Wer diesem Blog schon länger folgt, der weiß, dass die Monothematik „Recht & Medien“ nur einmal, vielleicht zweimal, im Jahr aufgebrochen wird. Jetzt zur Weihnachtszeit ist es wieder soweit:
„Es ist die Zeit der frohen Herzen, wo man einander gern hat und es auch dem anderen sagt“
Mitautor: Christian Frerix, wissenschaftlicher Mitarbeiter*
Das BMJV hat vor gut zwei Wochen, am 19.11.2015, als Ergebnis des diesjährigen IT-Gipfels ein „Muster für Datenschutzhinweise“ auf nur einer DIN-A4-Seite vorgestellt. Dieser sog. „One Pager“ soll nach eigener Aussage nun von Unternehmen genutzt werden können, um ihre Datenverarbeitung gegenüber Verbraucherinnen und Verbrauchern auf einfache Weise im Internet transparent zu machen. Hilfestellungen gibt’s im Rahmen einer Erläuterung für den Verwender des „One Pagers“. Das klingt erstmal nicht schlecht. Haben doch selbst schon einfache Unternehmenswebseiten Datenschutzerklärungen, die gerne vier DIN-A4-Seiten umfassen. Bei etwas komplexeren Telemediendiensten bzw. Geschäftsmodellen können es auch einmal fünfzehn Seiten werden.
Doch wer sich jetzt schon auf das Ende des Leidens (ergo, der umfangreichen Informationspflichten) und eine knackige Lösung zum „Selbermachen“ freut, den müssen wir an dieser Stelle leider enttäuschen. Die gesetzlichen Anforderungen an den Inhalt von Datenschutzerklärungen haben sich nämlich nicht geändert.
Angesichts dieser Tatsache drängt sich förmlich die Frage auf, wie das BMJV den Regelungsinhalt von fünf bis zehn Seiten auf einer Seite unterbringen kann? Die Antwort führt leider zur nächsten Enttäuschung: Gar nicht.
Denn noch bleibt ein Gedanke: Wenn also weiterhin umfangreich informiert werden muss und das BMJV das irgendwie mit einer DIN-A4-Seite schafft, dann kann ich das als Unternehmen schon lange! Deshalb spar ich mir die „richtige“ Datenschutzerklärung in Zukunft einfach! Oder?
Nun ja, sagen wir es mal so:
Warum der „One Pager“ eine Datenschutzerklärung nicht ersetzt und für wen er dennoch nützlich sein kann, wird im nachfolgenden Beitrag geklärt.
Mitautorin: Melanie Ludolph, zum Veröffentlichungszeitpunkt Referendarin bei Dirks & Diercks Rechtsanwälte
Das Landgericht München I hat mit seinem Urteil vom 31.07.2015, Az.: 4 HK O 21172/14 entschieden, dass bei einem redaktionellen Beitrag auf einer Webseiten der Hinweis „Sponsored“ nicht zur Werbekennzeichnung ausreicht. BÄM.
Himmel! Und jetzt? Was machen wir denn mit all den #sponsered Tweets, Blogartikeln, Facebook- und Instagram-Posts?
Der besonnene Anwalt ruft: Gemach, gemach! Zunächst haben wir nur eine Entscheidung der Bayern. Nicht mehr und nicht weniger. Aber der Reihe nach:
Strafverteidigung? Was ist denn hier los? Heißt es von Rechtsanwältin Diercks nicht, ihr sei am Ende der Strafrechtsprüfung im 2. Staatsexamen ein Jauchzer den Lippen entglitten, auf dass dieses Kapitel in ihrem Leben ein Ende habe? Hat dann der Rechtsanwalt Dirks, seines Zeichens Fachanwalt für Urheber- und Medienrecht, eine heimliche Leidenschaft, einen nicht-öffentlichen Tätigkeitsschwerpunkt?
Ja und Nein. Ich habe gejauchzt. Und der Kollege Dirks hat – Strafrecht mit urheberrechtlichen Bezügen mal außen vor gelassen – keine heimliche Leidenschaft. Strafverteidigung überlassen wir grundsätzlich lieber denjenigen, die sich damit auskennen.
