Ihre Browserversion ist veraltet. Wir empfehlen, Ihren Browser auf die neueste Version zu aktualisieren.

Die Beiträge dürfen kostenfrei übernommen werden. Auf die Autorenschaft von Dr. Tim Oehler ist hinzuweisen. Über die Übersendung eines Belegexemplars freut sich der Autor.

Die Beiträge können als Email-Newsletter bestellt werden.

Ungenügende Auskunft an Krankenversicherten: Gericht erteilt kräftigen Hinweis auf drohende Geldbuße

Veröffentlicht am 29.08.2018

In Art. 15 DSGVO ist ein umfassender Auskunftsanspruch vorgesehen. Unvollständige oder nicht erteilte Auskünfte können nach Art. 83 Abs. 5 b) DSGVO mit Geldbußen in Höhen von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes sanktioniert werden. Zu einem kräftigen Hinweis auf diese Sanktion sah sich das LG Landau veranlasst.

 

Krankenversicherungsvertrag

Zwischen einem Versicherten und einer Versicherung bestand ein Krankenversicherungsvertrag. Aus diesem heraus machte der Versicherte seinen Auskunftsanspruch geltend. Dem folgenden Hinweisbeschluss ist zu entnehmen, dass die Versicherung diesem Auskunftsanspruch nicht gerecht wurde:

1. Das Gericht sieht sich unter Berücksichtigung des Schriftsatzes des Klägers vom 01.06.2018 sowie aufgrund der seit dem 25.05.2018 gültigen Datenschutzgrundverordnung (DS-GVO) zu folgendem Hinweis an die beklagte Versicherung veranlasst:

Gemäß Art. 15 Abs. 1 DS-DVO besteht ein umfassendes Recht eines Betroffenen, Auskunft darüber zu verlangen, ob und gegebenenfalls welche personenbezogenen Daten über ihn verarbeitet werden. Unterlassene oder nicht vollständige Auskunftserteilungen sind nach Art. 83 Abs. 5 lit. b DS-GVO mit einer hohen Geldbuße von bis zu 20.000.000,00. € oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bedroht. Das Gericht legt der Beklagten vor diesem Hintergrund nahe, den Klageantrag zu Ziffer 5 anzuerkennen.“

 

Rechtszeitige Vorbereitung

Es gehört wenig Phantasie dazu, dass diese Hinweise reihenweise demnächst erteilt werden, wenn Patienten demnächst ihren Auskunftsanspruch gegenüber Ärzten oder Kliniken geltend machen. Der Auskunftsanspruch besteht aber auch gegenüber anderen Unternehmen ist nicht auf den Gesundheitsbereich beschränkt.

Dringend ist daher zu raten, sich mit der Organisation des Auskunftsanspruchs zu befassen.

 

Dr. Tim Oehler, Rechtsanwalt in Rulle/Wallenhorst bei Osnabrück

 

Schlagworte: Art. 15 DSGVO; Auskunftsanspruch; Krankenversicherungsvertrag; Geldbuße

Ganzen Eintrag lesen »

Wenn die Video-Aufzeichnung zum Beweismittel wird

Veröffentlicht am 29.08.2018

Drohnen, Smartphones oder der Dashcams (Videokamera im Pkw) können mit ihren Videoaufzeichnungen wichtige Beweise liefern. Nicht alles, was technisch möglich ist, ist datenschutzrechtlich erlaubt. Welche Art von datenschutzrechtlichen Anforderungen an eine der Dashcam-Aufzeichnung zu stellen sind und wie sich Verstöße gegen Datenschutzbestimmungen auf den Nutzen als Beweismittel auswirken, urteilte der BGH aus (BGH, Urteil vom 15.5.2018 – VI ZR 233/17).

 

Ausnutzen technischer Möglichkeiten

Der BGH musste sich mit einem Verkehrsunfall befassen, hinsichtlich dessen eine der Dahscam-Aufzeichnung (Aufzeichnung einer im Pkw installierten Videokamera) vorlag.

In datenschutzrechtlicher Hinsicht wies das oberste Zivilgericht darauf hin, dass für die Zulässigkeit der Datenspeicherung es eine Rolle spielen würde, ob dem Grundsatz Datenschutz durch Technikgestaltung (neu: Art. 25 DSGVO (privacy by design) Rechnung getragen worden wäre. Je kurzfristiger Daten gespeichert würden, für deren Speicherung zunächst einmal kein Anlass bestehen würde, desto weniger eingriffsintensiv wäre die Aufzeichnung. Für die „Erforderlichkeit der Datenerhebung“ bedeutet dies, dass diese technischen Möglichkeiten, die Persönlichkeitsrechte Dritter schützen, auszuschöpfen sind. Würde dies nicht gestehen, geht dies zulasten der aufzeichnenden Person.

