Werbeanzeige im Freemail-Postfach keine unzulässige Werbung

Das OLG Nürnberg hat entschieden, dass eine Werbeanzeige im Posteingang eines kostenlosen E-Mail-Dienstes keine unzumutbare Belästigung im Sinne von § 7 Abs. 1 S. 1 UWG darstellt (Urt. v. 15.01.2019 – 3 U 724/18).

Anders hatte es noch das LG Nürnberg-Fürth (Urt. v. 22.03.2018 – 3 HK O 4495/17) gesehen: Da die Werbeanzeige wie eine E-Mail im Posteingang, eingereiht unter den E-Mails, dargestellt werde, seien die Voraussetzungen des Anspruchs erfüllt.

Das OLG sah die Voraussetzung der elektronischen Post für nicht erfüllt und greift auf die Definition der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) zurück:

„Aus der Gesamtschau der in der Definition von Art. 2 S. 2 lit. h Datenschutzrichtlinie verwendeten Begriffe „Post“, „Kommunikationsnetz“ und „Verschicken“ ergibt sich, dass elektronische Post nur bei der Versendung einer Nachricht von einem Nutzer an einen anderen Nutzer durch ein Dienstleistungsunternehmen (wie beispielsweise ein E-Mail-Provider), welches die elektronische Beförderung an die elektronische „Anschrift“ (wie beispielsweise eine E-Mail-Adresse) des zweiten Nutzers übernimmt, vorliegt. Diese Bedeutung wird bestätigt durch Erwägungsgrund 44, der von einem elektronischen Postsystem – welches begriffsnotwendig die Möglichkeit von Kommunikation voraussetzt – spricht. Auch aus den Erwägungsgründen 1, 12 und 40 sowie Art. 1 Abs. 1 Datenschutzrichtlinie ergibt sich, dass diese Regelungen dem Schutz der Privatsphäre der Nutzer im Bereich der elektronischen Kommunikation dienen sollen (vgl. BGH, Urteil vom 10. Juli 2018 – VI ZR 225/17, Rn. 15 – Kundenzufriedenheitsbefragung).“

Rn. 68

Auch sei bei elektronischer Post die Übermittlung abgeschlossen. Hier allerdings werde die Anzeige von einem Adserver geladen.

Auch die Systematik und Sinn und Zweck spreche gegen eine Anwendung auf den hier vorliegenden Fall.

BGH: Kundenzufriedenheits-Umfrage ist Werbung

Der Versand von E-Mail-Newslettern wurde die letzten Monate fälschlicherweise immer im Rahmen der neu anwendbaren Datenschutzgrundverordnung (DSGVO) problematisiert. Dabei ist dies weniger ein Problem des Datenschutzrechts als ein Problem des Wettbewerbsrechts – die Direktwerbung ist als berechtigtes Interesse im Rahmen des Art 6 Abs. 1. S. 1 lit f) DSGVO anerkannt, wie Erwägungsgrund 47 zeigt. § 7 UWG stuft aber Werbung unter Verwendung elektronischer Post ohne Einwilligung als unzumutbare Belästigung und damit als unlautere Handlung ein.

Eine aktuelle Entscheidung hierzu hat nun der Bundesgerichtshof getroffen (BGH, Urteil vom 10. Juli 2018 – VI ZR 225/17): Danach ist auch dann der Tatbestand der Werbung erfüllt, wenn zwar per E-Mail eine Rechnung übermittelt wird, in dieser E-Mail aber zugleich eine Kundenzufriedenheits-Umfrage durchgeführt wird. Dies zeigt nochmals, wie schnell man als Versender von E-Mails unter den Begriff der Werbung fällt. Hier sollte man genau aufpassen, um sich nicht Unterlassungs- und Aufwendungsersatzansprüchen auszusetzen.

Der BGH stellt in dieser Entscheidung übrigens auch noch einmal etwas klar, was in der Praxis oft falsch gemacht wird: Der Empfänger einer solchen Werbung kann seine Ansprüche nicht auf das UWG stützen, da er weder Mitbewerber noch Verbraucherschutzverband nach dem Unterlassungsklagensgesetz ist. Sein Anspruch ergibt sich allein aus dem Allgemeinen Persönlichkeitsrecht im Rahmen des § 823 Abs. 1 BGB in Verbindung mit § 1004 Abs. 1 Satz 2 BGB. Der BGH stellt in diesem Urteil aber auch klar, dass bei der Frage, ob ein Eingriff in das Allgemeine Persönlichkeitsrecht (§ 823 Abs. 1 BGB analog) vorliegt, die Regelungen des § 7 UWG im Rahmen der europarechtskonformen Auslegung Berücksichtigung finden. § 7 UWG geht auf die EU-Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Richtlinie 2002/58/EG) zurück und stellt die Umsetzung des Art. 13 dar. Im Rahmen der europarechtskonformen Auslegung liege immer dann ein Eingriff in das Allgemeine Persönlichkeitsrecht vor, wenn ein Verstoß gegen Art. 13 der Richtlinie vorliege.

