Schlagwort-Archive: Datenschutz

Workshop „Social Media & Recht für Freelancer, Blogger, Gründer“ am 24.02.2017 in Hamburg

Ein neues Jahr ist da. Und weil ich im letzten Jahr so oft gefragt worden bin, ob ich nicht noch ein Workshop zu diesem oder ein Seminar zu jenem anbieten kann, ist einer meiner Vorsätze für 2017 diesen, also ihren, Wünschen nachzukommen. Das heißt, ich werde in den kommenden Monaten die unterschiedlichsten Seminare und Workshops aus den Bereichen des IT-, Medien-, Datenschutz- und Arbeitsrechts anbieten. (Wer kein Seminar-Angebot verpassen möchte, der kann herzlich gerne meinen blitzneuen Seminar-Newsletter – siehe rechte Navigation -abonnieren.)

Den Anfang mache ich nun mit dem im Titel schon genannten „Einsteiger“-Workshop „Social Media & Recht für Freelancer, Blogger, Gründer“, welcher in Hamburg am 24. Februar stattfinden wird. Herzlich willkommen sind daneben aber auch natürlich: Social Media Manager, Community-Manager und Digital Manager.

Darum geht es beim Workshop „Social Media & Recht“: Weiterlesen

Von Big Data Analysen, der Charta für digitale Grundrechte, dem (europäischen) Datenschutz – und was das alles miteinander zu tun zu hat.

Am Wochenende ging in zweierlei Hinsicht eine Art digitaler Aufschrei durch Twitter, dessen Nachhall noch immer durch die Timelines vibriert. Genau genommen geht es um Big Data Analysen, die (möglicherweise) Präsidenten hervor oder zu Fall bringen können und um den Entwurf einer Charta der digitalen Grundrechte, welche mit Verve und prominenter Unterstützung bereits den ersten Schritt in die europäische Gesetzgebung gegangen ist. In dem Zusammenhang geht es dann natürlich auch um die bestehenden wie kommenden (europäischen) Datenschutzregelungen und vor allem darum, was das eine mit dem anderen zu tun hat sowie warum möglicherweise hier eine ganze Menge zu tun ist, dort aber vielleicht doch besser gar nichts getan werden sollte.

Doch der Reihe nach. Von vorne. Und im Einzelnen.

Weiterlesen

Das Gesetz gegen den unlauteren Wettbewerb (UWG) ist geändert worden – Grundsanierung oder Kosmetikkur?

Am Ende des Jahres 2008 setzte der deutsche Gesetzgeber die europäische Richtlinie 2005/29/EG über unlautere Geschäftspraktiken (UGP-RL) durch Änderung des UWG um und leistete damit seinen Beitrag zur Vollharmonisierung des Lauterkeitsrechts im Verhältnis von Unternehmern zu Verbrauchern auf europäischer Ebene. Am 10.12.2015 – also ziemlich genau 7 Jahre später – trat nun das zweite Änderungsgesetz in Kraft. Aus der Begründung dieses Änderungsgesetzes geht hervor, dass hier und dort noch Klarstellungsbedarf gesetzessystematischer Art bestand, um bereits im Wortlaut des UWG selbst eine vollständige Rechtsangleichung an die UGP-RL zu erzielen. Mit anderen Worten sollten also alle sprachlichen und systematischen Unklarheiten zwischen UWG und UGP-RL beseitigt werden. Ob das gelungen ist, was sich genau geändert hat und ob dies auch spürbare Konsequenzen für die Praxis mit sich bringt, erfahren Sie im folgenden Beitrag.

Weiterlesen

Big Data, Scoring & Recht – Teil 2: Ein Praxisbeispiel aus dem HR-Bereich

Mitautor: Christian Frerix, wissenschaftlicher Mitarbeiter*

Im zweiten Teil dieses Artikels wechseln wir die Perspektive. Nachdem wir im ersten Teil gezeigt haben, dass das externe Scoring dem Grunde nach zulässigerweise betrieben werden kann, schauen wir nun darauf, ob das Geschäftsmodell – im jeweils konkreten Fall – auch von den Kunden, also den den Auftrag gebenden Unternehmen, unter datenschutzrechtlichen Aspekten genutzt werden darf. Das BDSG kennt keine ausdrücklichen Lösungen für diese Fragestellungen. Die Normen zum Scoring und zu Auskunfteien wurden zum einen vor dem Hintergrund von Bonitäts-Prüfungen und Kreditvergaben entwickelt, zum anderen sind sie nur mühsam auf Sachverhalte wie den hiesigen, die unter Zuhilfenahme modernster Data-Analysen und Data-Mengen arbeiten, zu adaptieren (Mehr dazu gibt’s im ersten Teil des Artikels, ebenso wie den Hinweis auf den dazugehörigen Fachaufsatz).

