Rechtsanwalt Christian Wolff - Datenschützer

RA Christian Wolff hat für die Firma Law-App die iPhone App IT-RECHT konzipiert und inhaltlich erstellt.

Neu und demnächst zum Download aus dem App Store; damit hat der Nutzer die App jederzeit auf seinem Smartphone.

BGH-Entscheidung vom 12. Mai 2010 zur Haftung für unzureichend gesicherten WLAN-Anschluss, zu Abmahnkosten und Schadensersatzpflicht für illegale Downloads.

Datenschutz ist ein sehr sensibler  und aktueller Bereich.

Datenklau,

Onlinedurchsuchung,

Vorratsdatenspeicherung ...

... Begriffe, die in der aktuellen Ausgabe des Duden neu aufgenommen wurden und dokumentieren, dass Datenschutz einen neuen Stellenwert bekommen hat.

Das Bundesdatenschutzgesetz (BDSG) will "den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird".

Dies zu gewährleisten ist Aufgabe des Datenschutzbeauftagten:

Der Datenschutzbeauftragte ist nach § 4 g Abs. 1 Nr. 2 BDSG verpflichtet, „die mit der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.“

Ein Datenschutzbeauftragter hat fachkundig und zuverlässig zu sein:

Zur Fachkunde gehören sowohl umfassende Kenntnisse im IT-Bereich als auch gute juristische und organisatorische Kenntnisse.

Kenntnisse über Datenverarbeitung sowie das erforderliche technische Verständnis ermöglichen es dem Datenschutzbeauftragten den Aufbau, Funktionsweise und Anforderungen der eingesetzten Datenverarbeitungssysteme, -verfahren und -netze soweit zu beurteilen, dass Datenschutz- und Datensicherheitsmaßnahmen vorgeschlagen, bewertet und geprüft werden können.

Zudem haben Datenschutzbeauftragte mit den Aufgaben, der Arbeitsweise und den betrieblichen Datenströmen sowie der Organisationsstruktur des Unternehmens besonders vertraut zu sein, um ihren Beratungs- und Kontrollaufgaben nachkommen zu können.

Zur Zuverlässigkeit gehört neben der charakterlichen Eignung auch, dass es bei der Ausübung der Tätigkeit als Datenschutzbeauftragter nicht zu einer Interessenkollision mit sonstigen Aufgabenbereich im Unternehmen kommt.

Es gilt das Grundprinzip, dass die zu Kontrollierenden nicht selbst die Kontrolle ausüben dürfen.

Daraus ergibt sich, dass die Leitung sowie Beschäftigte der Personal- und EDV-Abteilung nicht gleichzeitig Datenschutzbeauftragte sein können. Daneben ist auch die Bestellung von Betriebsratsmitgliedern kritisch zu sehen. Betriebsräte wirken auch bei Personalentscheidungen mit und haben in diesem Rahmen umfassenden Zugang zu den personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter, so dass ein Interessenkonflikt nicht ausgeschlossen werden kann.

All das spricht für die Bestellung eines externen Datenschutzbeauftragten.

DATA-PROTECTOR–Infoflyer zum Download

ist, dass der Bundesgerichtshof (BGH) am 12. Mai 2010 eine Entscheidung zur Haftung für unzureichend gesicherten WLAN-Anschluss, zu Abmahnkosten und Schadensersatzpflicht für illegale Downloads verkündet hat.

Das Urteil liegt noch nicht vor, jedoch heißt es in der Presseerklärung (101/2010) des BGH:

„Privatpersonen können auf Unterlassung, nicht dagegen auf Schadensersatz in Anspruch genommen werden, wenn ihr nicht ausreichend gesicherter WLAN-Anschluss von unberechtigten Dritten für Urheberrechtsverletzungen im Internet genutzt wird.“

Weil das Urteil nebst Begründung noch nicht im Volltext vorliegt, sollten keine vorschnellen definitiven Rückschlüsse gezogen werden - gleichwohl bahnt sich eine Tendenz zugunsten der Nutzer an.
Der Grundsatz, dass man sein WLAN durch sicheres Passwort schützen muss, wurde durch den BGH bestätigt: Man darf es nicht bei den werkseitigen Standardsicherheitseinstellungen des WLAN-Routers belassen, sondern muss Passwort  durch ein persönliches, ausreichend langes und sicheres Passwort ersetzen. Dies ist seit Jahren auch für private WLAN-Nutzer üblich und zumutbar.

Wenn über den WLAN-Anschluss Urheberrechtsverletzungen begangen werden, haftet man  nach den Rechtsgrundsätzen der sog. Störerhaftung auf Unterlassung und auf Erstattung der Abmahnkosten, die nach aktuell anwendbaren Recht auf maximal 100 € begrenzt werden.

Eine Schadensersatzverpflichtung wegen Verletzung des Urheberrechts hat der Bundesgerichtshof für den Fall verneint wenn der Betroffene selbst nicht die fragliche urheberrechtlichen geschützte Mediendatei im Internet zugänglich gemacht hat. Eine Haftung als Gehilfe bei der fremden Urheberrechtsverletzung hätte Vorsatz vorausgesetzt, an dem es im Streitfall fehlte.

