Wie die Frankfurter Allgemeine Zeitung (F.A.Z.) im Oktober 2016 berichtete, haben mehrere Wohnungsbaugesellschaften hochsensible Daten ungeschützt auf ihren Internetseiten erhoben und dann weiterverarbeitet. Ungeschützt bedeutet in diesem Zusammenhang, dass die Daten unverschlüsselt auf den Internetseiten zur Verfügung gestellten Web-Formularen (Kontakt- Interessenten- und Suchformularen) erhoben wurden, obwohl die Unternehmen teilweise mit Datenschutzzertifizierungen auf ihren Websites warben.

Dabei wurden persönliche Daten über Einkommen, Arbeitsverhältnis und Sozialleistungen der Betroffenen erhoben und sodann unverschlüsselt über das Internet übermittelt.

Nach Angaben der F.A.Z. sollen mindestens neun Wohnungsbau-Unternehmen in fünf Bundesländern mit einem Bestand von insgesamt 230.000 Wohnungen, unter ihnen große Vermieter in Frankfurt, Köln, Duisburg, Stuttgart, Lübeck und Erfurt, betroffen sein.

Lesen Sie nochfolgend mehr über den datenschutzrechtlichen Hintergrund und wie Sie Ihre Internetseite datenschutzrechtlich absichern können.

Wie die Frankfurter Allgemeine Zeitung (F.A.Z.) im Oktober 2016 berichtete, haben mehrere Wohnungsbaugesellschaften hochsensible Daten ungeschützt auf ihren Internetseiten erhoben und dann weiterverarbeitet. Ungeschützt bedeutet in diesem Zusammenhang, dass die Daten unverschlüsselt auf den Internetseiten zur Verfügung gestellten Web-Formularen (Kontakt- Interessenten- und Suchformularen) erhoben wurden, obwohl die Unternehmen teilweise mit Datenschutzzertifizierungen auf ihren Websites warben.

Dabei wurden persönliche Daten über Einkommen, Arbeitsverhältnis und Sozialleistungen der Betroffenen erhoben und sodann unverschlüsselt über das Internet übermittelt.

Nach Angaben der F.A.Z. sollen mindestens neun Wohnungsbau-Unternehmen in fünf Bundesländern mit einem Bestand von insgesamt 230.000 Wohnungen, unter ihnen große Vermieter in Frankfurt, Köln, Duisburg, Stuttgart, Lübeck und Erfurt, betroffen sein.

Gesetzliche Vorgaben

Die gesetzliche Grundlage einer Pflicht zur Verschlüsselung der Daten lässt sich aus § 9 Bundesdatenschutzgesetz (BDSG) i.V.m. § 13 Abs. 7 TMG herleiten. Demnach müssen öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen, ihnen zumutbare technische und organisatorische Maßnahmen treffen, um diese Daten zu schützen. In der Anlage zu § 9 Satz 1 BDSG werden die zu treffenden Maßnahmen wiederum konkretisiert. Insbesondere sollen die Maßnahmen gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Anlage Nr. 4 - Weitergabekontrolle). Die Verwendung eines Verschlüsselungsverfahrens, welches dem Stand der Technik entspricht, wird am Ende der Anlage ausdrücklich als mögliche Maßnahme zur Erfüllung der Vorgaben des § 9 BDSG genannt.

Die Verwendung eines Verschlüsselungsverfahrens wird somit nicht direkt vom Gesetzgeber gefordert, sondern lediglich als Maßnahme, mit welcher der Schutz der Daten gewährleistet werden kann, hervorgehoben. Eine Verpflichtung besteht dementsprechend nur bezüglich des Schutzes der Daten vor unbefugten Zugriff. Zumindest theoretisch gestattet das Gesetz somit auch alternative Maßnahmen, die verbotene Zugriffe auf personenbezogene Daten verhindern. Im Rahmen von Web-Kontaktformularen und der Übertragung der dort eingegebenen personenbezogenen Daten, stellt die Verschlüsselung jedoch die technisch einzige Maßnahme zum angemessenen Schutz der Daten dar und kann dementsprechend als verpflichtend angesehen werden. So sehen dies auch alle Landesdatenschutzbehörden, die sich bislang hierzu geäußert haben (vgl. hier).

