Jahres­rück­blick 2017 und Aus­blick 2018

1. EU Datenschutzgrundverordnung

Am 25. Mai 2018 wird die Datenschutz­grund­verordnung (DSGVO) in allen Mitgliedstaaten unmittelbar geltendes Recht und modifiziert damit weitgehend und europaweit das bisherige Datenschutzrecht. Neben den wesentlichen neuen Anforderungen, die die DSGVO mit sich bringt, sind bis dahin insbesondere die bereits aus dem bisherigen Datenschutzrecht bekannten Anforderungen umzusetzen. Sowohl die Artikel 29 Gruppe der europäischen Datenschutz­behörden, als auch deutsche Datenschutz­behörden haben bereits Umsetzungshilfen zur DSGVO veröffentlicht. Darüber hinaus wurden Fragenkataloge der Datenschutz­beauftragten der Länder Bayern, Brandenburg und Niedersachsen veröffentlicht.

2. Neues Bundesdatenschutzgesetz

Im April 2017 wurde so genannte "Datenschutzanpassungs- und Umsetzungsgesetz“ erlassen, das im Wesentlichen das alte Bundesdaten­schutzgesetz an die Anforderungen DSGVO anpasst. Das neue Bundesdaten­schutzgesetz (BDSG-neu) wird zeitgleich mit der DSGVO am 25. Mai 2018 in Kraft treten. Das BDSG-neu regelt einige spezielle Themen­bereiche wie Beschäftigten­datenschutz, Scoring und Profiling, Videoüberwachung öffentlicher Bereich und Bestellung eines Datenschutz­beauftragten.

Auch in anderen Mitgliedsstaaten der EU wurden nationale Datenschutzgesetze zu einzelnen Themenbereichen erlassen oder Entwürfe veröffentlicht.

3. Neue Landesdatenschutzgesetze

Im Hinblick auf die Landesdaten­schutzgesetze sind ebenfalls Anpassungen zu erwarten. Die Landesdaten­schutz­gesetze gelten für Behörden und andere öffentliche Stellen der Länder. Bislang liegen für die Bundesländer Brandenburg, Sachsen, Bayern, Mecklenburg-Vorpommern, Niedersachsen, Baden-Württemberg, Hessen und Sachsen-Anhalt Entwürfe für ein neues Landesdatenschutzgesetz vor.

4. Spezialgesetze

Datenschutzthemen sind nicht nur in den allgemeinen Gesetzen wie dem BDSG-neu und der DSGVO geregelt. Darüber hinaus gelten branchen­spezifische Spezial­regelungen, z.B. in den Bereichen Energie, Banken und Versicherungen, Telemedien und Telekommunikation, Arzneimittel- und Medizinprodukte. Diese müssten im Jahr 2018 vom deutschen Gesetzgeber an die Anforderungen der DSGVO angepasst werden.

5. E-Privacy Verordnung

­Die geplante E-Privacy Verordnung der EU enthält Mindestvorgaben zum Schutz personenbezogener Daten im Rahmen der elektronischen Kommunikation. Sie soll nach der ursprünglichen Planung ab Mai 2018 die DSGVO ergänzen und die aktuell geltende E-Privacy Richtlinie (2002/58/EG) ablösen. Da sich der derzeitige Entwurf noch im Gesetzgebungs­prozess befindet, ist jedoch unklar, ob die ursprüngliche Planung eingehalten werden kann. Die neue Vorschrift beinhaltet u.a. Regelungen zur Vertraulichkeit elektronischer Kommunikation, zum Einsatz von Cookies und Web Tracking sowie zur Direktwerbung über elektronische Kommunikationswege (wie z.B. E-Mail, Telefon).

6. US-EU Privacy Shield

Der transatlantische Datentransfer ist insbesondere im Rahmen der Nutzung von Cloud-Diensten von enormer Wichtigkeit für europäische Firmen. Eine wesentliche Grundlage für die Datenübermittlung aus der EU in die USA ist das im Jahr 2016 vereinbarte EU-US Privacy Shield, unter dem sich die dort registrierten U.S. Unternehmen zur Einhaltung bestimmter Datenschutz­standards verpflichten. Die Zukunft des EU-US-Privacy Shields ist jedoch nach wie vor ungewiss: Anders als die EU-Kommission, die in ihrem Bericht aus Oktober 2017 ein positives Fazit zog, hat die Artikel 29-Gruppe der europäischen Datenschutz­behörden in ihrem Bericht aus November 2017 umfassenden Nach­besserungsbedarf gesehen.