Und doch, natürlich bleibt auch die digitale Welt von Vergehen und Verbrechen nicht verschont. In diesem Zusammenhang fällt oft das Wort Cybermobbing. Wird Gibt man Cybermobbing bei Google im Inkognito-Modus eingegeben (präzisierende Korrektur aufgrund Hinweises der geschätzten Kerstin Hoffmann), erscheint als dritter natürlicher Treffer Cybermobbing: Neue Form der Gewalt – der Link führt zu der Webseite „Polizeiliche Kriminalprävention der Länder und des Bundes“. Damit ist klar, Cybermobbing ist strafbar!
Mhm…., aber vielleicht fragen wir dazu besser noch einmal einen gestandenen Strafverteidiger. In diesem Fall den geschätzten Kollegen Rechtsanwalt Christoph Nebgens. Dieser ist nicht nur Fachanwalt für Strafrecht, sondern auch vom Magazin „Focus“ in den Jahren 2013, 2014 und 2015 jeweils zu den TOP-Anwälten für Strafrecht in Norddeutschland gezählt worden. Der Nebgen wird es also wissen, dachten wir uns. Da er noch dazu des Schreibens mächtig ist, wie seine zahlreichen ebenso intelligenten wie witzigen Tweets und sowieso der eigene Blog zeigen, hat er es durch die harte Tür des Social Media Recht Blog geschafft.
Okay, okay … Ich habe um den Gastbeitrag gebeten, da ich das Thema spannend fand. Und da Christoph es augenscheinlich spannend fand, für den Social Media Recht Blog zu klären, was es denn nun eigentlich mit dem Cybermobbing so auf sich hat, kann und darf ich jetzt sagen, bitte, Christoph Deine Bühne:
Am 06. Oktober gaben wir eine kurze Einschätzung zum Urteil EuGH C 362-/14, mit dem „Safe Harbor“ für ungültig erklärt wurde, ab. Am 14. Oktober setzten wir uns mit der ersten Stellungnahme des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (also der Schleswig-Holsteinischen Datenschutzbehörde) kritisch auseinander.
Zwischenzeitlich hat sich die Artikel 29 Gruppe sowie die Datenschutzkonferenz zu den Konsequenzen des Urteils für deutsche bzw. europäische Unternehmen geäußert. Dazu nun im Folgenden.
Nun, meine erste Einschätzung zur Entscheidung des EuGH C-362/14 gab es am 06. Oktober unter dem Titel „Aus, aus, aus! Safe Harbor ist aus!„. Dort hatte ich die Entscheidung des EuGH grob skizziert und klar gestellt, dass es aber unabhängig von Safe Harbor nach § 4c Abs. 1 Nr. 3 BDSG schon immer Möglichkeiten der Datenübermittlung an andere Stellen gab, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht (!) gewährleistet ist, nämlich dann, wenn:
Ich schrieb ferner, dass noch nicht abzusehen ist, wie die Datenschutzbehörden dies im Zusammenhang mit dem ergangenen Urteil bewerten würden, dass aber wohl davon auszugehen sei, dass die nationalen Aufsichtsbehörden die Entscheidung mit Sicherheit dergestalt lesen werden, als ihnen die Entscheidung nun erweiterte (wiedererhaltene, durch die Kommissions-Entscheidung vorher beschnittene) Befugnisse gewährt.
Der Hamburgische Beauftragte für Datenschutz ließ noch am selben Tag verlauten: „Bei der Umsetzung dieser Entscheidung werden die nationalen und europäischen Datenschutzbehörden künftig eine Schlüsselrolle einnehmen.“ (PM vom 06.10.2015).
Nun hat sich das Unabhängige Landeszentrum Schleswig-Holstein gestern mit dem Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14 zu Wort gemeldet.
Dieses mag in Gänze ein jeder selbst lesen. Im Wesentlichen besagt es das Folgende:
Alea iacta est. Der Gerichtshof der europäischen Union (EuGH) hat die Entscheidung der Kommission, dass die USA ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten („Safe Harbor“ ), für ungültig erklärt.
Es rummst gerade und zwar gewaltig.
Die wenigsten haben bis jetzt die Urteilsgründe der Entscheidung EuGH C-362/14 gelesen (ich auch noch nicht habe es bislang auch nur überflogen). Und so bleibt zunächst einmal abzuwarten, was eine Analyse desselben ergibt bzw. welche Konsequenzen das Urteil im Einzelnen letztlich tatsächlich haben wird. Fest steht jedoch schon jetzt: Es werden nicht keine sein.
