Kategorie: Datenschutzrecht

Verarbeitung von Kundendaten durch Unternehmen

Im Rahmen ihrer Kundenbeziehung erhalten Unternehmen zahlreiche Informationen über ihre Kunden, die für diese Unternehmen einen erheblichen wirtschaftlichen Wert haben können. Zum Beispiel können es diese Informationen einem Unternehmen ermöglichen, seine Produkte oder Dienstleistungen noch besser auf die Bedürfnisse ihrer Kunden zuzuschneiden. Aber dürfen Unternehmen solche Informationen überhaupt verwenden?

Bei den Informationen, die Unternehmen von und über ihre Kunden erlangen, handelt es sich zumeist um „personenbezogene Daten“ im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/36/EG, kurz Datenschutz-Grundverordnung (DS-GVO). Das gilt auch für technische Daten wie zum Beispiel vermeintlich reine Maschinendaten.

Damit müssen Unternehmen im Umgang mit Kundendaten alle Vorgaben des Datenschutzrechts beachten. Voraussetzung jeder Verarbeitung personenbezogener Daten ist das Vorhandensein einer Rechtsgrundlage, die zur Datenverarbeitung berechtigt. Art. 6 (1) DS-GVO nennt mehrere solcher Rechtsgrundlagen, von denen einige aber nur für die Datenverarbeitung durch öffentliche Stellen gelten.

Natürlich dürfen Unternehmen Kundendaten verarbeiten, soweit sie rechtlich dazu verpflichtet sind oder die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist. Das ergibt sich aus Art. 6 (1) b) und c) DS-GVO. Diese Rechtsgrundlagen scheiden freilich aus, wenn das Unternehmen Daten nutzen will, um sein Angebot zu verbessern und so einen wirtschaftlichen Vorteil erlangen will. Aber auch eine solche Datenverarbeitung kann zulässig sein. Ob sie das auch ist, muss das Unternehmen vor Beginn der Verarbeitung klären.

Zulässig ist eine Datenverarbeitung immer dann, wenn der betroffene Kunde darin wirksam eingewilligt hat, Art. 6 (1) a) DS-GVO. Allerdings sind die Hürden einer Datenverarbeitung aufgrund einer Einwilligung hoch. So muss jeder einzelne Kunde eingewilligt haben, die Einwilligung muss vollkommen freiwillig erteilt worden sein und sie kann jederzeit widerrufen werden.

Naheliegend ist es deshalb, zu prüfen, ob die Datenverarbeitung durch ein berechtigtes Interesse des Unternehmens gerechtfertigt sein könnte. Diese nach Art. 6 (1) f) DS-GVO zulässige Datenverarbeitung ist unabhängig von einer Einwilligung der Betroffenen, ja unter Umständen sogar gegen den Willen der Betroffenen möglich. Das Unternehmen muss aber im Rahmen einer Interessenabwägung prüfen, ob nicht ein Interesse seiner Kunden, dass ihre Daten nicht verarbeitet werden, überwiegt. Entscheidet sich ein Unternehmen auf dieser Rechtsgrundlage zur Datenverarbeitung, bleibt die Rechtsunsicherheit, ob es die Interessenabwägung richtig vorgenommen hat. Aber auch bei einer Einwilligung bleibt Rechtsunsicherheit, weil meist nicht mit Sicherheit gesagt werden kann, ob die Einwilligung freiwillig erteilt worden ist.

Oftmals wird es deshalb so sein, dass eine Verarbeitung von Kundendaten nur durch ein berechtigtes Interesse gerechtfertigt sein kann.

Aber Achtung: Hat das Unternehmen eine Rechtsgrundlage für die gewünschte Datenverarbeitung gefunden, darf es die Daten verarbeiten. Es muss aber bei dieser Datenverarbeitung alle Vorgaben der DS-GVO beachten.

Sie sind ein Unternehmen und wissen nicht, ob Sie berechtigt sind, bestimmte Kundendaten zu verarbeiten? Sprechen Sie uns an, wir beraten Sie gerne.

Achtung: Dieser Beitrag enthält nur allgemeine Hinweise und ersetzt keinesfalls eine Beratung im Einzelfall. Dieser Beitrag gibt die Rechtslage zum Zeitpunkt seiner Erstellung wieder, spätere Änderungen der Rechtslage sind nicht berücksichtigt. Sprechen Sie uns an!

Konsenquenzen von Datenrechtsverstößen ab dem 25.05.2018

Ab dem 25. Mai 2018 gilt die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/36/EG, kurz Datenschutz-Grundverordnung (DS-GVO).

