/EG eingeführt, manche Mitgliedsstaaten kennen den Datenschutzbeauftragten nicht oder sehen eine Bestellung nur auf freiwilliger Basis vor.

Datenschutzbeauftragter nach DSGVO – Bestellpflicht

Wie sieht es mit der Bestellpflicht künftig unter der Datenschutzgrundverordnung (DSGVO) aus, welche ja im Mai 2018 Anwendung findet?

Art. 37 der DS-GVO regelt eine einheitliche europaweite Bestellpflicht für Unternehmen, wenn als deren Kerntätigkeit

• eine „umfangreiche regelmäßige und systematische Überwachung“ der Betroffenen durchgeführt wird (Art. 37 Abs. 1b DSGVO: „die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“, oder
• eine „umfangreiche Verarbeitung“ sensibler Daten (Art. 37 Abs. 1c DSGVO: „die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10“) vorsieht.

Das wird nur auf die wenigsten Unternehmen zutreffen, da diese Verarbeitung ja deren „Kernbereich“ oder „Kerntätigkeit“ betreffen muss. Erhebt ein Unternehmen etwa umfangreiche Daten im Rahmen des Webtrackings (etwa per google analytics) oder hält eine Kundendatenbank vor, dürften diese Kriterien nicht erfüllt sein.

In Art. 37 Abs. 4 DSGVO sieht eine Öffnungsklausel allerdings vor, dass die Mitgliedsstaaten die Pflicht zur Bestellung eines Datenschutzbeauftragten ergänzend zu den oben genannten Fallkonstellationen auch weitgehender regeln können. Von dieser Befugnis wird die Bundesrepublik Deutschland voraussichtlich Gebrauch machen. Die beiden bisher bekannten Entwürfe des Bundesministeriums des Inneren für ein neues BDSG sehen eine Bestellpflicht ähnlich wie beim jetzigen § 4f BDSG vor.

Der Referentenentwurf vom 11.11.2016 etwa bestimmt in § 36 Abs. 1 BDSG-neu, dass ein Datenschutzbeauftragter von Unternehmen zu bestellen sei, „soweit sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgeabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegt oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu bestellen.“

Die Bestellpflicht wird danach auch unter der Datenschutzgrundverordnung in Deutschland weitgehend wie nach der jetzigen Rechtslage bestehen, wobei eine Differenzierung zwischen automatisierter und nicht-automatisierter Datenverarbeitung nicht mehr vorgenommen wird (wohl weil wie bereits erwähnt eine Datenverarbeitung ohne IT in der heutigen Zeit kaum noch praxisrelevant sein dürfte).

Datenschutzbeauftragter nach DSGVO – Fachkunde und Zuverlässigkeit

Anforderungen an Fachkunde und Zuverlässigkeit werden auch unter der Datenschutzgrundverordnung ähnlich wie bereits jetzt unter dem Bundesdatenschutzgesetz fortbestehen. Nach Art. 37 DSGVO wird der Datenschutzbeauftragte „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“ Zum Fachwissen ergänzt Erwägungsgrund 97 der DSGVO, dass sich das „erforderliche Niveau des Fachwissens […] insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten“ sollte.

Ferner wird auch wie bisher zur Zuverlässigkeit des Datenschutzbeauftragten erforderlich sein, dass der Datenschutzbeauftragte unmittelbar der Geschäftsführung unterstellt ist und dieser direkt berichtet (Art. 38 Abs. 3 DSGVO: „Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.“).

Auch darf die Stellung des Datenschutzbeauftragten in einem Unternehmen gem. Art. 38 Abs. 6 DSGVO „nicht zu einem Interessenkonflikt“ mit dessen sonstigen Aufgaben im Unternehmen führen.

Wie auch unter dem Bundesdatenschutzgesetz werden nach der Datenschutzgrundverordnung die Funktion des Datenschutzbeauftragten sowohl Mitarbeiter des Unternehmens oder auch externe Dienstleister als sog. externe Datenschutzbeauftragte wahrnehmen dürfen (Art. 37 Abs. 6 DSGVO: „Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.“)

Verstöße gegen die Pflicht zur Bestellung eines Datenschutzbeauftragten sind gem. Art. 83 Abs. 4a DSGVO auch unter der Datenschutzgrundverordnung bußgeldbewährt („Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs […], je nachdem, welcher der Beträge höher ist“).

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

The post DSGVO: Der betriebliche Datenschutzbeauftragte unter der Datenschutzgrundverordnung first appeared on .

Persönlichkeitsinteressen müssen regelmäßig hinter der Meinungsfreiheit zurücktreten, wenn die Äußerung wahre Tatsachen betrifft und die Folgen der Äußerung für die Persönlichkeitsentfaltung nicht schwerwiegend sind.