Nach der Pressemitteilung des EuGH genügt das Safe Harbour insoweit nicht europäischen Datenschutzstandards, als dieses Abkommen (ungerechtfertigte) Eingriffe in die Grundrechte von Personen seitens von Behörden (insb. NSA & Co) ermöglicht und vor allem, weil dem Betroffenen keine Rechtsbehelfe gegen derartige Eingriffe zur Verfügung stehen. Folglich sei die Entscheidung der Kommission, dass „dass die USA ein angemessenes Schutzniveau gewährleistet“ ungültig. Und damit steht Safe Harbor vor dem aus.
Das ist die sehr verkürzte Darstellung der ebenfalls bereits die Urteilsgründe stark vereinfachenden Pressemitteilung des EuGH, aber so im Wesentlichen die Begründung.
Diese Entscheidung hat nicht nur für amerikanische, sondern vor allem auch für europäische und damit deutsche Unternehmen Brisanz. Hier trifft es wiederum ganz besonders solche, die auf Dienstleistungen von US-Unternehmen angewiesen sind (Gretchenfrage: Wer ist das nicht?!) und/oder die selbst etwa übergreifende (personenbezogene) Big Data Analysen, CRMs (Customer-Relationship-Management-Tools) oder Webmonitoring nutzen oder anbieten.
Das Ende der (Daten-)Welt?
Und jetzt? Das Ende der Welt? Facebook und Twitter down? Apple vor dem aus? Wohl kaum. Die EU und USA müssen sich jetzt unmittelbar an ein neues Abkommen setzen, das wissen beide Seiten. Doch bis hier etwas steht, werden noch ein paar Tage *hust ins Land gehen. Und es gibt – neben Safe Harbor – durchaus Möglichkeiten datenschutzkonform Datentransfer zwischen den USA und Europa zu betreiben.
Schließlich war es schon immer so gewesen, dass nach § 4c Abs. 1 Nr. 3 BDSG die Übermittlung an andere Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht (!) gewährleistet ist, zulässig ist, sofern
Das heißt, wenn der betroffene seine konkrete, bewusste und ausdrückliche Einwilligung gemäß der Anforderungen von § 4a BDSG gegeben hat, ist (fast) alles möglich. (Es ist aber durchaus nicht ganz einfach hier den Anforderungen zu genügen).
Ferner dürfen zur Vertragserfüllung weiterhin Daten ausgetauscht werden. Da dieses „Problem“ nun auch wahrlich kein Einzelfall ist, hält die EU Standard-Vertragsklauseln vor, nach bzw. mit denen der Transfer von personenbezogenen Daten zwischen den Parteien rechtskonform geregelt werden kann.
Last but not least, es gibt weiter die Möglichkeit für international aufgestellte Konzerne sich „betriebseigene“ verbindliche Regelungen zum Umgang mit personenbezogenen Daten – auf Basis von EU-Vorgaben – zu schaffen, diese Regelungen werden zumeist unter dem Schlagwort „Binding Corperate Rules“ abgehandelt (klingt ja auch gleich viel besser!). Auch hier steht der Konzern nicht alleine dar, die EU, bzw. konkret die Artikel 29 Datenschutzgruppe gibt hier mit dem Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen freundlicher Weise eine Handreichung (Obacht! Aus 2008. Im Zweifel mal genauer hingucken!).
Fazit (vorerst)
Safe Harbor ist aus. Das Spiel aber natürlich nicht. Es gab und gibt Wege legal mitzuspielen. Nur sind die jetzt etwas umständlicher geworden. Den Datenschutz schlicht zu ignorieren (ja, das tun immer noch relativ viele Unternehmen relativ ungeniert) wird immer ungemütlicher. Zumal die nationalen Aufsichtsbehörden die Entscheidung mit Sicherheit dergestalt lesen werden, als ihnen die Entscheidung nun erweiterte (wiedererhaltene, durch die Kommissions-Entscheidung vorher beschnittene) Befugnisse gewährt.
