Pflichtangabe „Herr“ oder „Frau“ beim Kauf eines Bahntickets – der Gerichtshof der Europäischen Union (EuGH) entschied mit Urteil vom 09.01.2025 in der Rechtssache C‑394/23 „Mousse“: Die Pflicht, beim Online-Kauf einer Fahrkarte eine der beiden Anredeformen Monsieur“ oder „Madame“, also „Herr“ oder „Frau“, anzugeben, verstößt gegen Datenschutzrecht, da die Geschlechtsidentität der Kundschaft keine für den Erwerb eines Fahrscheins erforderliche Angabe ist. Weiterlesen
Archiv der Kategorie: Compliance
BGH: Herr und Frau in der Buchungsmaske reichen nicht aus
Anredeformen in der Buchungsmaske der Deutschen Bahn und non-binäre Geschlechtsidentität – die Anreden „Herr“ oder „Frau“ reichen nicht aus. Der Bundesgerichtshof (BGH) wies mit Beschluss vom 27.08.2024, Az. X ZR 71/22 die Nichtzulassungsbeschwerde gegen das vom Oberlandesgericht Frankfurt am Main erlassene Urteil vom 21.06.2022, Az. 9 U 92/20, zurück. Weiterlesen
Web-Impressum für Verein: Wann, wo und wie?
Nahezu jeder Verein präsentiert sich im Netz, sei es auf der eigenen Website oder sei es in den sozialen Medien wie z.B. Facebook, Instagram, YouTube, X (Twitter) oder TikTok. Gilt nun die gesetzliche Pflicht der Anbieterkennzeichnung – und damit die Impressumspflicht – auch für Vereine? Der Beitrag geht dieser Frage nach und zeigt, wie welche Informationen ein Impressum auf einer Vereinswebsite zwingend enthalten muss, wo es platziert werden sollte und was bei seiner Gestaltung zu beachten ist. Weiterlesen
Wettbewerbsrechtliche Zurechnung von Facebook-Posting des Mitarbeiters?
Wettbewerbsrechtliche Haftung eines Unternehmens für Facebook-Posting eines Mitarbeiters – das Hanseatische Oberlandesgericht Hamburg entschied mit Urteil vom 31.08.2023, Az. 5 U 27/22: Die Äußerung eines Mitarbeiters gegenüber der Konkurrenz auf Social-Media-Plattformen wie Facebook, Instagram und Linkedin ist dem Unternehmen nicht zuzurechnen, solange dieses Posting rein privat ist. Das gilt auch, wenn die Kommunikation öffentlich zugänglich ist. Weiterlesen
Unerlaubter Kundenkontakt über privaten Social-Media-Kanal
Auskunftsanspruch und Unterlassungsanspruch gegen Unternehmen nach eigenmächtiger Verarbeitung von Kundendaten auf privatem Account einer Mitarbeiterin – das Landgericht Baden-Baden hat mit Urteil vom 24.08.2023, Az. 3 S 13/23, ein Unternehmen dazu verpflichtet, einer Kundin die Namen ihrer Mitarbeiter zu benennen, die in dem Unternehmen erhobene Kundendaten privat verarbeitet haben. Darüber hinaus ist das Unternehmen dazu verurteilt worden, ihren Mitarbeitern die fortgesetzte Verwendung der personenbezogenen Kundendaten auf ihren privaten Kommunikationsgeräten zu untersagen. Weiterlesen
Haftung des Finanzagenten bei Betrug und Geldwäsche
Wer das eigene Girokonto einer anderen – möglicherweise unbekannten – Person zur Verfügung stellt, damit diese Überweisungen entgegennehmen und weiterleiten kann, begibt sich auf dünnes Eis: Stammt das Geld aus einer rechtswidrigen Tat, z.B. einem Betrug, steht plötzlich der Vorwurf im Raum, als „Finanzagent“ strafbare Geldwäsche betrieben zu haben. Damit fangen die Probleme aber erst an: Auch zivilrechtliche Schadensersatzansprüche drohen. Der Beitrag gibt einen Überblick und bietet Erste-Hilfe-Maßnahmen. Weiterlesen
Abmahnungsfalle E-Mail-Werbung zwischen den Zeilen
Verstoß gegen Wettbewerbsrecht durch unerbetene E-Mail-Werbung im Rahmen des Double-Opt-In-Verfahrens und im E-Mail-Footer: Das Landgericht Stendal entschied mit Urteil vom 12.05.2021, Az. 22 S 87/20 ebenso wie das Kammergericht Berlin mit Urteil vom 29.09.2021, Az. 5 U 35/20, dass auch kurze Werbeeinschübe innerhalb einer E-Mail, die ansonsten keinen Werbecharakter hat, einwilligungsbedürftig sind. Weiterlesen
FAQ zu Cookies und Tracking: Datenschutz Baden-Württemberg
Cookies, Tracking, Reichweitenanalyse, Social Media, Einbindung externer Medien und das Datenschutzrecht – der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat die FAQ zu Cookies und Tracking aktualisiert. Weiterlesen
Datenleck im Ausländeramt Lübeck: Woanders gelesen
Datenleck in der Behörde: Auf einem ausgemusterten und über eBay verkauften Computer des Ausländeramts Lübeck finden sich mehr als 33.000 hochsensible E-Mails und Akten unter anderem zu Visa-Anträgen – das berichtet das c’t-Magazin mit einem Beitrag auf heise online vom 28.01.2022.