Die Klägerin ist Drehbuchautorin und Regisseurin in München. Ihr Geburtsdatum wurde von einem Online-Lexikon veröffentlicht. Als Einzelnachweis für das Geburtsdatum führt das Online-Lexikon die Dissertation der Regisseurin an, in der das Geburtsdatum genannt wird.

Veröffentlichung des Geburtsdatums im Internet

Die Regisseurin verlangt von dem Online-Lexikon, dass die Nennung ihres Geburtsdatums unterbleibt. Sie ist der Ansicht, dass sie dadurch in ihrem Persönlichkeitsrecht verletzt wird. Sie sei keine prominente Person. Die Tatsache, dass sie an Arbeiten mitgewirkt habe, die öffentliche Aufmerksamkeit erfahren haben, mache sie nicht zu einer Persönlichkeit des öffentlichen Lebens. Durch die Veröffentlichung ihres Alters habe sie Nachteile, da die Branche der Medienschaffenden sehr stark von deutlich jüngeren Menschen geprägt werde. Die Altersangabe sei im Hinblick auf Fernsehsender problematisch, da dort die Vorgabe des Intendanten laute, junge Regisseure zu engagieren, um junges Publikum zu gewinnen.

Das Online-Lexikon weigerte sich, das Geburtsdatum zu löschen. Daraufhin erhob die Regisseurin Klage vor dem Amtsgericht München auf Unterlassung der Veröffentlichung eines Beitrags, in dem das Geburtsjahr der Klägerin angegeben ist.

AG München: Keine Verletzung des allgemeinen Persönlichkeitsrechts

Der zuständige Richter wies die Klage ab. Die Klägerin werde durch die Veröffentlichung nicht in ihrem allgemeinen Persönlichkeitsrecht verletzt. Dieses Recht „verleiht dem Einzelnen die Befugnis, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. Hierunter fällt auch das Recht, grundsätzlich selbst darüber zu bestimmen, ob und welche Informationen über seine Person auf der streitigen Internetseite der Beklagten veröffentlicht werden“, zitiert das Urteil eine Entscheidung des Landgerichts Tübingen. Personenbezogene Daten würden aber zugleich einen Teil der sozialen Realität der Person sein. Regelmäßig müssten bei Daten aus dem Bereich der Privatsphäre die Persönlichkeitsinteressen hinter der Meinungsfreiheit zurückstehen, wenn die verbreiteten Tatsachen richtig sind, an der Veröffentlichung ein öffentliches Interesse im Sinn der Meinungsbildung bestehe und die Folgen der Veröffentlichung für den Betroffenen nicht schwerwiegend sind. Hierbei sei insbesondere zu berücksichtigen, ob die Informationen aus einer öffentlich zugänglichen Quelle stamme. Das Geburtsjahr gehöre zur Privatsphäre eines Menschen. „Ein öffentliches Interesse an dem Geburtsjahr besteht. Die Klägerin ist eine renommierte, in der Öffentlichkeit bekannte und stehende Dokumentarfilm-Produzentin. Insoweit ist es für die Öffentlichkeit von Interesse, in welchem Alter sie welchen Film produziert hat“, so das Gericht. Durch die Veröffentlichung des Geburtsjahres werde die Klägerin nicht erheblich beeinträchtigt. Es bestünden keinerlei Anhaltspunkte, dass die Klägerin dadurch sozial ausgegrenzt oder isoliert zu werden droht. „Für das Gericht ist …nicht nachvollziehbar, inwieweit… der streitgegenständliche Eintrag eine Rolle bei der Produktionsvergabe spielen kann“, so das Gericht weiter. Auch „aus den Produktionsjahren ihrer ersten Filme, die öffentlich bekannt sind, (lässt sich) eine Alterseinstufung der Klägerin vornehmen … Deshalb steht für das Gericht fest, dass die Klägerin durch die Veröffentlichung ihres Geburtsdatums nicht beeinträchtigt ist. Art 12 GG ist durch die Veröffentlichung nicht tangiert.“

Urteil des Amtsgerichts München vom 30.09.2015 Aktenzeichen 142 C 30130/14

Das Urteil ist rechtskräftig.

Quelle: Pressemitteilung des AG München vom 26.08.2016

The post Persönlichkeitsrechtsverletzung bei Veröffentlichung des Geburtsjahrs im Internet? first appeared on .

Der 4. Senat für Bußgeldsachen des Oberlandesgerichts Stuttgart hat es in einem heute veröffentlichten Beschluss für grundsätzlich zulässig erachtet, in einem Bußgeldverfahren ein Video zu verwerten, das ein anderer Verkehrsteilnehmer mit einer „Dashcam“ aufgenommen hat. Dies gelte jedenfalls für die Verfolgung schwerwiegender Verkehrsordnungswidrigkeiten wie – vorliegend – eines Rotlichtverstoßes an einer mindestens seit sechs Sekunden rot zeigenden Ampel. Als „Dashcam“ wird eine kleine Videokamera auf dem Armaturenbrett oder an der Windschutzscheibe eines Fahrzeugs bezeichnet, die während der Fahrt aufnimmt.