7. Rechtsprechung

Facebook:

Für das Unternehmen Facebook war das Jahr 2017 aus datenschutzrechtlicher Sicht von einigem Gegenwind geprägt. Im April 2017 entschied das Verwaltungsgericht Hamburg, dass Facebook derzeit nicht ohne Einwilligung die Daten deutscher WhatsApp Nutzer verarbeiten darf. Auch die französischen Aufsichtsbehörden halten nach einer aktuellen Mitteilung die Übermittlung der Nutzerdaten an Facebook für rechtswidrig. Das Kammergericht Berlin entschied in seinem Urteil aus September 2017, dass Onlinespiele auf Facebook nicht so präsentiert werden dürfen, dass Nutzer beim Anklicken des Buttons „Spiel spielen“ automatisch in die Übermittlung ihrer Daten an Dritte einwilligen. Wesentlich gravierender für das Unternehmen dürfte die im Dezember 2017 veröffentlichte Einschätzung des Bundeskartellamts sein. Das Bundeskartellamt ist der Ansicht, dass Facebook seine marktbeherrschende Stellung im Bereich sozialer Netzwerke missbraucht, da es die Nutzung des sozialen Netzwerks davon abhängig macht, unbegrenzt jegliche Art von Nutzerdaten aus Drittquellen zu sammeln und mit dem Facebook-Konto zusammenführen zu dürfen. Das Jahr 2018 wird zeigen, wie es für Facebook weitergeht.

Die beschriebenen Themen dürften auch für andere Unternehmen von Relevanz sein: Insbesondere die Wirksamkeit von Einwilligungen, die erforderliche Transparenz der Datenverarbeitungen und die Übermittlung personen­bezogener Daten innerhalb eines Konzerns, sind Themen, die uns in der täglichen Beratungspraxis häufig begegnen.

Beschäftigtendatenschutz

Wie bereits in unserem Newsflash berichtet, haben der Europäische Gerichtshof für Menschenrecht (EGMR) und das Bundesarbeitsgericht (BAG) im Jahr 2017 zu zentralen Fragen des Beschäftigtendatenschutzes entschieden. So hat das BAG den verdeckten Einsatz von Keyloggern für unzulässig erklärt, aber die verdeckte Überwachung von Mitarbeitern zur Aufdeckung schwerwiegender Pflichtverletzungen unter bestimmten Umständen für zulässig erklärt. Der EGMR hat sich in seinem Urteil dazu geäußert, unter welchen Voraussetzungen die verdeckte Überwachung der Internetkommunikation am Arbeitsplatz zulässig ist.

1. BSI-Kritisverordnung zum IT-Sicherheitsgesetz

Das seit Juli 2015 geltende „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) dient der Verbesserung der IT-Sicherheit Kritischer Infrastrukturen (KRITIS) in bestimmten Sektoren. Es verpflichtet Betreiber von KRITIS u.a. zum Nachweis angemessener Schutzmaßnahmen, zur Benennung eines Ansprechpartners für IT-Sicherheit und zur Meldung von Sicherheitsvorfällen. Die erste Rechtsverordnung zur Bestimmung der KRITIS für die Sektoren Energie, IT, Telekommunikation, Wasser und Ernährung ist im Mai 2016 in Kraft getreten. Seit Juni 2017 gilt ist die Verordnung für die Sektoren Finanz- und Versicherungswesen, Transport- und Verkehr sowie Gesundheit in Kraft.

2. Änderung des BGB

Das Bürgerliche Gesetzbuch (BGB) enthält ab dem 1. Januar 2018 neue Regelungen, die für IT-Verträge von Relevanz sein können. Eine Neureglung, die möglicherweise auch auf die Leistungen wie Montage, Installation, Migration und Implementierungs­maßnahmen anwendbar ist, betrifft Ein- und Ausbaukosten. Weitere Änderungen betreffen das Minderungsrecht bei Abschlags­zahlungen und die Abnahme im Rahmen von Werkverträgen.

3. Rechtsprechung

Nach einem Urteil des Oberlandesgerichts Frankfurt am Main aus August 2017 können agile Software­erstellungsverträge je nachdem, wie sie gestaltet sind und tatsächlich gelebt werden, als Dienst- oder Werkvertrag eingestuft werden. Bei agilen Softwareprojekten verständigen sich die Vertragsparteien in Zwischenschritten über die nächsten Arbeitsschritte und Leistungen, häufig erfolgen Zahlungen auf die im Vormonat erbrachten Leistungen. Das Gericht beurteilte eine solche monatliche Zahlung als stillschweigende Abnahme der zuvor erbrachten Leistungen, was dazu führt, dass der Auftraggeber zur Zahlung der vereinbarten Vergütung verpflichtet ist. Das Verfahren ist derzeit vor dem Bundesgerichtshof anhängig. Eine höchstinstanzliche Entscheidung zum Thema ist also in den nächsten Jahren zu erwarten.