Sachverhalt: Worum geht es?
Dem Bericht zufolge gibt es wohl eine Vorschrift, wonach Festplatten mit sensiblen Daten ausgebaut und vernichtet werden müssen, bevor ein ausgemusterter Behörden-PC markiert und dann einem Verwerter übergeben wird. Im konkreten Fall sei der PC zwar markiert gewesen. Ob die Festplatte tatsächlich entfernt war, sei aber nicht überprüft worden.
Der Bericht ist mit all seinen Details lesenswert: Nicht nur bei der Aussonderung und der anschließenden Verwertung des PCs wurde hiernach geschlampt. Bereits bei der Konfiguration des Outlook-Clients wurde nicht die datensparsamste Lösung gewählt. Während des Einsatzes in der Behörde wurden nicht mehr benötigte Nutzerkonten und die dort abgelegten Daten nicht sorgfältig gelöscht.
Praxisempfehlung: Regeln, prüfen, dokumentieren
„Vertrauen ist gut, Kontrolle ist besser“: Gerade im Tages- und Massenbetrieb sind Routineaufgaben und Standardprozesse tückisch, die nur oberflächlich geregelt sind und die während ihrer Ausführung nicht detailliert dokumentiert werden. Abläufe in alle ihre Schritte zu zerlegen, die Reihenfolge der einzelnen Schritte verbindlich vorzugeben und dazu kleinteilige Inventare zu entwickeln, wer wann was getan hat, macht Arbeit.
Was ist von wem innerhalb von welchem Zeitrahmen zu tun, nachdem ein Mitarbeiter ausgeschieden oder die Abteilung gewechselt hat? Welche Festplatte wurde wann aus welchem Rechner ausgebaut und was geschah dann mit diesem Datenträger? Was muss wie dokumentiert worden sein, bevor überhaupt der nächste Schritt getan werden darf? Und welche Sorgfaltsanforderungen gelten für externe Verwertungsunternehmen?
Ganz egal, ob die ausgemusterte Hardware verschrottet wird oder auf dem Second-Hand-Markt verwertet wird: Auch dieser Vorfall ist Anlass im Unternehmen, dass Datenschutzbeauftragte, Compliance-Abteilung und IT-Administratoren gemeinsam betriebsinterne Vorschriften, Checklisten und Dokumentationen entwickeln, um Datenpannen zu verhindern. Es geht um den guten Ruf des Unternehmens. Es geht um Vertrauen in das Unternehmen. Und nichts anderes gilt für eine Behörde.
© RA Stefan Loebisch | Kontakt
Urteil: Kein Auskunftsanspruch nach Datenschutzrecht bei Rechtsmissbrauch
Wann kann die datenschutzrechtliche Auskunft nach Art. 15 DSGVO verweigert werden, weil der Auskunftsanspruch rechtsmissbräuchlich geltend gemacht wird? Das Landgericht Wuppertal entschied mit Urteil vom 29.07.2021, Az. 4 O 409/20: Dem Auskunftsanspruch steht der Rechtsmissbrauch entgegen, wenn mit ihm ein zweckfremdes Ziel außerhalb des Datenschutzrechts erreicht werden soll. Weiterlesen