Das Amtsgericht Reutlingen hatte gegen den Betroffenen wegen einer fahrlässigen Ordnungswidrigkeit des Missachtens des Rotlichts einer Ampel eine Geldbuße von 200 Euro und ein Fahrverbot von einem Monat verhängt. Den Tatnachweis konnte das Amtsgericht allein aufgrund eines Videos führen, das ein anderer Verkehrsteilnehmer zunächst anlasslos mit einer „Dashcam“ aufgenommen hatte. Das Oberlandesgericht hat dieses Urteil bestätigt und die Rechtsbeschwerde des Betroffenen verworfen.

Keine ausdrückliche Regelung eines Beweisverwertungsverbots in § 6b BDSG

Dabei hat der Senat offen gelassen, ob bzw. unter welchen Umständen die Nutzung einer „Dashcam“ durch einen Verkehrsteilnehmer gegen § 6b des Bundesdatenschutzgesetzes (BDSG) verstößt, der die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen nur in engen Grenzen zulässt. Denn jedenfalls enthalte § 6b Abs. 3 Satz 2 BDSG kein Beweisverwertungsverbot für das Straf- und Bußgeldverfahren. Somit folge aus einem (möglichen) Verstoß gegen diese Vorschrift nicht zwingend eine Unverwertbarkeit der Videoaufnahme. Über die Verwertbarkeit sei vielmehr im Einzelfall unter Abwägung der widerstreitenden Interessen zu entscheiden.

Zur Frage der Beweisverwertung stets Einzelfallabwägung erforderlich

Dass das Amtsgericht im vorliegenden Fall kein Beweisverwertungsverbot angenommen habe, sei aus Rechtsgründen nicht zu beanstanden. Zwar griffen Videoaufnahmen von Verkehrsvorgängen in das allgemeine Persönlichkeitsrecht des Betroffenen aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG ein. Die Intensität und Reichweite des Eingriffs sei im konkreten Fall jedoch gering. Insbesondere betreffe ein Video, das lediglich Verkehrsvorgänge dokumentiere und mittelbar die Identifizierung des Betroffenen über das Kennzeichen seines Fahrzeugs ermögliche, nicht den Kernbereich seiner privaten Lebensgestaltung oder seine engere Privat- oder gar Intimsphäre. Im Rahmen der Abwägung seien zudem die hohe Bedeutung der Verfolgung schwerer Verkehrsverstöße für die Sicherheit des Straßenverkehrs und das Gewicht des Verstoßes im Einzelfall zu berücksichtigen.

Der Senat hob zugleich hervor, dass die Bußgeldbehörden ihrerseits bereits bei Verfahrenseinleitung die Verwertbarkeit derartiger Aufnahmen zu prüfen und u. a. die Schwere des Eingriffs gegen die Bedeutung und das Gewicht der angezeigten Ordnungswidrigkeit abzuwägen hätten. Aufgrund des Opportunitätsgrundsatzes (vgl. § 47 OWiG) stehe es den Bußgeldbehörden frei, ein ausschließlich auf der Ermittlungstätigkeit von Privaten mittels „Dashcam“ beruhendes Verfahren nicht weiter zu verfolgen.

Verweis auf Diskussionen auf dem Verkehrsgerichtstag

Rechtsfragen, die sich beim Einsatz von „Dashcams“ stellen, sind seit einiger Zeit in der – auch zivil- und verwaltungsrechtlichen – Rechtsprechung und Literatur stark umstritten und werden uneinheitlich beantwortet. Auch der 54. Deutsche Verkehrsgerichtstag hatte sich im Januar 2016 mit dieser Thematik befasst. Soweit ersichtlich handelt es sich um die erste obergerichtliche Entscheidung zu dieser Fragestellung. Gegen den Beschluss ist kein weiteres Rechtmittel statthaft.

Aktenzeichen:

Oberlandesgericht Stuttgart: Beschluss vom 4. Mai 2016 – 4 Ss 543/15
Amtsgericht Reutlingen: Urteil vom 27. Mai 2015 – 7 OWi 28 Js 7406/15

Quelle: Pressemitteilung des OLG Stuttgart vom 18.05.2016

The post OLG Stuttgart zur Verwertbarkeit von „Dashcam“-Aufnahmen first appeared on .