 

 Beweismittel trotz Datenschutzverstoß - Ja oder Nein?

Allein aus diesem datenschutzrechtlichen Verstoß leitet der BGH jedoch kein Beweisverwertungsverbot ab. In anderer Richtung führt das Aufklärungsinteresse nicht schon zur Verwertbarkeit:

"Allein das allgemeine Interesse an einer funktionstüchtigen Rechtspflege und das Interesse, sich ein Beweismittel für zivilrechtliche Ansprüche zu sichern, reichen nicht, um im Rahmen der Abwägung von einem höheren Gewicht ausgehen zu können, als es dem Recht am gesprochenen Wort zukommt. Denn ihrem Schutz ist vor allem durch die Regelungen des Datenschutzrechts selbst Rechnung zu tragen, die - wie dargelegt - gerade nicht auf ein Beweisverwertungsverbot abzielen."

 Gefahr der Profilbildung

Der BGH erkennt an, dass eine Verwertbarkeit solcher Aufzeichnungen in einem Zivilverfahren, einen "falschen" Anreiz setzen könnte und in der Folge der Bildung von Persönlichkeitsprofilen Vorschub geleistet werden könnte. Das zivilrechtliche Beweisrecht ist jedoch nicht dafür zuständig, dem entgegenzutreten.

„Zwar besteht durch permanent und anlasslos aufzeichnende Videokameras in zahlreichen Privatfahrzeugen für das informationelle Selbstbestimmungsrecht der übrigen Verkehrsteilnehmer ein Gefährdungspotential, da durch die bestehenden Möglichkeiten von Gesichtserkennungssoftware, Weiterleitung und Zusammenführung der Daten zahlreicher Aufzeichnungsgeräte nicht auszuschließen ist, dass letztlich Bewegungsprofile individueller Personen erstellt werden könnten. So kann eine Vielzahl von Informationen über bestimmte identifizierbare Betroffene gewonnen werden, die sich im Extremfall zu Profilen des Verhaltens der betroffenen Personen in dem überwachten Raum verdichten lassen.“

Im Ergebnis durfte die Video-Aufzeichnung verwertet werden.

 

Die Konsequenzen

Ein datenschutzrechtliches Verbot führt nicht automatisch zu einem Beweisverwertungsverbot. Hervorzuheben ist, dass die Zulässigkeit als zivilprozessuales Beweismittel nicht die datenschutzrechtliche Zulässigkeit bedeutet. Das Urteil gibt generell Hinweise zum Grundsatz „privacy by design“, damit Videoaufzeichnungen nach der DS-GVO datenschutzkonform sind.

 Schlagworte: Dash-Cam; Videoaufzeichnung; Art. 25 DSGVO (privacy by design); Beweisverwertung; DS-GVO

Ganzen Eintrag lesen »

Marketing mit Facebook "Custom Audiences" bei Kundenlisten: Gericht bestätigt Probleme

Veröffentlicht am 28.08.2018

1. Einführung - Was ist das?

Facebook bietet Werbeinstrumente an, mittels derer die üblichen Streuverluste bei der gezielten Ansprache von Kunden vermieden werden sollen. Zu einem solchen Marketing-Instrument gehört „Custom Audiences“. Vereinfacht ausgedrückt lädt der Werbetreibende seine Kundenliste bei Facebook hoch und lässt einen Abgleich mit den bei Facebook vorhandenen Nutzerdaten vornehmen. Eine von dem Unternehmen erstellte Werbeanzeige wird dann an die Kunden ausgeliefert, hinsichtlich derer eine Übereinstimmung zwischen der Kundenliste und der Facebook-Nutzung besteht. Über die Zulässigkeit dieses Verfahrens musste das VG Bayreuth, Beschluss vom 8.5.2018 – B 1 S 18.105 entscheiden.

 

2.   Die Entscheidung des Gerichts

Das Verwaltungsgericht hat zunächst einmal betont, dass das Abgleichverfahren nicht anonymisiert ablaufen würde, sodass das Datenschutzrecht zur Anwendung kommen würde.