Stand der Technik

Um den Vorgaben des § 9 BDSG und § 13 Abs. 7 TMG gerecht zu werden, muss die Verschlüsselungstechnik dem Stand der Technik entsprechen und gleichzeitig den verarbeitenden Stellen zumutbar sein. Nach heute überwiegender Ansicht wird die Verwendung einer Secure Sockets Layer (SSL) Verschlüsselung (HTTPS) als Stand der Technik eingestuft. Aufgrund der relativ einfachen und ohne größeren finanziellen Aufwand möglichen Implementierung ist es den gewerblichen Betreibern von Websites auch zumutbar, eine SSL - Verschlüsselung zu verwenden. Details hier können Sie dem Blog-Beitrag unserer Tochtergesellschaft, der Website-Check GmbH entnehmen.    

Im Visier der Datenschutzbeauftragten

Mittlerweile ist die Problematik der unverschlüsselten Übermittlung von personenbezogenen Daten im Zusammenhang mit Web-Kontaktformularen auch zum Thema der Datenschutzbeauftragten der Bundesländer geworden. So berichtet die F.A.Z. in ihrem Artikel, dass die Landesämter für Datenschutz diesen Fällen nun nachgehen werden. Allen voran das Bayerische Landesamt für Datenschutz, welches derzeit eine Massenprüfung von Websites vorbereitet.

Fazit

Eine Verschlüsselung der Dateneingabe und Datenübermittlung bei Web-Kontaktformularen via SSL - Verschlüsselung entspricht heute dem Stand der Technik und wird von den Datenschutzbeauftragten der Länder in Zukunft kontrolliert. Aufgrund der immer häufigeren Ahndung von datenschutzrechtlichen Verstößen und den im Zusammenhang mit der kommenden Datenschutzgrundverordnung steigenden Bußgeldern, ist den Verwendern von Web-Kontaktformularen dringend zu raten, eine SSL – Verschlüsselung zu implementieren.

Fest steht, dass das Thema Datenschutz in Zukunft weiterhin an Bedeutung gewinnen wird und sich die Unternehmen bei Missachtung der gesetzlichen Vorgaben einer erhöhten Abmahngefahr aussetzen.

Stichprobenartige Prüfaktion der deutschen Datenschutzbehörden

Wie das bayrische Datenschutzzentrum (LDA Bayern) in einer Pressemitteilung gemeldet hat, werden ab Anfang November 2016 in weiten Teilen des Bundesgebietes verstärkt datenschutzrechtliche Kontrollen durch die Datenschutzbehörden durchgeführt. Angeblich sollen davon 500 zufällig selektierte Unternehmen in ganz Deutschland betroffen sein.

Gegenstand der Kontrollen sollen insbesondere Aspekte des Datenschutzes bei grenzüberschreitenden Datentransfers sein, mithin die Frage, ob in den kontrollierten Unternehmen personenbezogene Daten in Länder außerhalb der Europäischen Union übermittelt werden, und ob die Unternehmen die hierfür einzuhaltenden, datenschutzrechtlichen Vorschriften beachten.

Angeblich nehmen die Datenschutzbehörden der Länder Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt an der Aktion teil. Unternehmen in diesen Bundesländern müssen also grundsätzlich mit einer zeitnahen Überprüfung durch die zuständige Behörde rechnen.

Erfahren Sie nachfolgend mehr über die Ziele der Aktion und die geplante Vorgehensweise.

Stichprobenartige Prüfaktion der deutschen Datenschutzbehörden

Wie das bayrische Datenschutzzentrum (LDA Bayern) in einer Pressemitteilung gemeldet hat, werden ab Anfang November 2016 in weiten Teilen des Bundesgebietes verstärkt datenschutzrechtliche Kontrollen durch die Datenschutzbehörden durchgeführt. Angeblich sollen davon 500 zufällig selektierte Unternehmen in ganz Deutschland betroffen sein.

