Archiv des Autors: Nils Michael Becker

Informationsabend zur DSGVO am 26. April 2018

Gemeinsam mit Christian Bargon (Christian Bargon Multimediadesign) veranstalte ich am 26. April 2018 ab 19:00 Uhr in meiner Kanzlei einen Informationsabend zur EU-DSGVO für betroffene Unternehmerinnen und Unternehmer.

  • Was kommt mit der DSGVO ab dem 25. Mai 2018 auf Unternehmerinnen und Unternehmer zu?
  • Welche Sofortmaßnahmen lassen sich jetzt noch umsetzen?
  • Welche Risiken drohen bei Nichtumsetzung?
  • Einzelfragen

Die Teilnehmerzahl ist „aus Gründen“ auf acht Personen beschränkt, wer sich interessiert, schickt bitte eine E-Mail an kanzlei@nilsbecker.de. Kosten werden nicht erhoben.

Landgericht Dessau hält Einwilligung in Datenverarbeitung bei Medikamentenverkauf für notwendig

Wenn Kunden in einem Onlineshop Medikamente kaufen, muss dabei von ihnen eine ausdrückliche Einwilligung in die Verarbeitung ihrer personenbezogenen Daten eingeholt werden. Diese Auffassung vertritt das Landgericht Dessau in einer aktuell bekanntgewordenen Entscheidung (Urteil vom 28.03.2018 zu Aktenzeichen 3 O 29/17, Link geht zur Deutsche Apotheker-Zeitung). Es hat einem Anbieter, der diese Einwillung nicht eingeholt hat, den weiteren Verkauf untersagt und ausgeführt, es handele sich bei den Bestelldaten um besonders sensible Daten („Gesundheitsdatum“).

Im entschiedenen Fall hatte der Anbieter Medikamente unter Nutzung eines Amazon-Shops angeboten, was zur Folge hatte, dass die Kunden ihre personenbezogenen Daten auch Amazon mitteilen mussten. Dabei wurde allerdings kein explizites Einverständnis für die Verarbeitung von Gesundheitsdaten abgefragt sondern lediglich die Zustimmung zu AGB und einer allgemeinen Datenschutzerklärung eingefordert. Dies reiche mit Blick auf § 4a Abs. 3 BDSG nicht aus, urteilten die Richter.

Zukünftig würde sich das Erfordernis aus Art. 4 Nr. 15 DSGVO ergeben („personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“).

Wie soll das gehen? Über den Krampf mit Informationspflichten

Mit der EU-DSGVO kommen auf Verantwortliche neu definierte Informationspflichten zu, deren umfängliche Erfüllung man getrost als „anspruchsvoll“ bezeichnen darf (Art. 12 bis 15 der DSGVO). Schon die bisherigen Veröffentlichungen und Diskussionen zeigen, dass der gesetzliche Ansatz, die Betroffenen sehr früh und sehr umfassend über die Verarbeitung, ihre Zwecke und rechtliche Grundlagen sowie Betroffenenrechte auf Auskunft, Widerspruch und ggfls. Löschung zu informieren, in der Praxis oft nur unter erheblichen Verrenkungen erfüllbar sind – insbesondere, wenn ein Medienbruch – also ein Technikwechsel oder eine faktische Verlagerung der vollständigen Information auf einen späteren Zeitpunkt – dabei nicht erlaubt sein sollen.

Während im Online-Bereich eine (auch umfassende) Information häufig einfach erscheint, weil Platz durch Verlinkung einerseits unbegrenzt vorhanden und andererseits dadurch auch kein Medienbruch entsteht, dürften viele Verantwortliche mit erheblichem Grausen daran denken, wie Belehrungen in Alltagssituationen im „Real Life“ bewerkstelligt werden müssen. An unzähligen Kontaktpunkten zwischen Verantwortlichen und Betroffenen wird es notwendig werden, erhebliche Textmengen zu übergeben und diese Textmengen auch ggfls. zu dokumentieren. Die Erhebung von Kundendaten für Angebote, Aufträge und ähnliche Vorgänge wird dadurch zu einer Herausforderung.

Um dem Zwang, erhebliche Papiermengen an Verbraucher herausgeben zu müssen, zu entgehen, werden viele Verantwortliche auf Hinweise im Internet setzen wollen. Dieser „Medienbruch“ führt aber unter Umständen dazu, dass die Betroffenen die gesetzlich vorgeschriebenen Informationen eben gerade nicht mehr in zeitlichem Zusammenhang mit der Erhebung erhalten, weil sie im Augenblick der Datenerhebung keinen technischen Zugriff auf das Internet haben (oder generell keinen). Zudem würde dem Betroffenen im Ergebnis aufgebürdet, sich um die Beschaffung der vollständigen Information letztlich selbst kümmern zu müssen (Aufruf des Internetlinks), obwohl der Gesetzgeber ausdrücklich eine Informationspflicht zu Lasten des Verantwortlichen definiert hat. Auch die Kosten für den Zugriff lägen dann beim Betroffenen, was so nicht vorgesehen ist.

Es wird daher aktuell noch immer überwiegend vertreten, dass ein Medienbruch im Rahmen der Informationspflichten nicht zulässig ist. Dagegen steht das durchaus nachvollziehbare Argument, dass sich die Verbreitung von Informationen über Internetseiten heute de facto durchgesetzt hat und von einer allgemeinen, einfachen Zugänglichen ausgegangen werden kann. Zudem mag die Information in der Textform einer Internetseite besser verständlich sein, als eine mündlich/akkustisch erteilte Information.

Ausgerechnet der Landesbeauftragte für den Datenschutz in Niedersachen hat nun beiläufig im Rahmen eines Hinweises zur Videoüberwachung die Auffassung vertreten, die Informationspflicht könne ggfls. durch eine kurze Kerninformation ohne Medienbruch in Verbindung mit einer ausführlicheren Information im Internet erfüllt werden. Die Internetinformation dürfe dabei aber nur ergänzenden Charakter haben. Ähnlich äußerte sich das Unabhängige Landeszentrum für Datenschutz Schleswig Holstein, dass hinsichtlich der Informationspflichten bei Heilberufen erklärte, es sei unschädlich, wenn Informationsflyer der Verantwortlichen nicht die komplette notwendige Information enthalte, sondern zur Ergänzung auf eine Quelle im Internet verweise (Website des Anbieters).

Eine wirkliche Rechtssicherheit bringen diese Stellungnahmen aber bislang nicht. Im Gegenteil bleibt abzuwarten, ob sich diese Sichtweise tatsächlich auch bei anderen Aufsichtsbehörden durchsetzt.