Rechtsanwalt für Datenschutz

Ihr Anwalt für Datenschutz in Berlin

Ein Rechtsanwalt für Datenschutz hilft bei Anliegen, die die rechtliche Nutzung von privaten Daten verletzen. Mit diesen Problemen haben viele Unternehmen im heutigen digitalen Zeitalter zu tun, da für Sie Datenschutz wie eine Wurzelbehandlung beim Zahnarzt ist: Es scheint unangenehm zu sein, und auf den ersten Blick ist der Nutzen nicht ganz klar. Doch avancieren Daten mehr und mehr zur neuen Währung des digitalen Zeitalters, die Erhebung und Nutzung von personenbezogenen Daten ist umfangreicher denn je. Da jedoch der Schutz der Daten gleichzeitig der Schutz des Rechts auf informationelle Selbstbestimmung und damit Schutz eines Grundrechts bedeutet, hat das Thema Datenschutz bei vielen inzwischen oberste Priorität. Denn bei rechtskonformer Handhabung entsteht ein echter Mehrwert für Ihre Kunden und somit auch für Ihr Unternehmen.

Der Handelsverkehr im Internet ist eine wichtige Einnahmequelle für zahlreiche Unternehmen und wird unter dem Begriff des E-Commerce zusammengefasst. Von Ihrem Rechtsanwalt für Internetrecht mit umfangreichen Erfahrungen im Wettbewerbs- und Urheberrecht erhalten Sie auch auf dem Gebiet des Datenschutzes äußerst effektive Unterstützung. Egal ob es sich um wettbewerbsrechtliche Verstöße, um die Erstellung von allgemeinen Geschäftsbedingungen (AGB) und Widerrufsbelehrungen oder um die Informationspflichten gegenüber Verbrauchern handelt. Auch bei der Erarbeitung eines individuellen Geschäftsmodells steht Ihnen Ihr Anwalt für Internetrecht gerne zur Seite. Die Kanzlei Lemme ist in Berlin geschäftsansässig, jedoch in ganz Deutschland tätig. Sie erreichen uns unter der Telefonnummer +49 30 23630095 oder über das Kontaktformular am Ende dieser Seite.

Schadensersatzansprüche nach Art. 82 DSGVO bei massenhaftem Versand von Abmahnungen

Schadensersatzansprüche

nach Art. 82 DSGVO bei massenhaftem Versand von Abmahnungen

Die Datenschutz-Grundverordnung (DSGVO) hat seit ihrer Einführung im Jahr 2018 erhebliche Auswirkungen auf die Art und Weise, wie personenbezogene Daten verarbeitet werden. Ein Aspekt, der dabei immer häufiger die Gerichte befasst, ist die Frage, ob und ggfs. unter welchen Voraussetzungen Schadensersatzansprüche entstehen. Art. 82 der DSGVO regelt die Voraussetzungen für diese Schadensersatzansprüche, die Betroffene geltend machen können, wenn sie eine Verletzung der Vorschriften der DSGVO beklagen.

Mit einem besonders interessanten rechtlichen Aspekt hat sich vor kurzem das LG München beschäftigt. Dabei ging es um die Frage, ob dem Betroffenen einer möglichen Datenschutzrechtsverletzung bzw. eines Verstoßes gegen Vorschriften der DSGVO auch dann ein Schadensersatzanspruch zusteht, wenn dieser angebliche Verstoß vom Betroffenen selbst provoziert wurde. Dem lag der Sachverhalt der massenhaften Abmahnungen im Zusammenhang mit der Einbindung von Google WebFonts in Webseiten zugrunde. Ein angeblich Betroffener hat durch seinen Anwalt massenhaft Abmahnungen an Webseiten Betreiber verschicken lassen, die diese entsprechende Google Technologie genutzt haben, und verlangte als Schadenersatz ein Schmerzensgeld.