Weiterlesen

Big Data, Scoring & Recht – Teil 1: Grundlagen

Mitautor: Christian Frerix, wissenschaftlicher Mitarbeiter*

Mit dem BDSG und neuen Technologien verhält es sich so, wie in dem Märchen vom Wettrennen zwischen Hase und Igel: Kommt der Gesetzgeber mit einer Regelung endlich zum Ziel, ist die neue Technologie schon lange da. Dass es dann möglicherweise schon einen weiteren Regelungsbedarf in diesem Bereich gibt, merkt er dabei erst später. So ähnlich sieht‘s auch beim Scoring aus. Hier hat der Gesetzgeber zwar erkannt, dass es etwas zu regeln gibt. So richtig passt diese Regelung aber – eigentlich – nur zum Kreditscoring. Dass es darüber hinaus noch andere Möglichkeiten des Scoring gibt und dass diese besser auch geregelt werden sollten, soll – wie bereits angekündigt und versprochen – im nachfolgenden Beitrag gezeigt werden. Da es dazu jede Menge zu schreiben gibt, die meisten aber wohl (verständlicherweise) nicht alles auf einmal genießen möchten, wird der Beitrag in zwei Teile gegliedert. Der erste Teil enthält dabei grundsätzliche Ausführungen zum Scoring und zum (externen) Scoring als Geschäftsmodell. Der zweite Teil befasst sich mit Fragen rund um den Einsatz in der Arbeitswelt.

[Und wer sich dem Thema lieber gänzlich fachlich, sprich juristisch, nähern möchte, dem sei der Aufsatz  Big Data Analysen & Scoring in der (HR-)Praxis (Fachaufsatz in der PinG, 01/16, S. 30) ans Herz gelegt.]

Weiterlesen

Big Data Analysen & Scoring in der (HR-)Praxis – Fachaufsatz in der PinG, 01/16, S. 30

Wie war das? „Big Data ist wie Teenage-Sex alle reden drüber, aber keiner weiß, wie es geht.“ (Quote: Dan Ariely auf FB, Jan 2013). Nun, ganz so ist es im Jahr 2016 nicht mehr. Big Data Analysen sind nicht mehr die Zukunft, die „sicher bald kommt“. Die Zukunft ist da. Die Aufbereitung und Auswertung von Datenmassen hat für zahlreichen Unternehmen mittlerweile einen nicht unerheblichen wirtschaftlichen Nutzen. Und das gilt eben nicht mehr „nur“ in Bezug auf das Marketing und die digitalen Werbenetzwerke. Das sogenannte Scoring weckt vielmehr in all möglichen Branchen Begehr. Scoring meint, vereinfacht ausgedrückt, dass Datenmassen gesammelt und aus diesen unter Zuhilfenahme eines Algorithmus ein Wahrscheinlichkeitswert (Scorewert) für ein bestimmtes zukünftiges – individuelles und/oder kollektives – Verhalten errechnet wird. Derartige Scoring-Verfahren erfreuen sich gerade im Bereich Human Resources, kurz HR, zunehmender Beliebtheit. Denn schließlich kann auf diesem Wege unter anderem auch berechnet werden, ob ein Mitarbeiter eines Unternehmens möglicherweise beabsichtigt eben dieses zu verlassen. Und solch ein Wissen kann wiederum im Recruiting oder Retention-Management bares Geld wert sein. Doch halt! War da nicht noch etwas? Der Datenschutz?

Weiterlesen

Safe Harbor zum Dritten: Das Positionspapier der Datenschutzkonferenz und die Auswirkungen auf die Unternehmen

Am 06. Oktober gaben wir eine kurze Einschätzung zum Urteil EuGH C 362-/14, mit dem „Safe Harbor“ für ungültig erklärt wurde, ab. Am 14. Oktober setzten wir uns mit der ersten Stellungnahme des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (also der Schleswig-Holsteinischen Datenschutzbehörde) kritisch auseinander.