Update (06.10.2015, 15:28): Ja, die Aufsichtsbehörden fühlen sich gestärkt. Der Hamburgische Beauftragte für Datenschutz: „Bei der Umsetzung dieser Entscheidung werden die nationalen und europäischen Datenschutzbehörden künftig eine Schlüsselrolle einnehmen.“ (PM vom 06.10.2015).
Also, es bleibt spannend.
So auch die Frage: Was ist mit all den hübschen Social-PlugIns? Bedarf es nun Overlayer allerorten, mit denen die audrückliche Einwilligung der Nutzer eingeholt wird? Und genügt eine Einwilligung, die wie ein – lästiger – Cookie-Hinweis schlicht achtlos weggeklickt wird? Fragen über Fragen. Die Antworten kommen sicher. Beizeiten.
In diesem Sinne,
so schnell geht die Welt nicht unter, auch wenn sie sich gerade mächtig am ändern ist.
„Nanu!?!“ – der monothematische Social Media Recht Blog schreibt einen Beitrag zur Flüchtlingsdebatte? Was hat das mit Social Media Recht zu tun? Ganz klar, gar nichts hat das mit unseren übrigen Themen zu tun. Das ist aber gerade die Idee, die hinter der Aktion #bloggerfuerfluechtlinge steht. Eine Aktion, die von Nico Lumma, Stevan Paul, Karla Paul und Paul Huizing initiiert wurde und die auf einem einfachen Gedanken basiert „Augen auf, nicht weggucken, Mund aufmachen“. Wenn ich hier nur #heidenau erwähne, ist – so hoffe ich – jedem Leser klar, worum es geht. Falls trotzdem nicht: Die Zeitungen wie Online-Medien sind voll von gruseligen Schlagzeilen, die ein menschenverachtendes Treiben beschreiben. Kinder werden in S-Bahnen angepinkelt, in sozialen Netzwerken wird unter Klarnamen dazu aufgerufen, „dieses Pack zu vergasen“ und in einigen Gegenden scheint es sozial-akzeptabel zu sein, andere Menschen mit Steinen zu beschmeißen, ihnen den Tod an den Hals zu schreien und die Unterkunft anzuzünden. Warum? Ja, weil „das“ ja eben „Pack“ ist, was jetzt 140 EUR im Monat bei „uns“ abgreifen will.
Ich schäme mich dafür. Wie wohl viele. Und zugleich packt mich die kalte Wut. Wie auch so viele. Die Idee hinter #bloggerfuerfluechtlinge ist die, dass Menschen, die durch Ihren Blog und ihre sozialen Netzwerke eine gewissen Reichweite haben, eben diese dafür nutzen, laut Position zu beziehen gegen dieses menschenverachtende Haltung von einigen wenigen, die die Schlagzeilen beherrschen. Und zwar gerade diejenigen, die ansonsten thematisch weit ab von Asyl- und Flüchtlingsdebatten schreiben. Einfach, damit die Botschaft „Wir müssen helfen“ aus der Filterbubble getragen wird.
Ich weiß, ich bin relativ spät dran mit diesem Beitrag. Und trotzdem will auch ich, bzw. wir, die Stimme hier mit diesem Post erheben.
Dieses Jahr fanden in Berlin erstmalig die Social Recruiting Days statt. Und das Debüt- Programm schien einen sehr aktuellen Nerv getroffen zu haben. Denn anstelle der von den Veranstaltern ursprünglich maximal 80 Teilnehmer fanden sich mit einmal im Ellington (ja, das Ellington, in dem auch das HR BarCamp seit einiger Zeit zu Gast ist) über 300 Teilnehmer wieder! Und ich durfte zum Thema „Active Sourcing, Talent Relationship Managment & Recht“ in die Bütt. Das mache ich. Immer wieder und sehr gerne. Allerdings ist das Thema mit dem klaren datenschutz- und wettbewerbsrechtlichen Fous auf den ersten Blick – insbesondere für Personaler iwS – weit weniger „fancy“ als zum Beispiel die Frage nach der rechtlichen Umsetzung von Brand Kampagnen (da kann man auch selbst als Jurist einfach viel mehr bunte Bilder zeigen 😉 ). Um so mehr freute es mich dann im Nachgang sowohl persönlich, via Twitter als auch über den Veranstalter zu erfahren, dass das Thema nicht nur sehr gut angekommen war, sondern dass doch eine nicht unerhebliche Anzahl von Zuhörern sich mehr (!) zum Thema Social Recruiting & Recht gewünscht hätte. Well, your wish is my command. Natürlich. Und so bieten wir denn einen
sehr gerne an. Darum geht es:
In dem Workshop werden (fast) alle rechtlichen Probleme beleuchtet, die die Verwendung von Social Media im Unternehmen im Zusammenhang mit Recruiting im weitesten Sinne mit sich bringt.