Das LG München hat sich nun hierzu klar positioniert und geurteilt, dass es angesichts des Aufwandes und auch des Kostenrisikos bei der weiteren Verfolgung der angeblichen Ansprüche wohl vorrangig um eine Gewinnerzielungsabsicht des Betroffenen gegangen sei. Dies wurde als rechtsmissbräuchlich angesehen, so dass dem angeblich Betroffenen keinerlei Ansprüche auf Schmerzensgeld oder sonstigen Schadensersatz zustehen. In dem zugrunde liegenden Fall wurde auch berücksichtigt, dass die angeblichen Rechtsverstöße provoziert wurden.

Im Ergebnis können nun all diejenigen beruhigt aufatmen, die von der Abmahnwelle, die letztes Jahr wegen der Nutzung von Google WebFonts durch das Land zog, betroffen waren und nicht gezahlt haben. Sie haben, zumindest von zivilrechtlicher Seite aus, nichts mehr zu befürchten.

Die Entscheidung des LG München könnte auch als Präzedenzfall für eine neue Welle von massenhaften Abmahnungen dienen. Dabei geht es um Auskunftsansprüche, die ein Österreicher aktuell aufgrund der von ihm vorgenommenen Anmeldungen zu Newslettern begehrt. Auch hier spielen Aspekte wie Tatprovokation und mögliches Prozessrisiko eine erhebliche Rolle, so dass auch dies wieder ein Fall von Rechtsmissbrauch ist, aus dem sich keinerlei Ansprüche ableiten lassen. Das dürfte in diesem Fall nicht nur für den geforderten Schadensersatzanspruch sondern bereits schon für den Auskunftsanspruch nach DSGVO gelten. Wie sich die Rechtsprechung hierzu jedoch positionieren wird, bleibt abzuwarten.

Die DSGVO hat den Schutz personenbezogener Daten zwar gestärkt und ermöglicht es Betroffenen, auch Schadensersatzansprüche geltend zu machen, wenn ihr Datenschutzrecht verletzt wird. Allerdings dürfen diese Datenschutzrechte nicht rechtsmissbräuchlich geltend gemacht werden. Das massenhafte Versenden von Abmahnungen kann ein Indiz für Rechtsmissbrauch sein. Daher sollte jeder, der eine Abmahnung wegen angeblicher Datenschutzverstöße erhält, genau prüfen, was hinter der Abmahnung steckt, ob tatsächlich ein Verstoß gegen geltendes Datenschutzrecht und die DSGVO vorliegt und wie am besten auf die Abmahnung reagiert werden sollte. Zögern Sie nicht, Ihren Anwalt für Datenschutz zu kontaktieren. Wir stehen Ihnen bei allen Fragen rund um das Thema Datenschutz gerne zur Seite.

Rechtsanwältin Friederike Lemme, September 2023 · Berlin

Datenschutzgrundverordnung Teil 4

Datenschutzgrundverordnung

Alles neu, alles anders? – Ein Überblick Teil 4

Die neue Datenschutzgrundverordnung, die ab dem 25. Mai 2018 das bisher bestehende Bundesdatenschutzgesetz (BDSG) ablöst. bringt viele Neuerungen mit sich. Über die meisten dieser Änderungen haben wir Sie an dieser Stelle bereits informiert.

Zu den wichtigsten Änderungen gehören die Vorschriften zu den Pflichten bei Datenpannen. Bisher galt die Pflicht zur Meldung solcher Datenpannen an die Aufsichtsbehörden nur, wenn unrechtmäßig Daten übermittelt wurden oder Dritte in sonstiger Weise unrechtmäßig Kenntnis von Daten erlangt haben und wenn schwerwiegende Beeinträchtigungen für die Rechte der Betroffenen drohten. Diese Meldepflichten wurden nun stark erweitert. Die gelten nicht nur, wenn Dritte unbefugten Zugriff auf Daten hatten, sondern für jeden Fall einer rechtswidrigen Datenpanne. Hierunter fällt auch jeder Verlust oder Zerstörung oder Veränderung von Daten. Dies gilt unabhängig von der Art der Daten – auch nicht sensitive Daten sind umfasst – und davon, ob die Änderung oder der Verlust nur versehentlich geschah. Eine Ausnahme gilt nur, wenn Risiken für die Rechte der Betroffenen unwahrscheinlich sind. Die Meldung an die Aufsichtsbehörden hat möglichst innerhalb von 72 Stunden zu erfolgen. Kann diese Frist nicht eingehalten werden, so ist die Verzögerung zu begründen. Die Meldung muss die Datenpanne ausführlich beschreiben, sie hat eine Einschätzung der Auswirkungen auf den Betroffenen einschließlich der Maßnahmen zur Begrenzung dieser Auswirkungen zu enthalten.