Gegenstand der Kontrollen sollen insbesondere Aspekte des Datenschutzes bei grenzüberschreitenden Datentransfers sein, mithin die Frage, ob in den kontrollierten Unternehmen personenbezogene Daten in Länder außerhalb der Europäischen Union übermittelt werden, und ob die Unternehmen die hierfür einzuhaltenden, datenschutzrechtlichen Vorschriften beachten.

Angeblich nehmen die Datenschutzbehörden der Länder Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt an der Aktion teil. Unternehmen in diesen Bundesländern müssen also grundsätzlich mit einer zeitnahen Überprüfung durch die zuständige Behörde rechnen.

Ziel dieser bundesweit koordinierten Aktion soll es nach Angaben der Datenschutzbehörden sein, deutsche Unternehmen nach dem Ende des Safe-Harbor-Abkommens für die Problematik ins Nicht-EU-Ausland übertragener, personenbezogener Daten zu sensibilisieren und auf eine Einhaltung der gesetzlichen Vorgaben, z.B. die des EU-USA Privacy Shields, zu drängen. (Siehe hierzu auch: Pressemitteilung des LDA Bayern) Denn im Nicht-EU-Ausland ist oftmals nicht ohne Weiteres gewährleistet, dass den europäischen Datenschutzstandards genüge getan wird.

Hierfür wird den Unternehmen ein Fragenkatalog zugesandt über den mehrere Informationen abgefragt werden. Insbesondere erfragen die Behörden ob - und wenn ja - in welche Drittstaaten Daten übermittelt werden, in welchem Kontext dies geschieht, und inwiefern hierbei den Anforderungen an den Datenschutz entsprochen wurde. Der versandte Fragenkatalog ist unter folgendem Link einsehbar.

Was sollten Unternehmen nun mindestens tun?

Auch außerhalb der geplanten Aktion kann jedes Unternehmen Gegenstand einer solchen Untersuchung / Inspektion der jeweils örtlich zuständigen Aufsichtsbehörde werden. Als Unternehmen sollten Sie daher in einem ersten Schritt prüfen, ob bei Ihnen personenbezogene Daten ins Nicht-EU-Ausland übertragen werden. In vielen Fällen werden sich die Unternehmen dieses Umstandes gar nicht bewusst sein. Eine eingehende Überprüfung der unternehmensinternen Prozesse durch den Datenschutzbeauftragten ist daher unumgänglich.

In einem zweiten Schritt sollte sodann die rechtliche Zulässigkeit der Datenübertragung juristisch geklärt werden. Diese hängt insbesondere von folgenden Umständen ab:

Gemäß §§4b Abs.2 BDSG ist eine Übermittlung personenbezogener Daten in Drittländer nur dann erlaubt, wenn keine schutzwürdigen Interessen der Betroffenen entgegenstehen. Zulässig ist eine Datenübertragung daher, wenn bei den empfangenden Stellen im Ausland ein angemessenes Datenschutzniveau sichergestellt ist.

Dies ist beispielweise dann der Fall, wenn die Europäische Kommission nach Art.26 Abs.6 EU-DatSchRL verbindlich festgestellt hat, dass das Datenschutzniveau in einem bestimmen Land als „angemessen“ zu betrachten ist. Unproblematisch ist daher meist die Datenübertragung in die Länder Andorra, Argentinien, Kanada, Schweiz, Färöer Inseln, Guernsey, Israel, Isle of Main, Jersey, Neuseeland und Uruguay, für die die EU-Kommission ebendies festgestellt hat.

Sonderfall: Datenübermittlung in die USA

Einen Sonderfall stellt die Datenübertragung in die USA dar. Nachdem der Europäische Gerichtshof mit seiner Entscheidung vom 6. Oktober 2015 (Aktenzeichen: C-362/14) das sogenannte „Safe Harbor“-Abkommen für ungültig erklärt hat, gelten seit 12. Juli 2016 nach Beschluss der EU-Kommission die Regeln des „EU-US Privacy Shield“. Danach ist eine Übertragung personenbezogener Daten in die USA nur zu solchen amerikanischen Unternehmen zulässig, die sich auf der sogenannten „Privacy Shield List“ haben eintragen lassen.