Zum Verhältnis zwischen Facebook und dem Werbetreibenden führt die Kammer des Verwaltungsgerichts weiterhin aus, dass nicht von einer bloßen Auftragsverarbeitung auszugehen wäre. Allerdings hat sich das Gericht nicht mit der Frage befasst, ob der Werbetreibende und Facebook „gemeinsam verantwortlich“ (jetzt Art. 26 DSGVO) wären.

Bei einer Auftragsverarbeitung durch Facebook hätte es z.B. nicht einer Einwilligung als Rechtsgrundlage für dieses Marketing-Verfahren bedurft.

Da dies nicht der Fall war und deswegen eine Datenübermittlung (z.B. Email-Adresse der Kunden) von dem Unternehmen an Facebook vorlag, bedurfte es einer rechtlichen Grundlage.

 

3.   Die Konsequenzen

Es handelt sich um einen datenschutzrechtlich relevanten Vorgang, für den u.a. die gemeinsame Verantwortlichkeit mit Facebook zu regeln ist.

Ganzen Eintrag lesen »

Haftung für Facebook-Fanpage

Veröffentlicht am 28.08.2018


Unternehmen, aber auch Ärzte und Kliniken nutzen die Facebook-Fanpage als Marketinginstrument. Sie informieren über die beliebte Plattform ihre Kunden oder Patienten– auch im Sinne eines positiven Images. Wer allerdings für den Datenschutz auf der Facebook-Fanpage verantwortlich ist, war bisher unklar. Im bisherigen Instanzenzug vom Verwaltungsgericht über das Oberverwaltungsgericht bis hin zum Bundesverwaltungsgericht wurde jeweils die Verantwortlichkeit bei Facebook gesehen.

Die zuständige Aufsichtsbehörde hat den Fall vor den EuGH (Urteil vom 5.6.2018) gezogen. Dieser hat ein aufschreckendes Urteil dazu gefällt, wer für die Datenschutzverletzung der Facebook-Fanpage haftet.

 

Facebook-Fanpage

Unternehmen oder Privatpersonen können sich bei Facebook eine Fanpage als Benutzerkonto einrichten, darüber Beiträge einstellen und mit ihren Fans kommunizieren. Facebook platziert auf dem Computer oder anderen Geräten (z.B. Smartphone) von Besuchern einer Fanpage Cookies. Anhand der über die Cookies aufgenommenen Informationen werden Statistiken erstellt, die auch – in anonymisierter Form – den Betreibern der Fanpage zur Verfügung gestellt werden. Diese erhalten somit Kenntnis von Profilen der Besucher ihrer Fanpage, die sie analysieren und so ihre „Sympathie“ für die Fanpage und die Praxis, Klinik oder Krankenkasse optimieren können.

 

Kein datenschutzrechtlicher Freibrief für Fanpage-Betreiber

Der EuGH hat zunächst hervorgehoben, dass die bloße Nutzung eines sozialen Netzwerks wie Facebook den Facebook-Nutzer alleine noch nicht mitverantwortlich macht. Allerdings würde hier die Besonderheit bestehen, dass der Facebook-Fanpage-Betreiber die Personenkategorien und Kriterien festlegen kann, nach denen Facebook eben die Statistiken auf der Grundlage der erhobenen Informationen über die Besucher der Fanpage mittels der Cookies erstellt. Weil diese Statistiken dem Betreiber der Fanpage anonymisiert zur Verfügung gestellt würden und er so sein Informationsangebot ausrichten könnte, würde ihn eine gemeinsame Verantwortlichkeit mit Facebook treffen.

 

Gemeinschaftliche, aber nicht zwangsläufig gleichwertige Verantwortlichkeit

Das Gericht hebt zur gemeinsamen Verantwortlichkeit hervor, dass den Fanpage-Betreiber eine höhere Verantwortlichkeit treffen würde. Denn alleine schon das Aufrufen der Fanpage würde die Datenverarbeitung auslösen. Allerdings folgt dann eine wichtige Klarstellung: Das Bestehen einer gemeinsamen Verantwortlichkeit hat nicht zwangsläufig eine gleichwertige Verantwortlichkeit zur Folge. Diese ist vielmehr einer Beurteilung im Einzelfall vorbehalten.

 

Auch wichtig für andere soziale Medien

Weil Facebook nicht allein für den Datenschutz verantwortlich ist, müssen die Fanpage-Betreiber prüfen, ob sie ihre datenschutzrechtlichen Pflichten erfüllt haben. Dies wird nicht weniger für das Marketing auf anderen Plattformen sozialer Medien gelten.

 

Dr. Oehler, Rechtsanwalt

Ganzen Eintrag lesen »