Grundsätzlich gilt, dass es bei jeder Datenpanne einer Abschätzung bedarf, ob ein Risiko für Betroffene besteht oder nicht. Daher ist grundsätzlich jede Datenpanne zu dokumentieren, auch wenn im Ergebnis eine Meldung an die Aufsichtsbehörden nicht erfolgt. Bei einem voraussichtlich hohen Risiko für den Betroffenen ist dieser neben der Aufsichtsbehörde zu informieren.

Sofern den Meldepflichten nicht nachgekommen wird, drohen erhebliche Bußgelder. Hier liegt eine der wesentlichen Änderungen der DS-GVO gegenüber dem bisher geltenden Recht. Die Höchstgrenze der Bußgelder lag bei. 300.000 EUR. Diese Höchstgrenze wird erheblich erhöht. Für Verstöße gegen die DS-GVO können nunmehr Bußgelder von bis zu 20 Mio. EUR oder bis zu 4% des weltweiten Jahresumsatzes verhängt werden. Dies bedeutet nicht, dass die Unternehmen für den kleinsten Verstoß in den Ruin getrieben werden. Wenn allerdings der Höchstsatz ansteigt, so kann davon ausgegangen werden, dass auch Bußgelder für kleinere Verstöße ab Mai 2018 erheblich höher ausfallen. Die Aufsichtsbehörden haben hier einen Ermessensspielraum, der sich jedoch auch an den Höchstgrenzen orientiert, so dass damit zu rechnen ist, dass die verhängten Bußgelder insgesamt drastisch erhöht werden. Lassen Sie es nicht darauf ankommen. Ziehen Sie rechtzeitig Ihren Anwalt für Datenschutz zu Rate. Nehmen Sie Kontakt mit uns auf, wir beraten Sie gerne.

Rechtsanwältin Friederike Lemme, April 2018 · Berlin

Datenschutzgrundverordnung Teil 3

Datenschutzgrundverordnung

Alles neu, alles anders? – Ein Überblick Teil 3

Über viele Änderungen, die sich aufgrund der neuen Datenschutzgrundverordnung (DS-GVO) ab dem 25. Mai 2018 für Unternehmen ergeben, haben wir an dieser Stelle bereits informiert. Im vorletzten Teil dieses Überblickes soll auf weitere Änderung eingegangen werden, die sich für Unternehmen ergeben, die gewerbsmäßig personenbezogene Daten verarbeiten. Eine dieser Änderung betrifft die Auftragsdatenverarbeitung. Hier ändert sich zunächst die Begrifflichkeit, es heißt nunmehr nur noch Auftragsverarbeiter. Auch die DS-GVO kennt die Auftragsverarbeitung, es sind nach wie vor technische und organisatorische Maßnahmen (TOMs) zu treffen, um den Schutz und die Sicherheit der personenbezogenen Daten zu gewährleisten. Der Katalog wurde jedoch verdichtet, das Gebot der Pseudonymisierung kam neu hinzu. Inhaltlich bleiben die TOMs dem Grunde nach allerdings bestehen. Auch die Haftung des Auftragsverarbeiters wird mit der DS-GVO verschärft. Bisher lag die Verantwortlichkeit für die Verarbeitung ausschließlich bei der erhebenden Stelle. Durch die DS-GVO wird der Auftragnehmer für die Verarbeitung der Daten mitverantwortlich. An zahlreichen Stellen finden sich selbständige Pflichten für den Auftragsverarbeiter, so z.B. die Pflicht, ein Verfahrensverzeichnis zu führen, oder die Pflicht, einen Datenschutzbeauftragten zu bestellen. Auch die DS-GVO kennt noch die besonderen Kategorien personenbezogener Daten und stellt diese unter einen besonderen Schutz. Dabei hat sich an der Art der Daten, die in diese Kategorie fallen, nichts geändert. Eine Verarbeitung dieser Daten ist nach wie vor nur aufgrund einer Einwilligung möglich. Neu ist jedoch, dass Gesundheitsdaten nunmehr legal definiert wurden. Der Begriff ist weit zu verstehen und umfasst alle Informationen über den körperlichen Zustand von ärztlichen Untersuchungen bis hin zu Messungen aus dem Fitnessbereich.