Wie die EU-Kommission vor etwa einer Stunde bekannt gegeben hat, habe man sich mit den USA auf ein neues Datenschutzabkommen geeinigt. Das „EU-US Privacy Shield“ soll damit Nachfolger von Safe Harbor werden, welches der Europäische Gerichtshof im Oktober 2015 für unwirksam erklärt hatte. Ziel des Abkommens soll es sein, eine datenschutzkonforme Übermittlung personenbezogener Daten in die USA zu ermöglichen und zu vereinfachen. Mehr als diese Pressemitteilung ist zu dem neuen Abkommen zunächst nicht bekannt:

EU Commission and United States agree on new framework for transatlantic data flows: EU-US Privacy Shield

Strasbourg, 2 February 2016

The European Commission and the United States have agreed on a new framework for transatlantic data flows: the EU-US Privacy Shield.
Today, the College of Commissioners approved the political agreement reached and has mandated Vice-President Ansip and Commissioner Jourová to prepare the necessary steps to put in place the new arrangement. This new framework will protect the fundamental rights of Europeans where their data is transferred to the United States and ensure legal certainty for businesses.

The EU-US Privacy Shield reflects the requirements set out by the European Court of Justice in its ruling on 6 October 2015, which declared the old Safe Harbour framework invalid. The new arrangement will provide stronger obligations on companies in the U.S. to protect the personal data of Europeans and stronger monitoring and enforcement by the U.S. Department of Commerce and Federal Trade Commission (FTC), including through increased cooperation with European Data Protection Authorities. The new arrangement includes commitments by the U.S. that possibilities under U.S. law for public authorities to access personal data transferred under the new arrangement will be subject to clear conditions, limitations and oversight, preventing generalised access. Europeans will have the possibility to raise any enquiry or complaint in this context with a dedicated new Ombudsperson.

Vice-President Ansip said: „We have agreed on a new strong framework on data flows with the US. Our people can be sure that their personal data is fully protected. Our businesses, especially the smallest ones, have the legal certainty they need to develop their activities across the Atlantic. We have a duty to check and we will closely monitor the new arrangement to make sure it keeps delivering. Today’s decision helps us build a Digital Single Market in the EU, a trusted and dynamic online environment; it further strengthens our close partnership with the US. We will work now to put it in place as soon as possible.“

Commissioner Jourová said: „The new EU-US Privacy Shield will protect the fundamental rights of Europeans when their personal data is transferred to U.S. companies. For the first time ever, the United States has given the EU binding assurances that the access of public authorities for national security purposes will be subject to clear limitations, safeguards and oversight mechanisms. Also for the first time, EU citizens will benefit from redress mechanisms in this area. In the context of the negotiations for this agreement, the US has assured that it does not conduct mass or indiscriminate surveillance of Europeans. We have established an annual joint review in order to closely monitor the implementation of these commitments.“

The new arrangement will include the following elements:

• Strong obligations on companies handling Europeans‘ personal data and robust enforcement: U.S. companies wishing to import personal data from Europe will need to commit to robust obligations on how personal data is processed and individual rights are guaranteed. The Department of Commerce will monitor that companies publish their commitments, which makes them enforceable under U.S. law by the US. Federal Trade Commission. In addition, any company handling human resources data from Europe has to commit to comply with decisions by European DPAs.
• Clear safeguards and transparency obligations on U.S. government access: For the first time, the US has given the EU written assurances that the access of public authorities for law enforcement and national security will be subject to clear limitations, safeguards and oversight mechanisms. These exceptions must be used only to the extent necessary and proportionate. The U.S. has ruled out indiscriminate mass surveillance on the personal data transferred to the US under the new arrangement. To regularly monitor the functioning of the arrangement there will be an annual joint review, which will also include the issue of national security access. The European Commission and the U.S. Department of Commerce will conduct the review and invite national intelligence experts from the U.S. and European Data Protection Authorities to it.
• Effective protection of EU citizens‘ rights with several redress possibilities: Any citizen who considers that their data has been misused under the new arrangement will have several redress possibilities. Companies have deadlines to reply to complaints. European DPAs can refer complaints to the Department of Commerce and the Federal Trade Commission. In addition, Alternative Dispute resolution will be free of charge. For complaints on possible access by national intelligence authorities, a new Ombudsperson will be created.

Next Steps

The College has today mandated Vice-President Ansip and Commissioner Jourová to prepare a draft „adequacy decision“ in the coming weeks, which could then be adopted by the College after obtaining the advice of the Article 29 Working Party and after consulting a committee composed of representatives of the Member States. In the meantime, the U.S. side will make the necessary preparations to put in place the new framework, monitoring mechanisms and new Ombudsman.

Background

On 6 October, the Court of Justice declared in the Schrems case that Commission’s Decision on the Safe Harbour arrangement was invalid. The judgment confirmed the Commission’s approach since November 2013 to review the Safe Harbour arrangement, to ensure in practice a sufficient level of data protection as required by EU law.

