Skip to content

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann: Wenn der Datenschützer klingelt - Tipps und Hinweise zum Umgang mit Aufsichtsverfahren durch Landesdatenschutzbehörden

In Ausgabe 11/20, S. 48-49 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Wenn der Datenschützer klingelt". Der Beitrag gibt Tipps und Hinweise zum Umgang mit datenschutzrechtlichen Aufsichtsverfahren durch die Landesdatenschutzbehörden.


OVG Münster: Kundenkontaktdaten dürfen weiterhin zum Zweck der Kontaktpersonennachverfolgung auf Grundlage der Coronaschutzverordnung erhoben werden

OVG Münster
Beschluss vom 23.06.2020
13 B 695/20.NE


Das OVG Münster hat entschieden, dass Kundenkontaktdaten weiterhin zum Zweck der Kontaktpersonennachverfolgung auf Grundlage der Coronaschutzverordnung erhoben werden dürfen.

Die Pressemitteilung des Gerichts:

Kundenkontaktdaten dürfen weiterhin auf Grundlage der Coronaschutzverordnung erhoben werden

Das Oberverwaltungsgericht hat in einem Eilverfahren mit Beschluss vom heutigen Tag entschieden, dass die in der nordrhein-westfälischen Coronaschutzverordnung vorgesehene Datenerhebung zum Zweck der Kontaktpersonennachverfolgung im Bereich der Gastronomie, des Friseurhandwerks und der Fitnessstudios voraussichtlich rechtmäßig ist.

Zur Rückverfolgbarkeit möglicher Infektionsketten sieht die Coronaschutzverordnung für bestimmte Wirtschaftsbereiche die papiergebundene Erfassung der Kundenkontaktdaten (Name, Adresse, Telefonnummer, Zeitraum des Aufenthalts bzw. Zeitpunkt von An- und Abreise) vor. Die Kontaktdaten sind vier Wochen aufzubewahren und danach zu vernichten. Eine Weitergabe an die für die Nachverfolgung zuständige Behörde erfolgt nur auf deren Verlangen.

Gegen die Regelungen zur Kontaktdatenangabe in Restaurants, Fitnessstudios und Friseursalons hatte sich ein Bochumer Rechtsanwalt gewandt und geltend gemacht, die Datenerhebung verletze ihn in seinem Grundrecht auf informationelle Selbstbestimmung. Die Maßnahme sei insbesondere unverhältnismäßig und verstoße zudem gegen datenschutzrechtliche Vorgaben.

Das Oberverwaltungsgericht hat den Antrag auf Erlass einer einstweiligen Anordnung abgelehnt. Zur Begründung hat es im Wesentlichen ausgeführt, dass die angegriffenen Regelungen voraussichtlich rechtmäßig seien. Mit der vorsorglichen Erhebung der Kundendaten solle sichergestellt werden, dass bei Nachweis einer Neuinfektion die Kontaktpersonen des Betroffenen leichter durch die Gesundheitsämter identifiziert werden könnten. Angesichts der inzwischen weitgehenden Öffnung des sozialen und wirtschaftlichen Lebens sei es voraussichtlich nicht zu beanstanden, wenn der Verordnungsgeber die Kontaktdatenerhebung in bestimmten kontaktintensiven Bereiche als - milderes Mittel - nutze, um Infektionsketten aufzudecken und zu unterbrechen. Das durch die Regelungen in erster Linie betroffene Recht auf informationelle Selbstbestimmung trete gegenüber dem Schutz von Leben und Gesundheit vorübergehend zurück. Dabei sei unter anderem zu berücksichtigen, dass weder der Besuch einer gastronomischen Einrichtung noch das Aufsuchen eines Fitnessstudios oder der Besuch eines Friseursalons der Deckung elementarer Grundbedürfnisse diene und zudem Alternativen zur Verfügung stünden. Der sichere Umgang mit den erhobenen personenbezogenen Daten werde durch die zu beachtenden Vorgaben der Datenschutz-Grundverordnung voraussichtlich gewährleistet.

Der Beschluss ist unanfechtbar.

Aktenzeichen: 13 B 695/20.NE



ArbG Siegburg: Missbrauch von Kundendaten durch IT-Mitarbeiter rechtfertigt fristlose Kündigung des Arbeitsverhältnisses

ArbG Siegburg
Urteil vom 15.01.2020
3 Ca 1793/19


Das ArbG Siegburg hat entschieden, dass der Missbrauch von Kundendaten durch einen IT-Mitarbeiter die fristlose Kündigung des Arbeitsverhältnisses rechtfertigt.

Die Pressemitteilung des Gerichts:

Fristlose Kündigung wegen Missbrauchs von Kundendaten

Ein IT-Mitarbeiter ist verpflichtet, sensible Kundendaten zu schützen und darf diese nicht zu anderen Zwecken missbrauchen. Ein Verstoß gegen diese Pflichten rechtfertigt in der Regel eine fristlose Kündigung durch den Arbeitgeber.