Eine wesentliche Änderung des Datenschutzrechts durch die DS-GVO betrifft die erhebliche Verschärfung der Sanktionierung von Datenrechtsverstößen. Im Zentrum der Aufmerksamkeit standen bislang die Geldbußen, die 20 Million Euro und mehr betragen können. Hinter diesen drakonischen Strafen sind andere Sanktionen aus dem Blick geraten.

Die DS-GVO regelt aber in Art. 82 DS-GVO auch einen Schadensersatzanspruch der von einem Verstoß betroffenen Personen. Zwar bestand ein solcher Anspruch schon bisher, war in der Praxis aber schwer durchzusetzen. Die Neuregelung lässt vermuten, dass das künftig nicht mehr der Fall sein wird. Unternehmen sind also gut beraten, Maßnahmen zur Vermeidung einer Inanspruchnahme zu treffen.

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“, hat nach dem Wortlaut von Art. 82 DS-GVO Anspruch auf Schadensersatz. Anders als bisher ist damit auch der immaterielle Schaden zu ersetzen. Die DS-GVO enthält keine konkreten Vorgaben, wie dieser Schaden zu bemessen ist. Es bleibt also abzuwarten, wie die Rechtsprechung entscheiden wird.

Grundsätzlich muss, wer Schadensersatz beansprucht, darlegen und im Bestreitensfall beweisen, dass die Voraussetzungen seines Anspruchs bestehen. Auch wenn dies dem Wortlaut von Art. 82 DS-GVO nicht zu entnehmen ist, gilt künftig faktisch eine Beweislastumkehr, weil der Verantwortliche, also die die Daten verarbeitende Person, dokumentieren muss, dass er die Vorgaben der DS-GVO beachtet.

Insbesondere muss die betroffene Person in Zukunft kein Verschulden des Verantwortlichen, also fahrlässiges oder vorsätzliches Handeln, mehr nachweisen. Vielmehr ist die Haftung des Verantwortlichen nur ausgeschlossen, wenn er „nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“, Art. 82 Abs. 3 DS-GVO. Dieser Nachweis dürfte nur sehr schwer zu führen sein.

Schadensersatzansprüchen kann ein Unternehmen also letztlich nur entgehen, wenn es sich nicht nur bei der Verarbeitung der Daten an die Vorgaben der DS-GVO hält, sondern auch bei der Dokumentation der Einhaltung dieser Vorgaben. Unternehmen sind deshalb gut beraten, die umfangreichen Dokumentationspflichten, die die DS-GVO regelt, zu erfüllen.

Sie benötigen Unterstützung bei der Umsetzung der Vorgaben der DS-GVO? Sprechen Sie uns an.

Achtung: Dieser Beitrag enthält nur allgemeine Hinweise und ersetzt keinesfalls eine Beratung im Einzelfall. Dieser Beitrag gibt die Rechtslage zum Zeitpunkt seiner Erstellung wieder, spätere Änderungen der Rechtslage sind nicht berücksichtigt. Sprechen Sie uns an!

Atteinte à la personnalité d'une société

Contrairement à ce que l’on pourrait croire, une personne morale telle qu’une société est titulaire de droits de la personnalité. Le fait de publier des données inexactes la concernant sur Internet est susceptible de porter atteinte à ses droits de la personnalité. En cas d’atteinte avérée, la société peut réclamer la rectification ainsi que la réparation de son dommage.

Or quel est le tribunal internationalement compétent pour statuer sur une telle demande ? L’article 7, point 2 du règlement (UE) n°1215/2012 du Parlement européen et du Conseil, du 12 décembre 2012, concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale, dit Règlement Bruxelles I bis, stipule qu’ « [u]ne personne domiciliée sur le territoire d’un État membre peut être attraite, dans un autre État membre : … en matière délictuelle ou quasi délictuelle, devant la juridiction du lieu où le fait dommageable s’est produit ou risque de se produire ».

Selon la jurisprudence constante de la Cour de justice de l’Union européenne (CJUE), l’expression « lieu où le fait dommageable s’est produit ou risque de se produire » vise à la fois le lieu de l’événement causal et celui de la matérialisation du dommage. Le lieu de la matérialisation du dommage semble permettre de saisir n’importe quel tribunal national, les données étant par hypothèse accessibles partout.

Or la CJUE a précisé il y a très longtemps déjà (arrêt du 7 mars 1995, Shevill e.a., C‑68/93) au sujet de la publication d’un article diffamatoire que seuls les tribunaux au lieu de l’événement causal seraient compétents pour connaître de l’intégralité du dommage. Les autres tribunaux ne seraient compétents que pour connaître des seuls dommages causés sur le territoire de leur Etat membre.