Ob die jeweiligen Unternehmen dort eingetragen sind, ist über eine eigens hierfür von den amerikanischen Behörden eingerichtete Webseite einzusehen (https://www.privacyshield.gov/list). Dabei ist jedoch zu beachten, dass für die Zulässigkeit der Datenübertragung an das jeweilige amerikanische Unternehmen auch von Bedeutung ist, ob es sich um „Personaldaten“, also Daten der Angestellten des deutschen Unternehmens, oder lediglich um sonstige personenbezogene Daten, wie beispielsweise Kundendaten, handelt. An die Übermittlung von Personaldaten sind nämlich höhere, datenschutzrechtliche Anforderungen zu stellen. Die Übertragung von Personaldaten ist damit nur dann zulässig, wenn dies beim jeweiligen amerikanischen Unternehmen in der „Privacy Shield List“ ausdrücklich mit dem Kürzel „HR“ (kurz für: „Human Resources“) verzeichnet ist.

Werden personenbezogene Daten in sonstige Drittstaaten übertragen, kann ein angemessenes Datenschutzniveau und damit die Zulässigkeit der Übertragung auch durch eine Vielzahl anderer Mechanismen sichergestellt werden, beispielsweise durch EU-Standardvertragsklauseln, Binding Corporate Rules oder durch die konkrete Einwilligung der Betroffenen.

Fazit: Keine Panik!

Aufgrund der Vielfältigkeit der denkbaren Konstellationen sollte in jedem Unternehmen eine umfassende Prüfung des Datentransfers in Drittstaaten vorgenommen werden. Dies gilt insbesondere auch für Unternehmen, die von den aktuellen Maßnahmen der Datenschutzbehörden nicht konkret betroffen sind. Denn auch hier ist damit zu rechnen, dass die Behörden in Zukunft die Einhaltung der gesetzlichen Vorgaben aktiver überprüfen werden. Fallen bei der Überprüfung durch die Behörden Verstöße auf, steht es in deren Ermessen, nach §43 Abs.2 BDSG Ordnungsgelder von bis zu dreihunderttausend Euro festzusetzen. Mit Einführung der Datenschutzgrundverordnung ab dem Jahr 2018 werden sich diese Bußgelder noch erhöhen.

Die finanziellen Risiken für Unternehmen sind daher nicht zu vernachlässigen.

Wir raten daher dringend dazu, sich mit der Thematik der grenzüberschreitenden Datentransfers frühzeitig auseinanderzusetzen und bei Handlungsbedarf geeignete Maßnahmen zu treffen.

Falls Sie eine Anfrage einer Datenschutzbehörde der Länder Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt erhalten haben, melden Sie sich einfach bei uns!

Wir vertreten Unternehmen aus dem gesamten Bundesgebiet und aus Luxemburg in datenschutzrechtlichen Fragen und können Ihnen gerne helfen, Ihre IT-gestützten Prozesse datenschutzkonform auszugestalten. Nutzen Sie hierfür einfach unser Kontakformular oder rufen Sie uns unter 0681 94005430 an.

Der Betreiber einer Website mit einem Kontaktformular muss den Nutzer auf die Speicherung von personenbezogenen Daten hinweisen. Dies hat das OLG Köln nun mit Urteil vom 11.03.2016 (Az.: 6 U 121/15). Eigentlich ist diese Entscheidung wenig überraschend, denn die Rechtslage ist schon seit Jahren klar.

Daher verwundert es, dass dieser Rechtsstreit überhaupt vor Gericht landete und auch noch in die Berufung ging. Das Gericht stellt auch klar, dass die Aufklärung auch erfolgen muss, wenn sich aus dem Kontaktformular auf der Website selbst ergibt, welche Daten zu welchem Zweck gespeichert werden.