Der Kläger war seit 2011 bei der Beklagten als SAP-Berater tätig. Der Kläger bestellte vom Rechner eines Spielcasinos aus Kopfschmerztabletten für zwei Vorstandsmitglieder einer Kundin der Beklagten, wobei er zwecks Zahlung per Lastschrift auf zuvor von einem verschlüsselten Rechner der Kundin auf einen privaten Memory-Stick heruntergeladene Namen, Anschriften und Bankverbindungsdaten von Kunden der Kundin zurückgriff. Im Rahmen der Bestellung ließ der Kläger dem Vorstand dieser Kundin die Anmerkung zukommen, dass sie aufgrund der Bestellung sehen könnten, wie einfach Datenmissbrauch sei, was bei ihnen zu Kopfschmerzen führen müsste, wobei die bestellten Kopfschmerztabletten durchaus helfen könnten. Die Beklagte hatte er zuvor nicht über bestehende Sicherheitslücken bei der Kundin informiert. Der Kläger erhielt am 26.08.2019 eine fristlose Kündigung. Er erhob dagegen Kündigungsschutzklage.

Mit Urteil vom 15.01.2020 wies das Arbeitsgericht Siegburg die Klage ab und entschied, dass die fristlose Kündigung gerechtfertigt sei. Durch sein Vorgehen hat der Kläger nach Überzeugung der 3. Kammer gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen. Sensible Kundendaten sind zu schützen. Der Kläger hat seinen Datenzugriff missbraucht und eine Sicherheitslücke beim Kunden ausgenutzt. Die Kunden dürfen der Beklagten und deren Mitarbeiter Schutz und keinesfalls Missbrauch von etwaigen Sicherheitslücken erwarten. Auch für das Aufdecken vermeintlicher Sicherheitslücken dürfen Kundendaten nicht missbraucht werden. Der Kläger hat somit massiv das Vertrauen der Kundin in die Beklagte und deren Mitarbeiter gestört und damit die Kundenbeziehung massiv gefährdet. Dies rechtfertigt eine fristlose Kündigung.

Die Entscheidung ist noch nicht rechtskräftig. Gegen das Urteil kann Berufung beim Landesarbeitsgericht Köln eingelegt werden.

Arbeitsgericht Siegburg – Aktenzeichen 3 Ca 1793/19 vom 15.01.2020.

Datenschutz für Unternehmen - Vertretung in datenschutzrechtlichen Aufsichtsverfahren - Wir beraten Unternehmen bundesweit

Das Thema Datenschutz ist immer häufiger Gegenstand von rechtlichen Auseinandersetzungen. Dabei sind zahlreiche Rechtsfragen umstritten und die gesetzlichen Vorgaben wie beispielsweise durch die EU-Datenschutz-Grundverordnung in Bewegung. Die handwerklichen Missgeschicke des Gesetzgebers erschweren dabei zusätzlich für Unternehmen die datenschutzkonforme Umsetzung der rechtlichen Vorgaben.

Auch die Datenschutzbehörden der Länder gehen im Rahmen von datenschutzrechtlichen Aufsichtsverfahren zunehmend gegen Unternehmen vor. Die Themenfelder sind vielfältig. Neben dem Umgang mit personenbezogenen Daten, der Auftragsdatenverarbeitung, der Sicherheit von Websites, Analysetools und Social-Media-Plugins, sind oft auch interne Bereiche von Unternehmen betroffen. So sind etwa der Umgang mit Mitarbeiterdaten, die Videoüberwachung des Betriebsgeländes oder andere Überwachungsmaßnahmen der Mitarbeiter immer Auslöser von datenschutzrechtlichen Aufsichtsverfahren. Dabei drohen Untersagungsverfügungen und Ordnungsgelder.

Erfolgt eine Anhörung durch die zuständige Datenschutzbehörde, so gilt es für Unternehmen Ruhe zu bewahren. Nicht alle Forderungen der Datenschützer sind berechtigt. Dies gilt um so mehr, als je nach Bundesland unterschiedliche Tendenzen auszumachen sind. Jedenfalls empfiehlt es sich bereits im Anhörungsverfahren rechtliche fundiert vorzutragen, um rechtliche Schwierigkeiten zu verhindern oder Argumentationswege zu verbauen. Oft lässt sich eine einvernehmliche Regelung mit der Datenschutzbehörde erzielen.




BSI: Mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen - Sicherheitslücke in veralteter Version

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mitgeteilt, dass mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen sind. Ursache sind Sicherheitslücken in einer veralteten Version, die im Oktober 2016 bekanntgegeben wurden. Grundsätzlich ist der Betreiber eines Online-Shops verpflichtet alle zumutbare Maßnahmen zu ergreifen, um Schäden von seinen Kunden zu verhindern und die die gespeicherten personenbezogenen Daten zu schützen. Tut er dies nicht, so drohen Schadensersatzansprüche und Ordnungsgelder.