Das heißt, es geht unter anderem um
Rechtsanwältin Nina Diercks, Partnerin der Kanzlei Dirks & Diercks sowie Gründerin und Autorin des Social Media Recht Blog.
“Nina Diercks erklärt komplexe Rechtsprobleme anhand von Fallbeispielen leicht verständlich, praxisnah und lösungsorientiert. Dabei führt die offensichtliche Begeisterung für das eigene Thema kombiniert mit einer unterhaltsamen Vortragsweise dazu, dass sogar ein Ganztages-Workshop zum Thema Recht seinen Schrecken verliert. Im Ernst: Absolut empfehlenswert.”
Sabine Burmeister, Consultant, T-Systems Multimedia Solutions GmbH (Mehr Stimmen…)
12. Oktober 2015 – 9.00 Uhr bis ca. 17:00 Uhr
Hamburg, Hotel Mövenpick im Wasserturm.
Die Teilnahmegebühr beträgt 499,00 EUR netto pro Teilnehmer bei Buchung bis zum 10. September (Frühbucherpreis).
Bei Buchung ab dem 11. September beträgt die Teilnahmegebühr 549,00 EUR netto pro Teilnehmer (Normalpreis).
Im Preis enthalten sind:
Prima! Dann senden Sie doch bitte einfach eine E-Mail mit dem Betreff
„Social Recruiting & Recht – 12.10.2015 – verbindliche Anmeldung“
(Bitte noch das „Kleingedruckte“ unten am Ende der Seite lesen.)
Macht nichts. Schreiben Sie uns einfach an unter dem Betreff SRR, wann es bei Ihnen besser passen würde und wir versuchen, eine Alternative zu finden.
Die Durchführung des Workshops steht unter dem Vorbehalt der verbindlichen Anmeldung von wenigstens 5 Teilnehmern bis spätestens zum 25. September. Findet der Workshop statt, erfolgt die Rechnungsstellung umgehend. Bei einer Absage nach dem 25. September ist eine kostenlose Stornierung nicht möglich, in diesem Fall wird die Hälfte der Teilnahmegebühr fällig. Ein Ersatzteilnehmer kann jedoch vom ursprünglichen Teilnehmers jederzeit gestellt werden.
So. Das war es. Wir freuen uns über Anmeldungen, aber auch über sonstiges Feedback dazu. Und da der ein oder andere sicher ein Stück Papier oder zumindest ein pdf benötigt, dass er dem Chef oder der Chefin übergeben kann, gibt es hier noch einmal
alle Informationen zum Workshop Social Recruiting & Recht als pdf.
In diesem Sinne,
auf bald. Vielleicht persönlich am 12.10.2015 in Hamburg. Ich würde mich freuen.
Beauftragt man als Unternehmen eine Agentur damit, eine Internetpräsenz zu gestalten oder einen Social Media Account zu betreuen, so ist die Agentur in der Regel zugleich damit betraut, das entsprechende Bildmaterial zu liefern. Das ist auch nur effizient. Allerdings hat das ganze dann einen Haken, wenn man als Webseitenbetreiber eine freundliche Abmahnung eines Dritten bekommt wegen der unrechtmäßigen Nutzung eines Bildes bekommt. In diesem Fall muss der Webseiten oder Social Media Account Betreiber nachweisen können, dass er die Rechte im Wege einer ordentlichen Rechtekette an eben diesen Fotografien erhalten hat. Der Verweis auf eine schlichte Zusicherung genügt hier nicht.
Das ist an sich alles nichts Neues. Doch da das OLG München (Beschluss vom 15.01.2015, Az.: 29 W 2554/14) gerade über eben einen solchen Fall zu entscheiden hatte, haben wir das zum Anlass genommen, uns noch einmal intensiv mit dem Thema auseinanderzusetzen.