Stellt der Seitenbetreiber keine ausweichende Datenschutzerkärung bereit, so handelt er wettbewerbswidrig und kann abgemahnt werden. Die Datenschutzerklärung muss den Nutzer darüber aufklären, dass die Daten gelöscht und gesperrt werden können. Begründet wird dies damit, dass die datenschutzrechtlichen Vorschriften des Telemediengesetzes verbraucherschützend seien und zugleich wettbewerbsbezogene Marktverhaltensregeln darstellen.

Übrigens! Wenn Sie einen Website-Check über unsere Tochtergesellschaft, die Website-Check GmbH gebucht haben, oder uns in der Vergangenheit selbst mit der Erstellung Ihrer Datenschutzerklärung beauftragt haben, haben Sie kein Problem. Wir berücksichtigen die Formulare auf den Websites, die wir prüfen bereits seit Jahren in der Datenschutzerklärung.

Den Volltext der Entscheidung finden Sie - hier - !

Tätigkeit als externer Datenschutzbeauftragter

Wenn Sie einen externen Datenschutzbauftragten benötigen, sind Sie bei DURY an der richtigen Stelle. Unser Partnerunternehmen DURY CONSULT  verfolgen als externe Datenschutzebauftragte den Ansatz der Integration eines strukturierten Datenschutzmanagementsystems, d.h. die Berater von DURY CONSULT sichern Ihr Unternehmen im Rahmens eines strukturierten Vorgehensmodells ab.

In einem einstweiligen Verfügungsverfahren hat das Landgericht Hamburg nun mit Entscheidung vom 10.03.2016 (Az. 312 0 127/16) entschieden, dass der Einsatz von Google-Analytics rechtswidrig ist und von Wettbewerbern abgemahnt werden kann, wenn der Internetseiten- bzw. Online-Shop-Betreiber die Nutzer nicht zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten unterrichtet.

Lesen Sie nachfolgend, welche Details der Entscheidung bereits bekannt sind:

LG Hamburg: Einsatz von Google Analytics ohne entsprechenden Datenschutzhinweis in der Datenschutzerklärung ist abmahnfähig

Der Entscheidung lag folgender Sachverhalt zu Grunde.

Auf der Internetseite des Antragsgegners, d.h. des Internetseitenbetreibers, fand sich entgegen § 13ff TMG überhaupt keine Datenschutzerklärung, d.h. der Antragsgegner stellte den Besuchern seiner Internetseite überhaupt keine Informationen darüber zur Verfügung, an welche Stelle er personenbeziehbare Daten - mit oder ohne ausreichenden Erlaubnistatbestand - weitergab. Entsprechend fanden sich auch keine Informationen zum Einsatz von Google Analytics.

Der Antragsteller mahnte den Internetseitenbetreiber daraufhin ab und beantragte - nachdem dieser auf die Abmahnung nicht mit einer ausreichend strafbewehrten Unterlassungserklärung reagierte - den Erlass einer einstweiligen Verfügung.Mit ein

stweiliger Verfügung vom 10.03.2016 entschied das Landgericht Hamburg, dass der Internetseitenbetreiber es zu unterlassen habe

auf dem Internet-Angebot den Internet-Analysedienst Google Analyticseinzusetzen, ohne die Besucher des Internet-Angebots zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten

Wie bei entsprechenden Unterlassungsentscheidungen üblich drohte das Gericht dem Internetseitenbetreiber, der Google-Analytics rechtswidrig eingesetzt hatte, für jeden Fall der Zuwiderhandlung gegen die einstweilige Verfügungs ein Ordnungsgeld bis zu 250.000 Euro und ersatzweise Ordnungshaft bis zu 6 Monaten an.

Den Streitwert setzte das Gericht auf 20.000 € fest.

Entscheidung des Gerichts

Das Landgericht Hamburg hat, in Übereinstimmung mit der Ansicht des Düsseldorfer Kreises der Landesdatenschutzbeauftragten zum rechtskonformen Einsatz von Google Analytics (vgl. hier), dass die Nutzung von Google Analytics auf einer Internetseite oder in einem Online-Shop rechtswidrig ist, wenn die Informationspflicht des § 13 Abs. 1 S. 1 TMG nicht eingehalten wird. Ob in dem konkreten Fall auch die 3 weiteren Voraussetzungen nicht erfüllt waren, die der Düsseldorfer Kreis für einen rechtskonfomen Einsatz von Google-Analytics aufgestellt hat, ist nicht bekannt.

Gem. § 13 Abs. 5 TMG hat jedenfalls jeder Betreiber einer Internetseite bzw. eines Onlineshops die Besucher der Website über die Art, Umfang und Zwecke der Erhebung und Verwendung von personenbezogenen bzw. personenbeziehbaren Daten zu unterrichten. Zwischen den Instanzgerichten ist bislang aber umstritten  ob §13 Abs. 1 S.1 TMG eine Marktverhaltensregelung nach §3a UWG darstellt und damit Rechtsgrundlage für den Ausspruch von wettbewerbsrechtlichen Abmahnungen sein kann.

Das Landgericht Frankfurt am Main hat dies z.B. noch im Jahr 2014 verneint und eine entsprechende Klage unserer Kanzlei in einem vergleichbaren Fall zurückgewiesen.

Der Bundesgerichtshof hat sich bislang noch nicht zu der Frage geäußert.

Es zeichnet sich aber in letzter Zeit die Tendenz ab, dass § 13 Abs. 5 TMG als marktregelnde Norm eingestuft wird und ein Verstoß daher als Grund für eine wettbewerbsrechtliche Abmahnung sein kann.

Was sollte man beachten, um Abmahnungen wegene des Einsatzes von Google-Analytics zu verhindern?

Zunächst einmal sollte man den auf dem Blog unserer Tochtergesellschaft, der Website-Check GmbH, veröffentlichten Artikel bzgl. des rechtskonformen Einsatzes von Google-Analytics lesen, verstehen und die dort geschilderten Maßnahmen ergreifen bzw. umsetzen.

Laut den Vorstellungen der gemeinsamen Konferenz der Landesdatenschutzbeauftragten und der Bundesdatenschutzbeauftragten sind folgende 4 Anforderungen zu erfüllen:

1. Google-Analytics Operator 'anonymizeIp' ins Skript einbinden, um das letzte Oktett der IP-Adresse zu anonymisieren;

2. Google-Analytics-Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG mit Google abschließen;

3. Datenschutzerklärung gem. § 13 Abs. 5 TMG bzgl. des Einsatzes von Google-Analytics anpassen und insbesondere auch über das Widerrufsrecht aufklären;

4. Altdaten in Google-Analytics löschen, die rechtswidrig erhoben wurden;

Eine detaillierte Anleitung zum datenschutzkonformen Einsatz von Google Analytics auf Ihrer Internetseite bzw. Ihres Online-Shops finden Sie in dem bereits angesprochenen Blog-Beitrag auf dem Online-Recht-Blog unserer Tochtergesellschaft, der Website-Check GmbH.

Das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts, teilweise auch als Verbandsklagegesetz bei Datenschutzverstößen tritt ab dem 24.02.2016 in Kraft. Das erst am 17.02.2016 verabschiedete Gesetz wurde heute, am 23.02.2016, im Bundesgesetzblatt veröffentlicht. Durch das neue Verbandsklagegesetz bei Datenschutzverstößen werden u.a. die Abmahnbefugnisse von Verbraucherschutzverbänden auf datenschutzrechtliche Verstöße erweitert.

Dies betrifft insbesondere Fälle, bei denen die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden. Wir werden berichten, sobald die ersten datenschutzrechtlich motivierten Abmahnungen von entsprechend abmahnberechtigten Verbänden bei uns auf dem Schreibtisch "aufschlagen". Es steht zu vermuten, dass zunächst die Datenschutzerklärungen von Websites und Online-Shops ins Visier der Abmahnvereine geraten werden, da sich diese leicht per Mausklick recherchieren lassen. Falls Sie Ihre Internetseite bzw. Ihren Online-Shop diesbzgl. rechtlich absichern möchten bieten wir fertige Lösungen über unsere Tochtergesellschaft, die Website-Check GmbH, an.

Kopieren bzw. Scannen von Personalausweisen

Viele Unternehmen kopieren die Personalausweise ihrer Kunden oder scannen und speichern diese elektronisch. Daran, ob diese Praxis legal oder illegal ist, verschwenden die meisten keinen Gedanken.

Nach dem eindeutigen Gesetzeswortlaut, der Gesetzbegründung des Personalausweisgesetz (PAuswG) und der aktuellen datenschutzrechtlichen Rechtsprechung ist dies jedoch rechtswidrig. Nicht einmal eine Einwilligung der betroffenen Person hilft über diese Hürde hinweg: Der Personalausweis ist ein amtliches Dokument und erfüllt eine hoheitliche Funktion.

Deswegen hat der Inhaber auch keine Verfügungsberechtigung über seinen Personalausweis und damit auch keine Möglichkeit, eine wirksame Einwilligung zum Scannen bzw. Kopieren des Personalausweises zu erteilen. Er darf ihn nur zum gesetzlichen festgelegten Zweck benutzen, nämlich um sich auszuweisen. Selbst wenn der Kunde mit dem Scannen bzw. Kopieren des Personalausweises einverstanden ist, dürfen weder Scans noch Kopien gefertigt werden.

Lesen Sie nachfolgend, in welchen Ausnahmefällen das Scannen von Personalausweisen bzw. das Kopieren von Personalausweisen doch ausnahmsweise erlaubt ist.

Die USA und die EU-Kommission haben sich auf ein Nachfolgabkommen des vom Europäischen Gerichtshof (EuGH) für unwirksam erklärte Safe-Harbor-Abkommens geeinigt. Das neue Abkommen soll den Namen "EU-US Privacy Shield" erhalten.

Angeblich sehen die neuen Regelungen zwischen der EU vor, dass das US-Handelsministerium die Unternehmen kontrollieren soll, die Daten aus Europa in den USA verarbeiten. Die Gespräche seien damit abgeschlossen, teilten EU-Kommissarin Věra Jourová und EU-Kommissar Andrus Ansip mit.

Lesen Sie nachfolgend, welche Inhalte des neuen EU-US Privacy Shield-Abkommens bereits bekannt geworden sind.

Die Gespräche zum Datenaustausch mit USA laufen trotz Ablauf der Umsetzungsfrist weiter. Die Verhandlungen über eine neue Vereinbarung zum Datenaustausch mit den USA laufen bereits seitdem der EuGH im vergangenen Herbst das Safe-Harbor Abkommen mit den USA für null und nichtig erklärt hat. Dass die Gespräche aber trotz Ablauf der Frist am 31.01.2016 weiterlaufen bestätigte ein Sprecher der EU-Kommission am 01.02.2016 in Brüssel.

Die Frist zum 31.01.2016 hatten die nationalen Datenschutzbehörden der EU-Staaten, die sog. Artikel 29 Gruppe, der EU-Kommision gesetzt.

De facto ist damit seit heute jeder Austausch von personenenbezogenen Daten zwischen verantwortlichen Stellen in der EU und Auftragsdatenverarbeitern in den USA illegal. Ob die Landesdatenschutzbeauftragten als Aufsichtsbehörden nun ernst machen, oder ihre Ankündigungen im vergangenen Herbst, es würden ab dem 01.02.2016 Bußgelder verhängt nur hohle Drohungen waren, bleibt abzuwarten.

Es bleibt spannend! Wir werden berichten!

Erfahren Sie in unseren Blog-Beiträgen über das Safe-Harbor Urteil des EuGH mehr über die datenschutzrechtlichen Hintergründe des Themas!

[UPDATE 03.02.2016: - Mit einem Tag Verspätung hat die EU-Kommission nun doch noch ein Nachfolgeabkommen mit den USA, das sog. EU-USA Privacy Shield-Abkommen "aus dem Hut gezaubert". Es bleibt abzuwarten, ob die EU-Staaten diesem Abkommen zustimmen werden und ob nicht auch dieses Abkommen letztlich von dem EuGH kassiert werden wird. Lesen Sie hier mehr.