Online-Skimming: 1.000 deutsche Online-Shops betroffen

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen Informationen vor, nach denen aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind. Dabei nutzen Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shopsoftware, um schädlichen Programmcode einzuschleusen. Dieser späht dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbreiteten Software Magento basieren.

Der eingeschleuste Code und der damit verbundene Datenabfluss ist für Nutzer üblicherweise nicht erkennbar. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten liegen dem BSI zur Zeit keine Erkenntnisse vor.

Basierend auf einer von einem Entwickler von Sicherheitstools für Magento durchgeführten Analyse wurden bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Online-Shops identifiziert, darunter auch mehrere hundert Shops deutscher Betreiber. CERT-Bund benachrichtigte daraufhin die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops. Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen. Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen. Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland ist dadurch auf mindestens 1.000 angestiegen.

Das CERT-Bund des BSI hat heute erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, die Informationen an ihre Kunden (Shop-Betreiber) weiterzuleiten.

"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten", erklärt BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern."

Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.

Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.

Betreiber von Online-Shops auf Basis von Magento können mit dem kostenfreien Dienst MageReport überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detaillierte Informationen zu dessen Behebung bereitgestellt.




BGH: Zum Ausgleichsanspruch des Komissionsagenten entsprechend § 89b HGB und zum Zugriff auf den Kundenstamm bei einem weitgehend anonymen stationären Massengeschäft

BGH
Urteil vom 21. Juli 2016
I ZR 229/15
HGB §§ 89b, 383 Abs. 1, § 384 Abs. 2, § 392 Abs. 1 und 2, § 396

Leitsätze des BGH:


a) Ein Vertrag ist als Kommissionsagenturvertrag zu qualifizieren, wenn ein Unternehmer einen anderen gegen Zahlung einer Provision damit beauftragt, ständig von ihm gelieferte, jedoch dem Beauftragten nicht übereignete Ware im eigenen Namen auf Rechnung des Unternehmers zu veräußern, und eine Abtretung der Forderungen aus der Veräußerung der Waren an den Unternehmer vereinbart ist.

b) Dem Kommissionsagenten steht bei Beendigung des Kommissionsagenturvertrags in entsprechender Anwendung von § 89b HGB ein Ausgleichsanspruch gegen den Kommittenten zu, wenn er in dessen Absatzorganisation eingebunden ist und ihm bei Beendigung des Vertragsverhältnisses den Kundenstamm zu überlassen hat.

c) Im weitgehend anonymen Massengeschäft in einem stationären Sonderpostenmarkt benötigt der Kommittent für eine Übernahme des Kundenstamms nicht in gleicher Weise wie beim Verkauf hochwertiger Wirtschaftsgüter den Zugang zu vollständigen Kundendaten. Betreibt der Kommissionsagent in von dem Kommittenten angemieteten Räumen einen
filialähnlich organisierten Markt und hat der Kommittent über ein von ihm vorinstalliertes Kassensystem ständigen Zugriff auf Informationen zu allen Verkaufsvorgängen und auf sämtliche von den Kunden im Rahmen des Bezahlvorgangs mitgeteilten personenbezogenen Daten, ist von einer faktischen Kontinuität des Kundenstamms auszugehen, wenn der Kommittent nach Beendigung des Kommissionsagenturverhältnisses den Markt unter derselben Geschäftsbezeichnung in denselben Geschäftsräumen weiterführen kann.

BGH, Urteil vom 21. Juli 2016 - I ZR 229/15 - OLG Oldenburg - LG Osnabrück

Den Volltext der Entscheidung finden Sie hier:

Vortrag als PDF - CeBIT-Vortrag - Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder

Wir möchten uns ganz herzlich bei den zahlreichen Zuhörern unseres Vortrags "Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder" auf der diesjährigen CeBIT am 16.03.2015 bedanken.

Unsere Vortragspräsentation können Sie hier als PDF-Datei downloaden: Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder.

Zudem finden Sie den Vortrag auch bei Slideshare: http://de.slideshare.net/marcusbeckmann1973



CeBIT-Vortrag von RA Beckmann - Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder - 16.03.2015

" Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder" lautet der Titel des Vortrags von Rechtsanwalt Marcus Beckmann am 16.03.2015 - 11.10 Uhr auf der CeBIT in Hannover Halle 5, Stand D04 ( Mittelstandslounge: „Digitalisierung von A-Z“).

Weitere Informationen zur Veranstaltung finden Sie auf den Seiten der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltverein (DAVIT) sowie auf der CeBIT-Seite .

Sie haben Interesse an einem persönlichen Gespräch auf der CeBIT ? Senden Sie uns einfach eine kurze Mail (info@beckmannundnorda.de) mit Ihren Terminvorschlägen. Rechtsanwalt Marcus Beckmann steht am 16.03.2015 gerne für ein persönliches Treffen zur Verfügung.