Zwischenzeitlich hat sich die Artikel 29 Gruppe sowie die Datenschutzkonferenz zu den Konsequenzen des Urteils für deutsche bzw. europäische Unternehmen geäußert. Dazu nun im Folgenden.

Weiterlesen

Safe Harbor, die erste Stellungnahme des Unabhängigen Landeszentrums für Datenschutz S-H (ULD) und die damit verbundenen Konsequenzen für Unternehmen

Nun, meine erste Einschätzung zur Entscheidung des EuGH C-362/14 gab es am 06. Oktober unter dem Titel „Aus, aus, aus! Safe Harbor ist aus!„. Dort hatte ich die Entscheidung des EuGH grob skizziert und klar gestellt, dass es aber unabhängig von Safe Harbor nach § 4c Abs. 1 Nr. 3 BDSG schon immer Möglichkeiten der Datenübermittlung an andere Stellen gab,  auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht (!) gewährleistet ist, nämlich dann, wenn:

  1. der Betroffene seine Einwilligung gegeben hat oder
  2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist oder
  3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll […].

Ich schrieb ferner, dass noch nicht abzusehen ist, wie die Datenschutzbehörden dies im Zusammenhang mit dem ergangenen Urteil bewerten würden, dass aber wohl davon auszugehen sei, dass die nationalen Aufsichtsbehörden die Entscheidung mit Sicherheit dergestalt lesen werden, als ihnen die Entscheidung nun erweiterte (wiedererhaltene, durch die Kommissions-Entscheidung vorher beschnittene) Befugnisse gewährt.

Der  Hamburgische Beauftragte für Datenschutz ließ noch am selben Tag verlauten: „Bei der Umsetzung dieser Entscheidung werden die nationalen und europäischen Datenschutzbehörden künftig eine Schlüsselrolle einnehmen.“ (PM vom 06.10.2015).

Nun hat sich das Unabhängige Landeszentrum Schleswig-Holstein gestern mit dem Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14 zu Wort gemeldet.

Dieses mag in Gänze ein jeder selbst lesen. Im Wesentlichen besagt es das Folgende:

Weiterlesen

Aus, aus, aus! Safe Harbor ist aus! – Zur Entscheidung des EuGH C-362/14 – Schrems

Alea iacta est. Der Gerichtshof der europäischen Union (EuGH) hat die Entscheidung der Kommission, dass die USA ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten („Safe Harbor“ ), für ungültig erklärt.

Es rummst gerade und zwar gewaltig.

Die wenigsten haben bis jetzt die Urteilsgründe der Entscheidung EuGH C-362/14 gelesen (ich auch noch nicht habe es bislang auch nur überflogen). Und so bleibt zunächst einmal abzuwarten, was eine Analyse desselben ergibt bzw. welche Konsequenzen das Urteil im Einzelnen letztlich tatsächlich haben wird. Fest steht jedoch schon jetzt: Es werden nicht keine sein.

Nach der Pressemitteilung des EuGH genügt das Safe Harbour insoweit nicht europäischen Datenschutzstandards, als dieses Abkommen (ungerechtfertigte) Eingriffe in die Grundrechte von Personen seitens von Behörden (insb. NSA & Co) ermöglicht und vor allem, weil dem Betroffenen keine Rechtsbehelfe gegen derartige Eingriffe zur Verfügung stehen. Folglich sei die Entscheidung der Kommission, dass „dass die USA ein angemessenes Schutzniveau gewährleistet“ ungültig. Und damit steht Safe Harbor vor dem aus.

Das ist die sehr verkürzte Darstellung der ebenfalls bereits die Urteilsgründe stark vereinfachenden Pressemitteilung des EuGH, aber so im Wesentlichen die Begründung.

Diese Entscheidung hat nicht nur für amerikanische, sondern vor allem auch für europäische und damit deutsche Unternehmen Brisanz. Hier trifft es wiederum ganz besonders solche, die auf Dienstleistungen von US-Unternehmen angewiesen sind (Gretchenfrage: Wer ist das nicht?!) und/oder die selbst etwa übergreifende (personenbezogene) Big Data Analysen, CRMs (Customer-Relationship-Management-Tools) oder Webmonitoring nutzen oder anbieten.

Das Ende der (Daten-)Welt?

Und jetzt? Das Ende der Welt? Facebook und Twitter down? Apple vor dem aus?  Wohl kaum. Die EU und USA müssen sich jetzt unmittelbar an ein neues Abkommen setzen, das wissen beide Seiten. Doch bis hier etwas steht, werden noch ein paar Tage *hust ins Land gehen. Und es gibt – neben Safe Harbor – durchaus Möglichkeiten datenschutzkonform Datentransfer zwischen den USA und Europa zu betreiben.

