Article
Jahresrückblick 2017 und Ausblick 2018
IT und Datenschutz
Das waren und werden die Legal Themen in den Bereichen Datenschutz und IT-Recht.
Auch im Jahr 2017 haben sich erneut wichtige gesetzliche Änderungen im Bereich des Datenschutzes und des IT-Rechts ergeben. Wir zeigen Ihnen die Highlights des Jahres und geben einen Ausblick darauf, was uns im Jahr 2018 erwarten wird.
I. Datenschutz
1. EU Datenschutzgrundverordnung
Am 25. Mai 2018 wird die Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten unmittelbar geltendes Recht und modifiziert damit weitgehend und europaweit das bisherige Datenschutzrecht. Neben den wesentlichen neuen Anforderungen, die die DSGVO mit sich bringt, sind bis dahin insbesondere die bereits aus dem bisherigen Datenschutzrecht bekannten Anforderungen umzusetzen. Sowohl die Artikel 29 Gruppe der europäischen Datenschutzbehörden, als auch deutsche Datenschutzbehörden haben bereits Umsetzungshilfen zur DSGVO veröffentlicht. Darüber hinaus wurden Fragenkataloge der Datenschutzbeauftragten der Länder Bayern, Brandenburg und Niedersachsen veröffentlicht.
2. Neues Bundesdatenschutzgesetz
Im April 2017 wurde so genannte "Datenschutzanpassungs- und Umsetzungsgesetz“ erlassen, das im Wesentlichen das alte Bundesdatenschutzgesetz an die Anforderungen DSGVO anpasst. Das neue Bundesdatenschutzgesetz (BDSG-neu) wird zeitgleich mit der DSGVO am 25. Mai 2018 in Kraft treten. Das BDSG-neu regelt einige spezielle Themenbereiche wie Beschäftigtendatenschutz, Scoring und Profiling, Videoüberwachung öffentlicher Bereich und Bestellung eines Datenschutzbeauftragten.
Auch in anderen Mitgliedsstaaten der EU wurden nationale Datenschutzgesetze zu einzelnen Themenbereichen erlassen oder Entwürfe veröffentlicht.
3. Neue Landesdatenschutzgesetze
Im Hinblick auf die Landesdatenschutzgesetze sind ebenfalls Anpassungen zu erwarten. Die Landesdatenschutzgesetze gelten für Behörden und andere öffentliche Stellen der Länder. Bislang liegen für die Bundesländer Brandenburg, Sachsen, Bayern, Mecklenburg-Vorpommern, Niedersachsen, Baden-Württemberg, Hessen und Sachsen-Anhalt Entwürfe für ein neues Landesdatenschutzgesetz vor.
4. Spezialgesetze
Datenschutzthemen sind nicht nur in den allgemeinen Gesetzen wie dem BDSG-neu und der DSGVO geregelt. Darüber hinaus gelten branchenspezifische Spezialregelungen, z.B. in den Bereichen Energie, Banken und Versicherungen, Telemedien und Telekommunikation, Arzneimittel- und Medizinprodukte. Diese müssten im Jahr 2018 vom deutschen Gesetzgeber an die Anforderungen der DSGVO angepasst werden.
5. E-Privacy Verordnung
Die geplante E-Privacy Verordnung der EU enthält Mindestvorgaben zum Schutz personenbezogener Daten im Rahmen der elektronischen Kommunikation. Sie soll nach der ursprünglichen Planung ab Mai 2018 die DSGVO ergänzen und die aktuell geltende E-Privacy Richtlinie (2002/58/EG) ablösen. Da sich der derzeitige Entwurf noch im Gesetzgebungsprozess befindet, ist jedoch unklar, ob die ursprüngliche Planung eingehalten werden kann. Die neue Vorschrift beinhaltet u.a. Regelungen zur Vertraulichkeit elektronischer Kommunikation, zum Einsatz von Cookies und Web Tracking sowie zur Direktwerbung über elektronische Kommunikationswege (wie z.B. E-Mail, Telefon).
6. US-EU Privacy Shield
Der transatlantische Datentransfer ist insbesondere im Rahmen der Nutzung von Cloud-Diensten von enormer Wichtigkeit für europäische Firmen. Eine wesentliche Grundlage für die Datenübermittlung aus der EU in die USA ist das im Jahr 2016 vereinbarte EU-US Privacy Shield, unter dem sich die dort registrierten U.S. Unternehmen zur Einhaltung bestimmter Datenschutzstandards verpflichten. Die Zukunft des EU-US-Privacy Shields ist jedoch nach wie vor ungewiss: Anders als die EU-Kommission, die in ihrem Bericht aus Oktober 2017 ein positives Fazit zog, hat die Artikel 29-Gruppe der europäischen Datenschutzbehörden in ihrem Bericht aus November 2017 umfassenden Nachbesserungsbedarf gesehen.