On 15 October, Vice-President Ansip, Commissioners Oettinger and Jourová met business and industry representatives who asked for a clear and uniform interpretation of the ruling, as well as more clarity on the instruments they could use to transfer data.

On 16 October, the 28 national data protection authorities (Article 29 Working Party) issued a statement on the consequences of the judgment.

On 6 November, the Commission issued guidance for companies on the possibilities of transatlantic data transfers following the ruling until a new framework is put in place.

On 2 December, the College of Commissioners discussed the progress of the negotiations. Commissioner Jourová received a mandate to pursue the negotiations on a renewed and safe framework with the US.

Quelle: Pressemitteilung der EU-Kommission vom 02.02.2016

The post EU-US Privacy Shield ist Nachfolgeabkommen von Safe Harbor first appeared on .

Relevanz für Fälle des Onlinebanking-Missbrauchs

Der vom Bundesgerichtshof (BGH) entschiedene Fall betrifft zwar einen etwas „speziellen“ Sachverhalt, in welchem es von Seiten der Bank offensichtlich zu einer Fehlüberweisung gekommen ist und der auf diese Weise Begünstigte per mTAN den betreffenden Betrag weiterüberwiesen hat. Die vom BGH in der Entscheidung aufgestellten Grundsätze sind allerdings sehr relevant in den Fällen des Missbrauchs des Onlinebankings, also wenn Unbekannte Überweisungen vom Konto des Kontoinhabers vornehmen, ohne dass der Kontoinhaber diese Überweisungen wünscht oder billigt. Wie der Kanzlei bekannte (und vertretene) Fälle und auch die Presseberichterstattung zeigen, kommen solche Fälle leider immer mal wieder vor, sowohl bei Einsatz von Authentifizierungsverfahrens wie mTAN (TAN per SMS) als auch SmartTAN (TAN-Generator). Für den Kontoinhaber ist oftmals nicht nachvollziehbar, wie eine solche missbräuchliche Überweisung durchgeführt oder mangels näherer Kenntnisse der Bankensysteme technisch durchführbar ist. Eine Bank argumentiert in der Regel, dass sie lediglich einen für sie gewöhnlichen und nicht weiter auffälligen Zahlungsauftrag des Kontoinhabers erhalten und durchgeführt habe. In einer Auseinandersetzung des Opfers eines Onlinebanking-Missbrauchs mit der Bank sind daher die Beweislastregeln von entscheidender Bedeutung. (RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe).

Folgend die Pressemitteilung des Bundesgerichtshofs im Urteil vom 26. Januar 2016 – XI ZR 91/14:

Entscheidung des Bundesgerichtshofs

Der für das Bankrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass § 675w Satz 3 BGB die Anwendung der Grundsätze des Anscheinsbeweises im Online-Banking bei Erteilung eines Zahlungsauftrags unter Einsatz der zutreffenden PIN und TAN nicht verbietet. Es muss aber geklärt sein, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des strittigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war und im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Bei einer missbräuchlichen Nutzung des Online-Bankings spricht kein Beweis des ersten Anscheins für ein grob fahrlässiges Verhalten des Kontoinhabers.

Unregelmäßigkeiten bei Nutzung des Onlinebanking-Kontos

Die beklagte GmbH unterhielt bei der klagenden Sparkasse u.a. ein Geschäftsgirokonto, mit dem sie seit März 2011 am Online-Banking teilnahm. Der Geschäftsführer der Beklagten erhielt dazu eine persönliche Identifikationsnummer (PIN), mit der er u.a. auf das Geschäftsgirokonto zugreifen konnte. Zur Freigabe einzelner Zahlungsvorgänge wurde das smsTAN-Verfahren (Übermittlung der Transaktionsnummer durch SMS) über eine Mobilfunknummer des Geschäftsführers der Beklagten vereinbart. Nachdem es zu Störungen im Online-Banking-System der Klägerin gekommen war, wurden am 15. Juli 2011 aus nicht geklärten Umständen dem Geschäftskonto der Beklagten fehlerhaft Beträge von 47.498,95 EUR und 191.576,25 EUR gutgeschrieben. Die Klägerin veranlasste am 15. und 17. Juli 2011 entsprechende Stornierungen, die aufgrund des Wochenendes erst am Montag, dem 18. Juli 2011, ausgeführt wurden. Am Freitag, dem 15. Juli 2011, um 23:29 Uhr wurde unter Verwendung der zutreffenden PIN und einer gültigen smsTAN eine Überweisung von 235.000 EUR vom Konto der Beklagten zugunsten des Streithelfers der Klägerin – eines Rechtsanwalts – in das Online-Banking-System der Klägerin eingegeben. Die Überweisung wurde am Montagmorgen, dem 18. Juli 2011, mit dem ersten Buchungslauf ausgeführt. Da zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein Sollbetrag auf dem Geschäftskonto der Beklagten.

Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und fordert mit der vorliegenden Klage den Schlusssaldo von 236.422,14 € nebst Zinsen. Sie hatte in beiden Tatsacheninstanzen Erfolg.

Der XI. Zivilsenat hat auf die Revision der Beklagten das Berufungsurteil aufgehoben und die Sache zur erneuten Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Dabei waren im Wesentlichen folgende Überlegungen maßgeblich:

Grundsätzliche Beweisregeln bei Zahlungsvorgängen

Ist die Zustimmung (Autorisierung) des Kontoinhabers zu einem Zahlungsvorgang strittig, hat das ausführende Kreditinstitut (Zahlungsdienstleister) bei Verwendung eines Zahlungsauthentifizierungsinstruments (hier das Online-Banking-Verfahren) nach § 675w Satz 2 BGB nachzuweisen, dass dieses einschließlich seiner personalisierten Sicherheitsmerkmale (hier: PIN und smsTAN) genutzt und dies mithilfe eines Verfahrens überprüft worden ist. Diesen Nachweis hat die klagende Bank nach den bindenden Feststellungen des Berufungsgerichts geführt. Dies genügt aber nach § 675w Satz 3 BGB „nicht notwendigerweise“, um den dem Zahlungsdienstleister obliegenden Beweis der Autorisierung des Zahlungsvorganges durch den Zahlungsdienstnutzer (hier: Kontoinhaberin) zu führen. Das schließt nicht aus, dass sich der Zahlungsdienstleister auf einen Anscheinsbeweis berufen kann. Dem Wortlaut des § 675w Satz 3 BGB ist nämlich genügt, da die Grundsätze des Anscheinsbeweises weder eine zwingende Beweisregel noch eine Beweisvermutung begründen.

Ausschlaggebend ist die allgemeine praktische Sicherheit des eingesetzten Authentifizierungsverfahrens

Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises auf die Autorisierung eines Zahlungsvorgangs bei Verwendung eines Zahlungsauthentifizierungsinstruments ist aber die allgemeine praktische Sicherheit des eingesetzten Authentifizierungsverfahrens und dessen Einhaltung im konkreten Einzelfall. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens durch den Kontoinhaber.

Trotz allgemein bekannt gewordener, erfolgreicher Angriffe auf Sicherheitssysteme des Online-Bankings fehlt nach Auffassung des Senats nicht in jedem Fall eine Grundlage für die Anwendung des Anscheinsbeweises, da entsprechende Erkenntnisse nicht zu allen im Online-Banking genutzten Authentifizierungsverfahren vorliegen.

Diese Voraussetzungen hat das Berufungsgericht verkannt und die notwendigen Feststellungen zur praktischen Unüberwindbarkeit des konkret eingesetzten Sicherungssystems sowie zu den zur Erschütterung eines eventuell eingreifenden Anscheinsbeweises vorgetragenen Umständen nicht getroffen, weshalb das Berufungsurteil aufzuheben war.

Das Urteil des Berufungsgerichts stellt sich auch nicht aus anderen Gründen als zutreffend dar.

Grundsätze der Anscheinsvollmacht und des Anscheinsbeweises sind nicht anwendbar

Die Grundsätze der Anscheinsvollmacht finden zulasten der Beklagten keine Anwendung. Es fehlt jedenfalls an einer Erkennbarkeit des Handelns des vermeintlichen Vertreters durch den Zahlungsdienstleister sowie bei einem einmaligen Missbrauchsfall im Online-Banking an der erforderlichen Dauer und Häufigkeit des Handelns des Scheinvertreters.

Auch ein Anscheinsbeweis für eine grob fahrlässige Verletzung einer Pflicht aus § 675l BGB durch die Beklagte und damit ein Anspruch der Klägerin aus § 675v Abs. 2 BGB scheiden auf Grundlage der bisherigen Feststellungen aus. Im Falle des Missbrauchs des Online-Bankings besteht angesichts der zahlreichen Authentifizierungsverfahren, Sicherungskonzepte, Angriffe und daran anknüpfender denkbarer Pflichtverletzungen des Nutzers kein Erfahrungssatz, der auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweist.

BGH Urteil vom 26. Januar 2016, Az. XI ZR 91/14

Quelle: Pressemitteilung des Bundesgerichtshofs vom 26.01.2016

The post Beweisgrundsätze beim Onlinebanking-Missbrauch first appeared on .