Dans un arrêt du 25 octobre 2011, eDate Advertising e.a., C‑509/09 et C‑161/10, la CJUE a toutefois ajouté qu’une personne physique ait aussi la faculté de saisir les juridictions de l’État membre dans lequel se trouve le centre de ses intérêts pour obtenir la réparation de l’intégralité de son dommage.

Dans une décision toute récente, l’arrêt du 17 octobre 2017, Bolagsupplysningen OÜ, C-194/16, la CJUE a apporté au moins deux précisions à sa jurisprudence ci-dessus rappelée : 1) une personne morale peut également se prévaloir de la jurisprudence eDate Advertising et 2) une demande visant à la rectification de données inexactes et à la suppression de contenus ne peut être portée que devant une juridiction compétente pour connaître de l’intégralité d’une demande de réparation du dommage.

Un tiers publie des informations inexactes sur votre entreprise sur Internet et vous ne savez pas quel tribunal saisir pour obtenir la rectification des informations et/ou la réparation de votre dommage intégral et vous ne savez pas quel tribunal saisir ? Les tribunaux compétents sont ceux de l’Allemagne et vous avez besoin d’un avocat pour vous représenter. Contactez-nous, nous vous assisterons dans la réalisation de vos droits.

Le présent article ne donne que des renseignements d’ordre général. En aucun cas il ne saurait remplacer une consultation sur un cas concret. Le présent article expose le droit au moment de sa rédaction, les modifications ultérieures ne sont pas prises en compte. Prenez contact avec nous !

Neuer Arbeitnehmer-Datenschutz ab 25.05.2018

Bislang galt für den Beschäftigtendatenschutz im Wesentlichen das Bundesdatenschutzgesetz (BDSG), das in § 32 BDSG eine Sonderregelung über die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses enthielt. Ab dem 25. Mai 2018 gelten neue Regeln für die Verarbeitung von Arbeitnehmerdaten.

Die neue Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/36/EG, kurz Datenschutz-Grundverordnung (DS-GVO), geht dem deutschen Recht zwar vor, sie gestattet es aber den Mitgliedstaaten gemäß Art. 88 DS-GVO, im Beschäftigungskontext „spezifischere Vorschriften“ vorzusehen.

Der deutsche Gesetzgeber hat diese und andere sogenannte Öffnungsklauseln der DS-GVO genutzt und ein neues BDSG erlassen, das die von der DS-GVO gelassenen Spielräume ausfüllt. Das neue BDSG tritt zeitgleich mit dem Wirksamwerden der DS-GVO in Kraft und enthält in § 26 BDSG neu eine neue Regelung, die § 32 BDSG alt im Wesentlichen übernimmt, aber auch Fragen regelt, die in § 32 BDSG alt nicht geregelt waren.

26 BDSG neu ist also eine zentrale Vorschrift des neuen Arbeitnehmerdatenschutzrechts. Wegen des Vorrangs der DS-GVO vor § 26 BDSG neu müssen aber beide Vorschriften immer zusammengelesen werden.

26 (2) BDSG neu regelt die Anforderungen an die Einwilligung von Arbeitnehmern in die Datenvereinbarung. Diese Regelung ist aber nicht abschließend. Daneben müssen die Regelungen der DS-GVO über die Einwilligung beachtet werden. Diese sind vor allem in Art. 7 DS-GVO, aber auch in Art. 4 Nr. 11 DS-GVO und in den Erwägungsgründen 42 und 43 der Verordnung zu finden.

Die Regelung in § 26 BDSG neu ist nicht abschließend. Zahlreiche Fragen im Zusammenhang mit dem Arbeitnehmerdatenschutz sind jetzt nicht mehr im BDSG, sondern in der neuen DS-GVO geregelt. Das gilt insbesondere für die in Art. 13 und 14 DS-GVO geregelte Pflicht des Arbeitgebers, den Arbeitnehmer umfassend über die Datenverarbeitung zu informieren, sowie für die in den Art. 15 ff. DS-GVO geregelten Betroffenenrechte auf Auskunft, Berichtigung, Löschung usw.

Die neue Regelung ist umfangreich und weicht vielfach erheblich vom bisherigen Recht ab. Verstöße gegen das neu Recht lösen ab dem 25. Mai 2018 schwere Sanktionen aus. Wir unterstützen Unternehmen dabei, ihre betrieblichen Abläufe an das neue Recht anzupassen und so Sanktionen zu vermeiden.

Achtung: Dieser Beitrag enthält nur allgemeine Hinweise und ersetzt keinesfalls eine Beratung im Einzelfall. Dieser Beitrag gibt die Rechtslage zum Zeitpunkt seiner Erstellung wieder, spätere Änderungen der Rechtslage sind nicht berücksichtigt. Sprechen Sie uns an!