Erste Bußgelder von Datenschutzbehörden:
Es geht langsam los mit Bußgeldern deutscher Datenschutzbehörden. Soweit noch nicht geschehen, sollten Sie sich vorbereiten.
Was ist passiert?
Gestern hat der Hamburger Datenschutzbeauftragte Prof. Caspar per Pressemitteilung bekannt gegeben, dass in den drei offenen Verfahren wegen unzulässiger Datenübermittlung in die USA nun Bußgelder festgesetzt wurden. Getroffen hat es Adobe, Punica und Unilever. Diese Unternehmen hatten nach Ungültigerklärung des Safe-Harbour-Abkommens zwischen der EU und den USA im Oktober 2015 durch den EuGH den Datentransfer auf US-Server nicht auf Standardvertragsklausel umgestellt, sondern zunächst abgewartet. Zwar hatten alle drei Unternehmen nach Einleitung der Verfahren durch die Datenschutzbehörde schnell auf Standardvertragsklauseln umgestellt. Dies führte jedoch nicht zu einer Einstellung des Verfahrens, sondern nur zu einer Reduzierung des Bußgeldes auf EUR 8.000 (Adobe), EUR 9.000 (Punica) und EUR 11.000 (Unilever). Möglich wäre jeweils ein Bußgeld bis zu EUR 300.000 gewesen (§ 43 BDSG). Zukünftig (ab 2018) kann die Datenschutzbehörde bis zu 4% des weltweiten Jahresumsatzes des betroffenen Unternehmens geltend machen (!)
Warum ist das wichtig für Sie?
In den vorliegenden Fällen ging es nur um Unternehmen, die entweder personenbezogene Daten auf US-Servern speichern (Salesforce, Microsoft Azure, Amazon EC2, Google Drive, Dropbox, Mircosoft Skydrive etc.) oder aber einem US-Unternehmen (Konzernmutter?) Zugriff auf Kunden- oder Mitarbeiterdaten auf eigenen, deutschen Servern gewähren. Auch wenn Sie nicht betroffen sind. Gefährlich ist jedoch der Umstand, dass Datenschutzbehörden überhaupt damit anfangen, statt einer lösungsorientierten Vorgehensweise ohne Bußgeld nun Verfahren einzuleiten und anschließend dennoch zur Abschreckung Bußgelder festzusetzen. Hiermit hatte vor einigen Monaten im August 2015 die Datenschutzbehörde Bayern angefangen.
Was ist zu tun?
Es wird nun Zeit, die datenschutzrechtliche Absicherung einzuleiten. Noch ist Zeit bis Mai 2018, bevor die neue EU-Datenschutzgrundverordnung in Kraft tritt und horrende Bußgelder bis zu 4% des weltweiten Jahresumsatzes drohen. Doch auch schon heute droht eine Überprüfung nach dem geltenden Bundesdatenschutzgesetz. Prüfen Sie Ihre interne Verwendung von personenbezogenen Daten, dies sind z.B. Mitarbeiter-, Kunden- und Lieferantendaten, die sich auf eine bestimmte Person beziehen (Name und Vorname der dortigen Ansprechpartner, E-Mail-Adresse, Telefonnummer, private Handynummer?). Die häufigsten Fallstricke im Datenschutz sind a.) fehlende Vereinbarung zur Auftragsdatenverarbeitung mit Webhostern/Cloudanbietern oder IT-Dienstleistern mit Remotezugriff (§ 11 BDSG), b.) fehlende Standardvertragsklauseln bei Datentransfer auf Server außerhalb der EU/EWR (§ 4b BDSG), c.) fehlendes Vorhalten eines öffentlichen Verfahrensverzeichnisses, d.) keine Verpflichtungserklärung auf das Datenschutzgeheimnis (§ 5 BDSG), e.) Nichteinhaltung der notwendigen technischen und organisatorischen Maßnahmen (§ 9 BDSG), f.) unbefugter Datenzugriff auf mobile Endgeräte der Mitarbeiter (§ 32 BDSG), g.) Videoüberwachung ohne notwendige Zustimmung der Mitarbeiter (§ 32 BDSG) und h.) Nichtbestellung eines betrieblichen Datenschutzbeauftragten trotz Erreichen der Schwelle von 10 Mitarbeitern, die mit Outlook arbeiten (§ 4f BDSG).
EBENFALLS WICHTIG
WLAN-Gesetz: Am vergangenen Donnerstag hat der Bundestag den Weg für das neue WLAN-Gesetz freigemacht. Hierdurch soll das Telemediengesetz geändert und fortan die Haftung von Unternehmen, die ihren Kunden ein offenes WLAN zur Verfügung stellen, deutlich reduziert werden. Zukünftig können Sie daher ein offenes WLAN für Ihre Kunden betreiben, ohne abmahngefährdet zu sein. Zwar ist umstritten, ob trotzdem Unterlassungsansprüche drohen. Ich denke jedoch, dass Gerichte derartige Ansprüche aufgrund der klaren Gesetzesbegründung ablehnen werden.
Open-Source: Das LG Bochum hat in einer nun veröffentlichten Entscheidung vom 03.03.2016 (I-8 O 294/15) Schadensersatz wegen Verletzung von Open-Source-Lizenzen (GPL V2) zugesprochen. Die verklagte Universität hatte eine WLAN-Software zum Download angeboten, ohne den Quellcode und den Lizenztext zur Verfügung zu stellen. Ähnliche Fälle liegen mir derzeit auf dem Tisch, wo Mandanten unwissentlich Software verwenden, die Open-Source-Tools enthalten, ohne dass die notwendigen Quelltexte und Lizenzbedingungen offenlegt werden. Prüfen Sie daher, ob Ihre Softwareanwendungen lizenzwidrig Open-Source-Tools verwenden, denn die Gerichte entscheiden zumeist zugunsten der Open-Source-Programmierer (!)