Hierauf wird sich die Fitnessbranche einschließlich der Anbieter diverser Apps zur Leistungsmessung einstellen müssen.

Wie bereits ausgeführt, bedarf jede Datenverarbeitung einer Rechtsgrundlage. Die DS-GVO kennt nun den Vertrag als eigenen Erlaubnistatbestand. Allerdings sind Daten, die zur Begründung eines Vertrages notwendig sind, nur dann von der DS-GVO erfasst, wenn es eine Anfrage des Betroffenen gegeben hat. Umfasst hiervon sind auch Verarbeitungen, die zur Vorbereitung eines Vertrages erforderlich sind. Erweitert wurde jedoch die Erlaubnis zur Datenerhebung zu eigenen Geschäftszwecken. Dies wird nunmehr unter „berechtigtes Interesse“ zusammengefasst. Demnach ist jede Datenverarbeitung zulässig, wenn sie für die Verfolgten und berechtigten Interessen der erhebenden Stelle erforderlich ist. Unzulässig ist die Verarbeitung jedoch, wenn schutzwürdige Interessen des Betroffenen die Interessen des Verantwortlichen überwiegen. Hier ist also jeweils eine Abwägung vorzunehmen. Der Begriff des „berechtigten Interesses“ kann jedoch sehr weit ausgelegt werden. Es kann hier praktisch jedes wirtschaftliche oder ideelle Interesse herangezogen werden. Allerdings ist einschränkend zu beachten, dass bei der Beurteilung, ob ein berechtigtes Interesse vorliegt, die vernünftigen Erwartungen des Betroffenen zu berücksichtigen sind. Dabei ist zu berücksichtigen, in welchem Verhältnis sich Betroffener und Verantwortlicher gegenüberstehen. Die Abwägungen, die hier getroffen werden müssen, sind nicht immer klar.

Ihr Anwalt für Datenschutz steht Ihnen hierbei gerne beratend zur Seite. Wenden Sie sich in allen Fragen rund um den Datenschutz vertrauensvoll an uns – Ihre Kanzlei zum Thema Datenschutz.

Rechtsanwältin Friederike Lemme, März 2018 · Berlin

Datenschutzgrundverordnung Teil 2

Datenschutzgrundverordnung

Alles neu, alles anders? – Ein Überblick Teil 2

Mit der neuen Datenschutzgrundverordnung (DS-GVO), die zum 25. Mai 2018 in Kraft tritt, ergeben sich einige wichtige Änderungen, die alle Unternehmen, die personenbezogene Daten verarbeiten, unbedingt beachten sollten. Im ersten Teil wurde bereits auf relevante Neuerungen in Bezug auf die Einwilligung eingegangen. Es ändert sich jedoch weit mehr.

So werden die Informationspflichten, die die datenverarbeitenden Stellen zu erfüllen haben, deutlich verschärft. Wie bereits im ersten Teil ausgeführt, muss neben der verantwortlichen Stelle nunmehr jeder einzelne Zweck der Datenverarbeitung genannt werden. Wenn Sie als Unternehmer also beabsichtigen, z.B. ein Inkassobüro mit der Beitreibung Ihrer Forderung zu beauftragen, so müssen Sie bereits bei der Erhebung der Daten auf diesen Zweck hinweisen. Weiterhin muss der Betroffene über alle ihm zustehenden Rechte aufgeklärt werden. Neben dem Recht auf Widerspruch gehört hierzu insbesondere das Recht auf Auskunft, Berichtigung und Löschung seiner Daten, Sperrung sowie Datenübertragbarkeit. Sofern ein Datenschutzbeauftragter bestellt wurde, muss dieser mit Name und Kontaktmöglichkeiten ebenfalls genannt werden. Wird eine Weitergabe der Daten beabsichtig, so muss der Betroffene bereits in der Datenschutzerklärung über den oder die Empfänger bzw. auch über die Kategorien der Empfänger informiert werden. Es muss über die Dauer der Speicherung genauso informiert werden wie über das Recht, sich bei der Aufsichtsbehörde zu beschweren. Sofern automatisierte Entscheidungen getroffen werden einschließlich Profiling, muss auch hierüber informiert werden.

Sollte sich der Zweck, zu dem die Daten ursprünglich erhoben wurden, später ändern, so muss der Betroffene über den geänderten Zweck ebenfalls informiert werden. Daher ist es empfehlenswert, bereits bei der Erhebung der Daten alle möglichen Zwecke, die in Betracht kommen zu berücksichtigen und sie in der Datenschutzerklärung zu erwähnen, um eine erneute Information des Betroffenen zu vermeiden. Sofern die Datenerhebung aufgrund berechtigter Interessen, wie z.B. Abschluss eines Vertrages, beruht, so sind auch diese Interessen anzugeben.

Nach dem Regime der neuen DS-GVO in Verbindung mit dem neuen BDSG bleibt es bei den Voraussetzungen, unter denen ein Datenschutzbeauftragter bestellt werden muss. Neu ist allerdings, dass der betriebliche Datenschutzbeauftragte für Datenschutzverstöße im Unternehmen in die Haftung genommen werden kann. Der genaue Umfang ist jedoch noch umstritten. Ebenfalls neu ist, dass ein interner Datenschutzbeauftragter auch für einen Konzern bestellt werden kann sowie die Tatsache, dass es keinen erweiterten Kündigungsschutz mehr für den Datenschutzbeauftragten gibt. Ihr Anwalt für Datenschutz berät Sie gerne, wie Sie Ihre Kunden rechtskonform nach der neuen DS-GVO informieren. Wir erstellen Ihre Datenschutzerklärungen und ändern bestehende ab. Wir stehen Ihnen als kompetenter Rechtsanwalt für Datenschutz jederzeit gerne zur Seite. Zögern Sie nicht, Kontakt mit uns aufzunehmen.

Rechtsanwältin Friederike Lemme, Februar 2018 · Berlin

Datenschutzgrundverordnung Teil 1

Datenschutzgrundverordnung

Alles neu, alles anders? – Ein Überblick Teil 1

Die Datenschutzgrundverordnung (DS-GVO) tritt zum 25. Mai 2018 in Kraft – ohne Übergangsfrist. Ergänzt werden die Regelungen der DS-GVO durch ein neues Bundesdatenschutzgesetz (BDSG), das das alte BDSG ablöst. Das bedeutet, dass ab diesem Tag sämtliche Prozesse der verarbeitenden Stelle im Einklang mit der neuen Rechtslage sein müssen. Hierunter fallen nicht nur die Datenschutzerklärungen, sondern auch Einwilligungen, Verfahrensverzeichnisse und Verträge zur Auftragsdatenverarbeitung u.a.