Es bedarf nach wie vor in jedem Fall einer Einzelfallprüfung und individueller Reaktion, wenngleich das Urteil des BGH deutliche Erleichterungen für die Betroffenen mit sich zu bringen scheint.

Auch wenn in einigen Presseerklärungen und Veröffentlichungen im Internet sowie Foreneinträgen das Urteil teilweise bejubelt wird, so sollte aufgrund der bislang lediglich vorliegenden Pressemitteilung nur eine vorläufige Einschätzung erfolgen und erst nach Vorliegen der vollständigen Urteilsbegründung eine abschließende Bewertung vorgenommen werden.

RA Christian Wolff, 14. Mai 2010

Neu: Sonderinformation für Arztpraxen:
Schutz der Patientendaten: Benötigen Ärzte einen Datenschutzbeauftragten?

Patientendaten gehören zu den sensibelsten Daten eines Menschen.

Der Eid des Hippokrates kann als die älteste Datenschutznorm der Menschheit bezeichnet werden. Bereits ca. 400 Jahre v. Chr. hieß es da:
„Was ich bei der Behandlung oder auch außerhalb meiner Praxis im Umgange mit Menschen sehe und höre, das man nicht weiterreden darf, werde ich verschweigen und als Geheimnis bewahren.“

Da heute Patientendaten weitestgehend elektronisch bearbeitet werden, muss jeder niedergelassene Arzt die im Bundesdatenschutzgesetz (BDSG) enthaltenen Vorschriften beachten und die Einhaltung sicher stellen.
Schnell sind in einer größeren Praxis(gemeinschaft) 9 Angestellte mit der Verarbeitung personenbezogener Daten beschäftigt.
Terminvergabe, Ausstellen von Rezepten, Überweisungen, Abrechnung: Nur wenn insgesamt weniger als 10 Personen mit der EDV arbeiten, entfällt die Bestellung eines Datenschutzbeauftragten (§ 4 f BDSG).
Kann die Bestellung eines Datenschutzbeauftragten trotz vorstehender Grundverpflichtung vermieden werden?
JEIN: Nur wenn bei einer Neugründung von vornherein, das heißt mit dem ersten Patienten, eine schriftliche genau formulierte Einwilligung eingeholt wird.
Wenn jedoch bereits im Rahmen einer Praxisübernahme oder bei bestehender Praxis Datenbestände existieren, kann man die Pflicht zur Bestellung eines Datenschutzbeauftragten nicht umgehen.

Ohne von jedem Patienten eine datenschutzrechtliche Einwilligungserklärung eingeholt zu haben, müssen alle bestehenden Arztpraxen, in der mindestens neun Mitarbeiter die Daten ihrer Patienten elektronisch verarbeiten, einen Datenschutzbeauftragten bestellen.
Wenn kein Datenschutzbeauftragter bestellt wurde, drohen Abmahnungen durch die Aufsichtsbehörde und die Verhängung von Bußgeld.

Neu: Sonderkündigungsschutz des Datenschutzbeauftragten

Seit der letzten Novellierung des Bundesdatenschutzgesetzes (BDSG) zum 1. September 2009 genießt der betriebliche (interne) Datenschutzbeauftragte besonderen Kündigungsschutz ähnlich einem Betriebsratsmitglied.

Das BDSG regelt in § 4 f Abs. 3 S. 5, 6: „… darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.“ … „… ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach der Abberufung als Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.“

Nur wenn Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Dienstverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Dienstverhältnisses nicht zugemutet werden kann, ist aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist eine Kündigung möglich.

Auch der für einen Widerruf der Bestellung eines Datenschutzbeauftragten muss ein wichtiger Grund vorliegen. Er hat Ausnahmecharakter; die Möglichkeiten zu Widerruf sind beschränkt. Es müssen Tatsachen vorliegen, aufgrund derer unter Beachtung aller Umstände des Einzelfalles und nach einer Interessenabwägung das Festhalten am Vertrag nicht mehr zumutbar ist. In Betracht kommt das, wenn beispielsweise grobe Verstößen des Datenschutzbeauftragten gegen die Verschwiegenheitspflicht vorliegen oder er sich bestechen ließ.

Wenn der betriebliche Datenschutzbeauftragte auch noch andere Aufgaben arbeitsvertraglich zu erledigen hat, ist nach der Rechtsprechung des Bundesarbeitsgerichts (BAG) vom 13.3.2007 (Aktenzeichen 9 AZR 612/ 05) eine Teilkündigung erforderlich. Erforderlich ist die gleichzeitige Teilkündigung der arbeitsvertraglich geschuldeten Sonderaufgabe Datenschutzbeauftragter, um die wirksam widerrufen zu können.

Der Kündigungsschutz wirkt noch ein Jahr nach Beendigung der Tätigkeit als Datenschutzbeauftragter fort (§ 4 f Abs. 3 S. 6 BDSG).

Rechtsanwalt und Datenschützer Christian Wolff ist unter anderem Mitglied in folgenden Organisationen: