Sehr geehrter Herr Drescher,

es hält sich hartnäckig das Gerücht, dass viele unserer Leserinnen und Leser den Roten Faden am Ende zu lesen beginnen. Beim HK2 #Mix. Das kann ich natürlich verstehen, aber heute bitte mal der Reihe nach. Spannungsbogen und so; Sie wissen schon.

Wir beginnen mit der Überwachung der Rechner von Arbeitnehmern durch ihre Arbeitgeber und was das Bundesarbeitsgericht dazu sagt (Notiz an mich selbst: Permanent record weiterlesen!). Dann lesen Sie, was IT-Verträge mit Reinigungsverträgen gemein haben. Und wie es um die Haftung für schlechte IT-Sicherheit bestellt ist. Eine rechtliche Großbaustelle der Zukunft.

Wenn Sie unser Dunkelrot verdaut, die Comtection-Kolumne durchgearbeitet und die News triagiert haben, dürfen Sie endlich auch unseren „social“ #Mix durchstöbern. Apropos social: Kennen Sie schon WT Social alias WikiTribune? Das neue „soziale Netzwerk“ möchte nicht weniger als die Social-media-Landschaft aufräumen. Als Wiki-basierte _Nachrichten_Plattform. Mmh. Ziel ist die Bekämpfung von Fake News. Gut! Das soll dadurch geschehen, dass die Nutzer ihre Texte gegenseitig ändern, also korrigieren können. Okay… bin ich der Einzige, dem da Zweifel kommen?

Viel Spaß bei der Lektüre!

Regeln für die Überwachung von Arbeitnehmern

Datenschutz spielt in Arbeitsverhältnissen zunehmend eine größere Rolle. Das BAG musste sich mit der Frage auseinandersetzen, unter welchen Voraussetzungen ein Arbeitgeber heimlich Daten von Arbeitnehmern auf PCs überwachen darf. Hier hat der Arbeitgeber nun die Wahl:

Klärt er den Arbeitnehmer im Vorfeld über seine Überwachungsmaßnahmen auf und räumt er ihm die Möglichkeit ein, Informationen in als „privat“ gekennzeichneten Dateiordnern von einer Einsichtnahme ohne Anlass auszuschließen, kann er mit den übrigen Daten weitgehend machen, was er will. Denn Arbeitnehmer müssen mit einem jederzeitigen Zugriff auf dienstliche Daten rechnen.
Heimliche Überwachungen bleiben dagegen den seltenen Fällen vorbehalten, in denen Anhaltspunkte für eine schwere Straftat oder eine grobe Pflichtverletzung vorliegen und nicht ins Blaue hinein erfolgen dürfen.

Bei außerordentlicher Kündigung kann der Schaden 3 Jahre verlangt werdenEin Reinigungsvertrag, das physische Pendant zum IT-Wartungsvertrag, war u. a. wegen diversen Mängeln aus wichtigem Grund gekündigt worden. Das Land Berlin verlangte die Mehrkosten des Nachunternehmers als Schadensersatz und ließ sich mehr als 2 Jahre Zeit mit der Klage. Kein Problem, meint der BGH.

Zwar handele es sich um einen Werkvertrag und Mängel, für die eine kürzere Verjährung gilt, seien mit Grund für die Kündigung der Klägerin gewesen. Bei einer Kündigung aus wichtigem Grund ginge es aber um mehr, nämlich um die Unzumutbarkeit der Vertragsfortführung, die sich aus dem Zusammenspiel mangelbezogener und nicht mangelbezogener Kündigungsgründe ergeben könne. Deshalb könne der Auftraggeber die Mehrkosten auch noch 3 Jahre ab Kenntnis des Anspruchs verlangen.

Beim Werkvertrag kann man seit kurzem auch ganz offiziell außerordentlich kündigen (§ 648a BGB). Soweit vorhanden, sollte man nicht nur die Mängel als Grund für die Kündigung nennen – dann besteht mehr Zeit zur Klage.

Wer haftet gegenüber dem Anwender für IT-Sicherheit?

Nicht zuletzt durch die bußgeldbewehrten Anforderungen der DSGVO an die IT-Sicherheit stellt sich zunehmend die Frage, wer für schlechte IT-Sicherheit haftet. Konkret: Haftet ein Verkäufer, der nicht Hersteller ist, gegenüber dem Käufer, der nicht Wiederverkäufer ist? Und bejahendenfalls, inwieweit? Ist über Sicherheitslücken wenigstens zu informieren, oder sind sie auch zu schließen? Wann ist Schadenersatz zu leisten? Diese Fragen sind rechtlich komplex und wirtschaftlich hoch brisant – weswegen der Gesetzgeber leicht propofoliert wirkt.

Immerhin stellte das OLG Köln jüngst fest, dass die Information über Sicherheitslücken eines Smartphone-Betriebssystems zum Zeitpunkt des Gerätekaufs für einen Verbraucher von großer Bedeutung, aber nicht wesentlich sei. Aha. Schließlich gäbe es immer Lücken und dem Verkäufer sei etwas anderes auch nicht zumutbar. Man stelle sich diese Begründung einmal bei Produkten vor, die nicht Security, sondern Safety betreffen! Und dann: Gleiches gelte auch für den Umstand, dass es keine Sicherheits-Updates seitens des Herstellers mehr geben werde. Differenzierung verpasst – Revision nicht zugelassen.

Gefängnis ja – Newsletter nein

Jugendliche sind unbegreiflich. Sie regen sich auf, wenn ihre Welt zerstört wird und wollen trotzdem die Welt sehen! Das ist wohl der Grund, weshalb das Alter zur Einwilligung nach der DSGVO so schwer zu bestimmen war, dass dies den Mitgliedstaaten überlassen bleiben musste. Der europäische einheitliche Datenschutzraum gilt also gerade nicht für die digital Natives. In Deutschland ist ein Jugendlicher erst ab 16 in der Lage zu umreißen, was tiktok ist. Das spart auch die Kosten für eine entsprechende Bildung der Medienkompetenz. Ob über 30-Jährige das verstehen, lässt der Gesetzgeber wohlweislich ungeregelt.

Entwurf für einen Code of Conduct zum Einsatz DS-GVO Konformer Pseudonymisierung

Neulich wurde im Rahmen des Digital-Gipfel 2019 (vormals Nationaler IT-Gipfel) der Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung vorgestellt, den Vertreter aus Forschung, Wirtschaft und Gesellschaft (Fokusgruppe Datenschutz des Bundesinnenministeriums) erarbeitet haben. Mit dem Code of Conduct sollen Verhaltensregeln im Sinne von Art. 40 Abs. 2 lit. d) DS-GVO für eine datenschutzkonforme Pseudonymisierung beschrieben werden. Der Code of Conduct enthält hauptsächlich Prozessuale Vorgaben zum Einsatz und Betrieb einer Pseudonymisierung sowie Anwendungsbeispiele. Für die Finalisierung des Code of Conduct bedarf es noch der Genehmigung einer Aufsichtsbehörde sowie der Festlegung von Prozessen zur Kontrolle der Einhaltung des Codes. Die bereits formulierten Anwendungsbeispiele sollen zudem um sektorspezifische Good Practices erweitert werden. 

 

SDM 2.0: Die DSGVOals Nacherzählung

In einem früheren Leben war ich mal Lehrer, ungelogen. Eine Aufsatzform im Deutschunterricht der Orientierungsstufe war damals die Nacherzählung. Daran erinnerte mich nun eine der letzten Veröffentlichungen der Datenschutzkonferenz: das Standard-Datenschutzmodell 2.0 (SDM). Die ersten zwei Drittel sind eigentlich eine in Prosa gefasste Wiedergabe der DSGVO. Was sich jetzt vielleicht nach Hohn und Spott anhört, ist tatsächlich keiner. Denn das Wirrwarr der DSGVO, gesetzgebungshandwerklich höchstens auf mäßigem Niveau, wird mit dem SDM 2.0 konsolidiert und durch die 7 Gewährleistungsziele mit einem (Obacht!) roten Faden versehen. Mindestens Datenschutz-Anfänger finden mit dem SDM einen einigermaßen nachvollziehbaren Einstieg in die Umsetzung der DSGVO. Für Profis hält das SDM nicht viel Neues vor, in Teil D aber immerhin Anregungen für eine modernere Strukturierung der TOM.

Facebook muss betrügerische Facebook Werbung für Bitcoin mit Namen und Bild von John de Mol, einem führenden europäischen Medienunternehmer, auf seiner Plattform verhindern. Facebook soll auch das zukünftige erscheinen solcher Anzeigen verhindern und kann sich nicht auf die “Safe Harbour” Regelung der E-Commerce Richtline berufen, entschied das niederländische Gericht. (SIS)

Entspricht ein Presseartikel fast wörtlich der Pressemitteilung eines Unternehmens, handelt es sich nicht um einen redaktionellen Beitrag, sondern um wettbewerbswidrige Schleichwerbung so das OLG Frankfurt a.M. Für den Verbraucher wird bei einem Presseartikel nicht ersichtlich, dass in Wahrheit Werbeinteressen des Unternehmens verfolgt werden. (SIS)

Die Sperrung eines Twitter Accounts wegen einer scherzhaften Äußerung ist unzulässig. Damit bestätigt das LG Dresden seinen Beschluss vom 21. Juni 2019. Betreiber einer Plattform dürfen ihr “virtuelles Hausrecht” nicht schrankenlos ausüben, sondern sind mittelbar an die Grundrechte (hier: Meinungsfreiheit) gebunden. (SIS)

Elektronischen Daten fehlt es an einer Sacheigenschaft im Sinne von § 90 BGB, hat das OLG Brandenburg entschieden. Auch eine analoge Anwendung der Vorschriften zum Besitzschutz kommt nicht in Betracht, da Sachen und Daten nicht vergleichbar sind. Daten können u. a. mangels Körperlichkeit nicht abgenutzt werden oder altern und können ohne besonderen finanziellen Aufwand beliebig häufig kopiert werden. (SIS)

In der Juli Ausgabe unseres Newsletters haben wir über die beschlossene Änderung von § 38 Bundesdatenschutzgesetz (BDSG) und die damit verbundene Anhebung des Schwellenwertes zur Benennung von Datenschutzbeauftragten von 10 auf 20 dauerhaft datenverarbeitende Personen berichtet. Das BDSG und über 100 weitere Bundesgesetze wurden mit dem seit langem erwarteten Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) an die Vorgaben der EU-Datenschutzgrundverordnung 2016/679 angepasst sowie die Vorgaben der EU-Richtlinie 2016/680 in deutsches Bundesrecht umgesetzt. Das Gesetz wurde am 25.11.2019 im Bundesgesetzblatt verkündet und trat in weiten Teilen am 26.11.2019 in Kraft. (JOS)

Urheberrechtshinweise Bilder

Red Flags:
Bild 1 – © Menschen  – pexels.com – Bilder wurden bearbeitet*
Bild 2 – © Verträge- pexels.com – Bild wurde bearbeitet*
Bild 3 – © Smartphone – pexels.com – Bild wurde bearbeitet*

Vorträge – © VTT Alex Kalmbach/Adobestock.com