Freitag, 16. November 2012

Zur Wirksamkeit einer datenschutzrechtlichen Einwilligung bei Minderjährigen

Eine Krankenkasse hat es zu unterlassen, ohne Zustimmung der Erziehungsberechtigten bei Gewinnspielen persönliche Daten von minderjährigen Verbrauchern ab 15 Jahren zu erheben, um diese als Kunden werben zu können. Das hat der 4. Zivilsenat des Oberlandesgerichts Hamm am 20.09.2012 entschieden und damit die erstinstanzliche Entscheidung des Landgerichts Dortmund abgeändert.
 
Die von einer Verbraucherzentrale verklagte Krankenkasse hatte auf einer Job-Messe Gewinnspiele für minderjährige Verbraucher angeboten. Auf den Teilnehmerkarten hatte sie Name, Anschrift, Geburtsdatum und Kontaktdaten abgefragt und eine Unterschrift der Teilnehmer vorgesehen, die nur bei unter 15jährigen Minderjährigen vom Erziehungsberechtigten geleistet werden sollte. Mit einer ebenfalls auf der Karte abgedruckten Erklärung willigten die Teilnehmer in eine Speicherung und Nutzung der abgefragten Daten ein, um über die Leistungen der Krankenkasse informiert und beraten zu werden. U.a. unter Hinweis darauf, dass bereits 15jährige Minderjährige ihre Krankenkasse selbst wählen dürften, hatte die verklagte Krankenkasse hierin eine zulässige Werbung gesehen.
 
Dem hat der 4. Zivilsenat des Oberlandesgerichts Hamm widersprochen und der Krankenkasse eine derartige Werbung untersagt. Es könne nicht davon ausgegangen werden, dass Minderjährige ab dem 15. Lebensjahr grundsätzlich die nötige Reife haben, um die Tragweite der Einwilligungserklärung zur Datenspeicherung und Datenverwendung zu Werbezwecken abzusehen. Zu berücksichtigen sei zwar der mit dem Alter bei Minderjährigen zunehmende Reifeprozess. Abzustellen sei aber auf den Durchschnitt der angesprochenen Personengruppe, die in geschäftlichen Dingen noch unerfahren sei. Beim Lesen der Gewinnkarte überwiege bei ihnen der Anreiz, etwas zu gewinnen, das konsequente Nachdenken darüber, was infolge der Preisgabe der Daten passieren könne. Zudem treffe ein Jugendlicher beim Ausfüllen einer Gewinnkarte auf der Messe eine ganz kurzfristige Entscheidung über die Preisgabe seiner personenbezogenen Daten. Das sei mit der Situation bei der Wahl einer Krankenkasse nicht zu vergleichen. Diese stehe regelmäßig im Zusammenhang mit der Wahl eines Ausbildungs- oder Arbeitsplatzes, bei der ein Jugendlicher von seinen Eltern und ggfls. dem neuen Arbeitgeber beraten werde und sich in Ruhe über die in Betracht zu ziehenden Krankenkassen informieren könne.
 
Urteil des 4. Zivilsenats des Oberlandesgerichts Hamm vom 20.09.2012 (I-4 U 85/12)

Quelle: Pressemitteilung des Präsidenten des OLG Hamm vom 09.11.2012

Dienstag, 13. November 2012

Haftung und Sanktionen bei Datenschutzverstößen – negative Außenwirkung und Publicity

Etwas außerhalb der in dieser Beitragsreihe beschriebenen rechtlichen Sanktionen wie Verstöße gegen Ordnungswidrigkeiten- bzw. Strafvorschriften, Schadensersatz und Unterlassungsansprüchen steht die tatsächliche Außenwirkung von Datenschutzverstößen. Dies bedeutet die Wahrnehmung eines mehr oder weniger unzulänglichen Umgangs mit personenbezogenen Daten. Einem Kunden ist durchaus bewusst , dass dessen personenbezogene Daten bei vielen Unternehmen gespeichert und hinterlegt ist – zum Beispiel zur Vertragsabwicklung, als Abonnent eines Newsletters, als Inhaber eines Mail-Accounts oder eines Nutzungsprofils bei einem Onlinedienst – und mithin bei einem wahrgenommenen Datenschutzverstoß auch aufgrund des unsachgemäßen Umgangs mit personenbezogenen Daten die Verletzung der eigenen Persönlichkeitsrechte nicht ausgeschlossen werden kann.

Nach den bekannt gewordenen Datenschutzskandalen der letzten Jahre mussten einige Unternehmen erfahren, dass sie von Kunden mangels Vertrauen in die Integrität des Unternehmens gemieden werden. Die betroffenen Unternehmen versuchen seither, das verlorene Kundenvertrauen zurückzugewinnen, z.B. durch die Intensivierung ihrer Anstrengungen bei der Beachtung des Datenschutzes und der Datensicherheit.