Es bleibt auch unter dem Regime der DS-GVO bei dem Prinzip, dass die Verarbeitung und Erhebung personenbezogener Daten grundsätzlich verboten ist, wenn sie nicht durch eine Rechtsgrundlage erlaubt ist. Wichtig ist, dass für jede einzelne Datenverarbeitung eine Rechtsgrundlage benötigt wird. Diese wird in den meisten Fällen in der DS-GVO selbst zu finden sein. Sofern die Datenverarbeitung aufgrund einer Einwilligung erfolgt, sind die Anforderungen an die Form nun gelockert worden. Neben der schriftlichen und elektronischen Einwilligung sind jetzt auch mündliche Einwilligung, Einwilligungen per E-Mail oder durch Anklicken einer Checkbox möglich. Als Rat von jedem Rechtsanwalt für Datenschutz empfiehlt es sich jedoch, zu Beweiszwecken, auf die mündliche Einwilligung zu verzichten und die Erklärung des Betroffenen stets gut zu dokumentieren.
Voraussetzung für eine Einwilligung ist, dass diese freiwillig abgegeben wurde und der Betroffene zuvor ausreichend informiert wurde. Die Freiwilligkeit fehlt beispielsweise bei Bestehen eines Abhängigkeitsverhältnisses, wenn also zwischen den Vertragsparteien ein klares Ungleichgewicht besteht. Das lässt sich insbesondere im Verhältnis Arbeitgeber-Arbeitnehmer und auch bei Monopolstellungen einzelner Unternehmen kaum vermeiden. Daher empfiehlt es sich in solchen Fällen, eine andere Rechtsgrundlage als die der Einwilligung für die Datenverarbeitung heranzuziehen. Weiterhin muss der Betroffene ausreichend informiert sein.

Er muss neben dem Verantwortlichen insbesondere die Zwecke der Datenerhebung kennen. Wie und in welchem Umfang dem Betroffenen diese Informationen zu erteilen sind, wurde in der DS-GVO klar und auch strenger als bisher geregelt. So muss beispielsweise jeder einzelne Zweck der Verarbeitung angegeben werden. Außerdem muss die Information in einer klaren und einfachen Sprache erteilt werden. Es muss über den konkreten Fall der Verarbeitung informiert werden. Zudem muss der Betroffene unbedingt über sein Widerrufsrecht aufgeklärt werden. Die Information, die der Einwilligung vorausgeht, sollte im Übrigen auch klar hervorgehoben sein, so dass eine Einbindung in bestehende AGB eher nicht zu empfehlen ist. Vielmehr sollten dem Betroffenen die notwendigen Informationen nachweisbar separat und im konkreten Kontext mit der Einwilligung erteilt werden.

Wichtig ist auch, dass es nunmehr ein Kopplungsverbot zwischen der Datenerhebung und der Erfüllung eines Vertrages gibt. Dies gilt zwar nicht für Daten, die für die Erfüllung des Vertrages erforderlich sind. Für alle darüber hinausgehenden Daten darf die Erfüllung des Vertrages jedoch nicht von der Einwilligung in die Datenverarbeitung abhängig gemacht werden. Einwilligungen, die nicht den o.g. Anforderungen entsprechen, stellen keine wirksame Rechtsgrundlage für eine Datenverarbeitung dar. In der Folge liegt somit ein Verstoß gegen die DS-GVO vor, der ein Bußgeld nach sich ziehen kann. Dies gilt auch für bereits nach alter Rechtslage erteilte Einwilligung. Riskieren Sie keine unnötigen Bußgelder. Sprechen Sie Ihren Anwalt für Datenschutz rechtzeitig an. Wir beraten Sie gerne zu allen Fragen rund um das Thema Datenschutz und erstellen und prüfen Ihre Einwilligungserklärungen und Datenschutzinformationen für Sie.

Rechtsanwältin Friederike Lemme, Januar 2018 · Berlin

Vereinbaren Sie einen Termin mit Ihrem Anwalt für Internetrecht in Berlin

Über das folgende Formular können Sie direkt einen Beratungstermin mit unserem Anwalt für Internetrecht in der Kanzlei in Berlin vereinbaren. Detaillierte Informationen zum Umgang mit Nutzerdaten finden Sie in unserer Datenschutzerklärung.

Nach der Kontaktaufnahme senden wir Ihnen umgehend eine Terminbestätigung oder melden uns zwecks Rückfragen. Natürlich können Sie uns auch gerne telefonisch unter +49 30 23630095 oder per E-Mail erreichen.

9 + 15 =