Die Klägerin aus München ist Eigentümerin eines Hauses in München-Pasing. Ihr Nachbar brachte im Februar 2013 am Dachgauben-Fenster seines Hauses eine Videokamera an. Grund dafür war, dass an seinem Haus mutwillig eine Fensterscheibe beschädigt worden war und die Täter nicht ermittelt werden konnten. Außerdem befindet sich im Garten eine hochwertige Garten-Modelleisenbahn im Wert von circa 8000 Euro. Von der Kamera werden der Eingangsbereich des Grundstücks des Nachbarn und ein schmaler Streifen des Gehwegs vor dem Grundstück erfasst. Das Anbringen der Kamera hat der Nachbar abgesprochen mit dem Bayerischen Landesamt für Datenschutzaufsicht und der zuständigen Polizeiinspektion.

Die Kamera ist mit einem Kugelgelenk befestigt, so dass das Aufzeichnungsfeld verändert werden kann.

Zwischen der Klägerin und dem Nachbarn gab es bereits in der Vergangenheit Streit wegen der Verwendung von Streusalz, der Anbringung eines Sichtschutzgitters, wegen des Pflanzenzuschnitts und wegen eines Grenzüberbaus durch den Nachbarn.

Die Klägerin befürchtet eine Überwachung durch die Kamera. Sie möchte, dass der Nachbar die Kamera entfernt und mahnte ihn deshalb seit November 2013 mehrfach ab. Der Nachbar weigerte sich, die Kamera zu entfernen.

Daraufhin erhob die Klägerin Klage zum Amtsgericht München. Die zuständige Richterin gab dem Nachbarn Recht. Die Kamera muss nicht entfernt werden.

Entscheidung des Amtsgerichts München: Allgemeines Persönlichkeitsrecht tangiert

Grundsätzlich könne durch die Aufzeichnung einer Person mit einem Videogerät in das Allgemeine Persönlichkeitsrecht der Person eingegriffen werden. Bei der Installation von Videoüberwachungsanlagen auf einem privaten Grundstück müsse deshalb sichergestellt sein, dass weder der öffentliche Bereich noch das private Nachbargrundstück oder der gemeinsame Zugang hierzu erfasst werden. Dies gelte -so auch die Rechtsprechung des Bundesgerichtshofs- nur dann nicht, wenn der Aufsteller der Videokamera ein höherrangiges Interesse an der Überwachung geltend machen kann.

Interessenabwägung zwischen Schutz des Eigentums und Persönlichkeitsrechten

Das Gericht geht davon aus, dass das Interesse des Nachbarn am Schutz seines Eigentums das Persönlichkeitsrecht der Klägerin überwiegt. Der Erfassungsbereich sei vom Landesamt für Datenschutzaufsicht geprüft und als vertretbar erachtet worden. Der miterfasste schmale Streifen des Gehwegs beschränke sich auf den Bereich direkt vor dem Eingangstor des Nachbarn. Es „ist zu berücksichtigen, dass unstreitig Sachbeschädigungen an dem Eigentum des Beklagten stattgefunden haben. Insoweit überwiegen die Interessen des Beklagten am Schutz seines Eigentums das allgemeine Persönlichkeitsrecht der zufällig miterfassten Passanten, so auch der Klägerin“, so das Gericht.

Nach höchstrichterlicher Rechtsprechung kann ein Anspruch auf Entfernung der Kamera aber auch bestehen, wenn eine Person ernsthaft befürchten muss, damit überwacht zu werden. Allein die Tatsache, dass Nachbarn Rechtsstreitigkeiten austragen, rechtfertigt für sich genommen nicht die Angst einer Partei, in den Überwachungsbereich mit aufgenommen zu werden. Die Streitigkeiten, die zwischen der Klägerin und ihrem Nachbarn stattgefunden haben, sind dafür nach Meinung des Gerichts „nicht ansatzweise“ ausreichend.

Es handle sich dabei um eher gewöhnliche Streitigkeiten zwischen Nachbarn. Die Klägerin trug dem Gericht nur ein Gefühl und eine Vermutung der Beobachtung und Überwachung durch den Nachbarn vor, was sie nicht mit Tatsachen belegen konnte. Allein die hypothetische Möglichkeit, dass der Nachbar sie überwachen könnte, reicht nicht aus, eine Beeinträchtigung des Allgemeinen Persönlichkeitsrechts anzunehmen.

Das Gericht wörtlich: „Die Klägerin trägt hier allein die bloße Möglichkeit eines Missbrauchs der Überwachungskamera durch den Beklagten vor. Es liegt damit bloß ein (vermeintliches) subjektives Befürchten von Aufnahmen vor. Objektiv ist klargestellt, dass derzeit fremde private Flächen nicht gefilmt werden. Auf Seiten des Beklagten ist demgegenüber zu berücksichtigen, dass es unstreitig zu einer Sachbeschädigung auf seinem Grundstück gekommen ist.“

Urteil des Amtsgerichts München vom 20.03.2015, Aktenzeichen 191 C 23903/14

Das Urteil ist rechtskräftig.

Pressemitteilung des Amtsgerichts München vom 27.11.2015

The post Zulässigkeit der Videoüberwachung des privaten Grundstückseingangs first appeared on .