Neben der Veröffentlichung von bekannt gewordenen Datenschutzskandalen in den Medien und einer Erwähnung in den Tätigkeitsberichten der jeweiligen Datenschutz-Aufsichtsbehörden besteht seit dem Jahr 2009 eine Informationspflicht einer datenverarbeitenden Stelle gemäß § 42a BDSG bei bestimmten Datenschutzverstößen.

Die Intention des § 42a BDSG beschränkt sich auf Datenschutzverletzungen bezüglich besonders "sensibler" Daten. Hierunter versteht der Gesetzgeber in § 42a BDSG zum einen
  • die besonderen Arten personenbezogener Daten gemäß § 3 Abs. 9 BDSG,
  • zum anderen personenbezogene Daten, welche einem Berufsgeheimnis unterliegen, wie z.B. Ärzten, Steuerberatern, Rechtsanwälten, Apothekern, sonstigen Angehörigen eines Heilberufs (der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert), Berufspsychologin mit staatlich anerkannter wissenschaftlicher Abschlussbildung, Wirtschaftsprüfer, vereidigte Buchprüfer, Ehe-, Familien-, Erziehungs- oder Jugendberater, staatlich anerkannte Sozialarbeiter, Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung, usw.),
  • oder personenbezogenen Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder entsprechende Verdachtsmomente beziehen oder
  • bei personenbezogenen Daten zu Bank- oder Kreditkartenkonten (Bsp: Name der Bank, Kontonummer, Kreditkartendaten, Passwörter für das online-Banking).

Diese Daten müssen von der verantwortlichen Stelle entweder unrechtmäßig übermittelt worden sein oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sein. Dies kann jeder Angriff von außen sein, aber auch eine rechtswidriger Zugriff durch nicht zugriffsberechtigte Mitarbeiter. Von einer unrechtmäßigen Kenntniserlangung Dritter ist auch bei einem Datenverlust auszugehen, wenn die Daten nicht hinreichend verschlüsselt waren.

Weiterhin erforderlich ist, dass schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdige Interessen der des Betroffenen drohen. Dies können nach der Vorstellung des Gesetzgebers zum Beispiel materielle Schäden bei Kreditkarteninformationen seien oder dass soziale Nachteile einschließlich des Identitätsbetrugs drohen. Hier hat die verantwortliche Stelle eine Gefahrenprognose zu erstellen, das bedeutet dass an einer Eintrittswahrscheinlichkeit des Schadens umso geringere Anforderungen zu stellen sind je höher der drohende Schaden beim Betroffenen ausfallen könnte.

Rechtsfolge ist die Pflicht der verantwortlichen Stelle, die zuständige Aufsichtsbehörde sowie den Betroffenen über den Datenschutzverstoß zu informieren, nachdem entsprechende Maßnahmen zur Sicherung der Daten ergriffen wurden. Hierbei muss der Betroffene umfänglich über das Ausmaß des Datenschutzverstoßes informiert werden und ihm auch Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen des Datenschutzverstoßes erteilt werden (z.B. Änderung der Passwörter, Kontrolle der Kontoauszüge auf rechtswidrige Abbuchungen, usw.). Der zuständigen Datenschutz-Aufsichtsbehörde müssen darüber hinaus noch die drohenden nachteiligen Folgen an der unrechtmäßigen Kenntniserlangung dargelegt werden als auch eine Beschreibung, welche konkreten Maßnahmen nach Kenntniserlangung des Datenschutzverstoßes ergriffen wurden.

Erscheint eine Einzelbenachrichtigung jedes Betroffenen unverhältnismäßig – insbesondere aufgrund der Vielzahl der Fälle – kann die verantwortliche Stelle ihrer Informationspflicht durch Medienanzeigen genüge tun, die mindestens eine halbe Seite umfassen müssen in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeigneten Maßnahmen. Letzteres können zum Beispiel bei regional begrenzten Verstöße auch eine Veröffentlichung in regionalen Zeitungen sein oder gegebenenfalls durch Veröffentlichungen im Internet.

Zu beachten ist, dass die Informationspflicht nach § 42a BDSG bei einer Auftragsdatenverarbeitung den Auftraggeber trifft. Darüber hinaus ist ein Verstoß gegen § 42a BDSG bußgeldbewährt gemäß § 43 Abs. 2 Nr. 7 BDSG. Denkbar ist auch, dass Betroffene Schadensersatzansprüche gegen die verantwortliche Stelle wegen Unterlassung einer Information entsprechend § 42a BDSG geltend machen können, sofern ein Schaden bei Kenntnis des Datenschutzverstoßes für den Betroffenen vermeidbar gewesen wäre.

Rechtsanwalt Thomas Steinle, LL.M.
Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK)
Karlsruhe