Schließlich war es schon immer so gewesen, dass nach § 4c Abs. 1 Nr. 3 BDSG die Übermittlung an andere Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht (!) gewährleistet ist, zulässig ist, sofern

  1. der Betroffene seine Einwilligung gegeben hat oder
  2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist oder
  3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll […].

Das heißt, wenn der betroffene seine konkrete, bewusste und ausdrückliche Einwilligung gemäß der Anforderungen von § 4a BDSG gegeben hat, ist (fast) alles möglich. (Es ist aber durchaus nicht ganz einfach hier den Anforderungen zu genügen).

Ferner dürfen zur Vertragserfüllung weiterhin Daten ausgetauscht werden. Da dieses „Problem“ nun auch wahrlich kein Einzelfall ist, hält die EU Standard-Vertragsklauseln vor, nach bzw. mit denen der Transfer von personenbezogenen Daten zwischen den Parteien rechtskonform geregelt werden kann.

Last but not least, es gibt weiter die Möglichkeit für international aufgestellte Konzerne sich „betriebseigene“ verbindliche Regelungen zum Umgang mit personenbezogenen Daten – auf Basis von EU-Vorgaben – zu schaffen, diese Regelungen werden zumeist unter dem Schlagwort „Binding Corperate Rules“ abgehandelt (klingt ja auch gleich viel besser!). Auch hier steht der Konzern nicht alleine dar, die EU, bzw. konkret die Artikel 29 Datenschutzgruppe gibt hier mit dem Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen freundlicher Weise eine Handreichung (Obacht! Aus 2008. Im Zweifel mal genauer hingucken!).

Fazit (vorerst)

Safe Harbor ist aus. Das Spiel aber natürlich nicht. Es gab und gibt Wege legal mitzuspielen. Nur sind die jetzt etwas umständlicher geworden. Den Datenschutz schlicht zu ignorieren (ja, das tun immer noch relativ viele Unternehmen relativ ungeniert) wird immer ungemütlicher. Zumal die nationalen Aufsichtsbehörden die Entscheidung mit Sicherheit dergestalt lesen werden, als ihnen die Entscheidung nun erweiterte (wiedererhaltene, durch die Kommissions-Entscheidung vorher beschnittene) Befugnisse gewährt.

Update (06.10.2015, 15:28): Ja, die Aufsichtsbehörden fühlen sich gestärkt. Der Hamburgische Beauftragte für Datenschutz: „Bei der Umsetzung dieser Entscheidung werden die nationalen und europäischen Datenschutzbehörden künftig eine Schlüsselrolle einnehmen.“ (PM vom 06.10.2015).

Also, es bleibt spannend.

So auch die Frage: Was ist mit all den hübschen Social-PlugIns? Bedarf es nun Overlayer allerorten, mit denen die audrückliche Einwilligung der Nutzer eingeholt wird? Und genügt eine Einwilligung, die wie ein – lästiger – Cookie-Hinweis schlicht achtlos weggeklickt wird? Fragen über Fragen. Die Antworten kommen sicher. Beizeiten.

In diesem Sinne,

so schnell geht die Welt nicht unter, auch wenn sie sich gerade mächtig am ändern ist.

 

Von der Idee über die Entwicklung bis zur Vermarktung einer App – Wo liegen die rechtlichen Hürden? (Part 2)

Mit Schrecken muss ich feststellen, dass wir den 18. Mai 2015 schreiben. Das bedeutet, dass die Veröffentlichung des ersten Teils zu den rechtlichen Hürden von App-Entwicklung und App-Vermarktung fast zwei Monate zurück liegt. Huch. Nun denn, jetzt aber.

Während sich der erste Teil mit Fragen des Markenrechts („Wie soll das Kind denn heißen?“) sowie mit IT-Verträgen und Softwarelizenzen im Rahmen der App-Erstellung herumschlug, beschäftigen wir uns im folgenden einmal mit dem Impressum, der Einbindung von Dritt-Services, und insbesondere dem Datenschutz (ach ja, ich weiß… das ungeliebte Kind 😉 ) sowie last but not least, dem Vertrag zwischen dem App-Betreiber und dem End-Nutzer.

Weiterlesen