Die LGPL wurde ursprünglich als „Library General Public License“ von der Free Software Foundation (FSF) für die Anwendung auf Programmbibliotheken erstellt. Inzwischen wurde die Lizenz zwar in „Lesser GPL“ umbenannt, der typische Anwendungsbereich ist aber geblieben.

Copyleft-Effekte und GPL

Die LGPL unterscheidet sich von der GPL in der Weise, dass der strenge Copyleft – also die Verpflichtung, Ableitungen („derivative works“) wiederum unter dieselben Lizenzbedingungen zu stellen – beim Linken oder sonstigen speziellen Zugriffen auf die Bibliothek gelockert wurde.

Zwar betonen die Autoren der Lizenz, dass die GPL in ihren Augen aufgrund des uneingeschränkt strengen Copylefts die bevorzugenswertere Lizenz sei. Die LGPL wurde allerdings geschaffen, um die Verbreitung bestimmter (freier) Standardbibliotheken zu fördern (namentlich der glibc), da es dem Anwender erleichtert wird, auch proprietäre Software mit einer unter der LGPL stehenden Programmbibliothek zu verknüpfen.

Im Anwendungsbereich der GPL werden die Rechtsfolgen bei einem Linken auf etwa eine unter der GPL stehenden Programmbibliothek unterschiedlich beurteilt. Während beim statischen Verlinken nach einheitlicher Ansicht das entstandene executable GPL-Code enthält und damit die Software beim Weiterverbreiten der GPL zu unterstellen ist, ist diese Beurteilung beim dynamischen Linken etwas schwieriger. Nach vorherrschender Ansicht wird hier im Einzelfall zu beurteilen sein, ob das dynamisch verlinkende Programm inhaltlich und formal unabhängig und getrennt von der Bibliothek ist, also etwa kein „einheitliches Ganzes“ („work as a whole“, Ziff. 2 GPLv2) bilden.

In den meisten Fällen dürfte dies zur Konsequenz haben, dass das verlinkende Programm auch unter die GPL zu stellen ist.

Dynamisches Verlinken bei der LGPL v2

Anders bei der LGPL. Aus bereits genannten Gründen soll hier gerade für das Verlinken eine Einschränkung des strengen Copyleft-Effekts geschaffen werden. Dies bedeutet allerdings nicht, dass auch ein dynamisches Verlinken ohne weitere zu beachtenden Pflichten möglich ist.

Zwar wird in der LGPLv2 (also der Version 2.1) ein auf die Bibliothek verlinkendes Programm als „work that uses the library“ und nicht als „derivative work“ bezeichnet. Hier sind bei einem Verlinken oder bei einer anderen in Ziff. 5 III-V LGPLv2genannten Verknüpfung die Voraussetzungen der Ziff. 6 LGPLv2 zu beachten.

Ziff 6 I LGPLv2 sieht hier vor, dass dem Anwender eine Anpassung der verlinkenden Software an eigene Bedürfnisse sowie ein reverse engineering zur Beseitigung von Fehlern erlaubt werden müsse. Dies ist als Abweichung von den üblichen deutschen Regelungen im Softwareurheberrecht bemerkenswert.

Ferner muss auf das Vorhandensein der Bibliothek und Geltung der LGPL für die Bibliothek hingewiesen werden, ferner ist der Lizenztext der LGPL beizufügen.

Daneben muss eine der Bedingungen der Ziff. 6 II a.) – e.) LGPLv2 erfüllt werden. Der in der Praxis am meisten verbreitete Fall ist gem. Ziff. 6 II b.) LGPL v2 die Verwendung eines geeigneten ,, shared library mechanism“, wenn etwa die Bibliotheksdatei bereits auf dem Computer/Betriebssystem des Anwenders vorhanden ist.

Andernfalls müssen gem. Ziff. 6 II a.) LGPL v2 die Quellcodes der Programmbibliothek sowie der Objektcode oder der Quellcode des verlinkenden Programms in einer Weise beigefügt werden, die es dem Anwender erlaubt, die Bibliothek zu verändern und mit dem zugreifenden Werk neu zu verlinken, so dass ein neues executable erstellt werden kann. Alternativ kann gem. Ziff. 6 II c.) und d.) LGPL v2 auch ein 3 Jahre gültigen Angebots zur Lieferung der in a) aufgeführten Materialien abgegeben werden, auch durch Zurverfügungstellen über das Internet auf der gleichen Website.

LGPL v3

Diese Grundsätze wurden in die LGPLv3 übernommen (hier: Ziff. 4 LGPLv3 – combined work), wenngleich sich wie auch bei der GPLv3 die Terminologien geändert haben.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

The post Was beim Linken auf eine LGPL-Programmbibliothek zu beachten ist first appeared on .