7. Rechtsprechung
Facebook:
Für das Unternehmen Facebook war das Jahr 2017 aus datenschutzrechtlicher Sicht von einigem Gegenwind geprägt. Im April 2017 entschied das Verwaltungsgericht Hamburg, dass Facebook derzeit nicht ohne Einwilligung die Daten deutscher WhatsApp Nutzer verarbeiten darf. Auch die französischen Aufsichtsbehörden halten nach einer aktuellen Mitteilung die Übermittlung der Nutzerdaten an Facebook für rechtswidrig. Das Kammergericht Berlin entschied in seinem Urteil aus September 2017, dass Onlinespiele auf Facebook nicht so präsentiert werden dürfen, dass Nutzer beim Anklicken des Buttons „Spiel spielen“ automatisch in die Übermittlung ihrer Daten an Dritte einwilligen. Wesentlich gravierender für das Unternehmen dürfte die im Dezember 2017 veröffentlichte Einschätzung des Bundeskartellamts sein. Das Bundeskartellamt ist der Ansicht, dass Facebook seine marktbeherrschende Stellung im Bereich sozialer Netzwerke missbraucht, da es die Nutzung des sozialen Netzwerks davon abhängig macht, unbegrenzt jegliche Art von Nutzerdaten aus Drittquellen zu sammeln und mit dem Facebook-Konto zusammenführen zu dürfen. Das Jahr 2018 wird zeigen, wie es für Facebook weitergeht.
Die beschriebenen Themen dürften auch für andere Unternehmen von Relevanz sein: Insbesondere die Wirksamkeit von Einwilligungen, die erforderliche Transparenz der Datenverarbeitungen und die Übermittlung personenbezogener Daten innerhalb eines Konzerns, sind Themen, die uns in der täglichen Beratungspraxis häufig begegnen.
Beschäftigtendatenschutz
Wie bereits in unserem Newsflash berichtet, haben der Europäische Gerichtshof für Menschenrecht (EGMR) und das Bundesarbeitsgericht (BAG) im Jahr 2017 zu zentralen Fragen des Beschäftigtendatenschutzes entschieden. So hat das BAG den verdeckten Einsatz von Keyloggern für unzulässig erklärt, aber die verdeckte Überwachung von Mitarbeitern zur Aufdeckung schwerwiegender Pflichtverletzungen unter bestimmten Umständen für zulässig erklärt. Der EGMR hat sich in seinem Urteil dazu geäußert, unter welchen Voraussetzungen die verdeckte Überwachung der Internetkommunikation am Arbeitsplatz zulässig ist.
II. IT-Recht
1. BSI-Kritisverordnung zum IT-Sicherheitsgesetz
Das seit Juli 2015 geltende „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) dient der Verbesserung der IT-Sicherheit Kritischer Infrastrukturen (KRITIS) in bestimmten Sektoren. Es verpflichtet Betreiber von KRITIS u.a. zum Nachweis angemessener Schutzmaßnahmen, zur Benennung eines Ansprechpartners für IT-Sicherheit und zur Meldung von Sicherheitsvorfällen. Die erste Rechtsverordnung zur Bestimmung der KRITIS für die Sektoren Energie, IT, Telekommunikation, Wasser und Ernährung ist im Mai 2016 in Kraft getreten. Seit Juni 2017 gilt ist die Verordnung für die Sektoren Finanz- und Versicherungswesen, Transport- und Verkehr sowie Gesundheit in Kraft.
2. Änderung des BGB
Das Bürgerliche Gesetzbuch (BGB) enthält ab dem 1. Januar 2018 neue Regelungen, die für IT-Verträge von Relevanz sein können. Eine Neureglung, die möglicherweise auch auf die Leistungen wie Montage, Installation, Migration und Implementierungsmaßnahmen anwendbar ist, betrifft Ein- und Ausbaukosten. Weitere Änderungen betreffen das Minderungsrecht bei Abschlagszahlungen und die Abnahme im Rahmen von Werkverträgen.
3. Rechtsprechung
Nach einem Urteil des Oberlandesgerichts Frankfurt am Main aus August 2017 können agile Softwareerstellungsverträge je nachdem, wie sie gestaltet sind und tatsächlich gelebt werden, als Dienst- oder Werkvertrag eingestuft werden. Bei agilen Softwareprojekten verständigen sich die Vertragsparteien in Zwischenschritten über die nächsten Arbeitsschritte und Leistungen, häufig erfolgen Zahlungen auf die im Vormonat erbrachten Leistungen. Das Gericht beurteilte eine solche monatliche Zahlung als stillschweigende Abnahme der zuvor erbrachten Leistungen, was dazu führt, dass der Auftraggeber zur Zahlung der vereinbarten Vergütung verpflichtet ist. Das Verfahren ist derzeit vor dem Bundesgerichtshof anhängig. Eine höchstinstanzliche Entscheidung zum Thema ist also in den nächsten Jahren zu erwarten.
Auch interessant
Topics IT / Datenschutz
IT-Sicherheit | EU-Datenschutz | Weiteres