Update am 25.09.2018: Hinweis auf Richtlinie 2002/58/EG ergänzt

OLG Frankfurt zur Verlinkung von Gesundheitsdaten durch Google

Jetzt ergehen die ersten Urteile zur neuen Datenschutzgrundverordnung (DSGVO). Auch wenn die Abmahnungen noch ausgeblieben sind, was vermutlich daran liegt, dass erstens ein konkretes Wettbewerbsverhältnis vorliegen muss und zweitens auch die Abmahner aufgrund der noch bestehenden Rechtsunsicherheit in vielen Punkten keine unberechtigte Abmahnung aussprechen möchten (diese würde nach einem Teil der Rechtsprechung einen Kostenerstattungsanspruch des Abgemahnten auslösen), kommt der ein oder andere datenschutzrechtliche Fall nun trotzdem vor die Gerichte.

Überraschend hat das Oberlandesgericht Frankfurt am Main (OLG Frankfurt am Main, Urt. v. 06.09.2018, Az. 16 U 193/17, zur Pressemitteilung) entschieden, dass durch Google verlinkte Gesundheitsdaten nicht gelöscht werden müssen, wenn sich im Rahmen einer Interessenabwägung ergebe, dass das Interesse der Presse an der Berichterstattung überwiegt. Hintergrund waren Berichte in Online-Medien über die Krankschreibung des Geschäftsführers einer bekannteren gemeinnützigen Organisation, welche über Google auffindbar waren. Das OLG Frankfurt hat entschieden, dass Google sie nicht löschen muss.

Die Entscheidung ist insofern interessant, als an die Verarbeitung von Gesundheitsdaten (und dazu gehört schon, ob jemand krank ist oder nicht, ohne die Krankheit näher zu bezeichnen), besonders hohe Anforderungen durch die DSGVO gestellt werden. Art. 9 DSGVO enthält hier einen abschließenden Katalog von gesetzlichen Erlaubnistatbeständen für die Verarbeitung. Ist hier keiner dabei, dürfen die Daten nicht verarbeitet werden. Bei diesem Katalog ist – anders als bei Nichtgesundheitsdaten – keine Auffangklausel wie die berechtigten Interessen des Art. 6 Abs. 1 S. 1 lit. f) DSGVO vorhanden. Das OLG Frankfurt am Main hat dennoch eine eigentlich nur im Rahmen des Art. 6 Abs. 1 S. 1 lit. f) DSGVO mögliche Interessanabwägung vorgenommen und das Interesse an der Berichterstattung für höher gewertet.

Das Urteil liegt noch nicht in der Begründung vor. Diese dürfte aber spannend zu lesen sein.

EuGH zum Widerrufsrecht auf einer Messe

Wir hatten es an dieser Stelle schon zweimal besprochen (hier und hier), jetzt hat der EuGH entschieden (EuGH, Urteil v. 7. August 2018) :

Ob Verbraucher bei Käufen auf einem Messestand ein Widerrufsrecht haben, hängt vom Erscheinungsbild des Messestandes ab. Es geht, auf den Punkt gebracht, um die Frage, ob der Verbraucher damit rechnen konnte, dass ein Unternehmer dort seine Tätigkeiten ausübt und ihn anspricht, um einen Vertrag zu schließen. Konnte er damit rechnen, handelt es sich nicht um einen außerhalb von Geschäftsräumen geschlossenen Vertrag im Sinne von § 312b BGB. Dann gibt es auch kein Widerrufsrecht.

Bei dem Merkmal “dauerhafte Ausübung der Geschäftstätigkeit” und “gewöhnliche Ausübung der Geschäftstätigkeit” (beide notwendig für das Vorliegen eines Geschäftsraumes, vgl. § 312b Abs. 2 BGB, Art. 2 Nr. 9 VRRL [RL 2011/83/EU) komme es laut EuGH gerade nicht darauf an, wie oft ein Unternehmer auf einer Messe ist. Dies würde ja auch zu dem absurden Ergebnis führen, dass auf dem Messestand links ein Widerrufsrecht besteht, weil der Unternehmer häufig auf Messen ist und auf dem Messestand rechts daneben keines, weil der Unternehmer vielleicht nur einmal im Jahr einen Messestand hat. Entscheidend sei also nicht, wie häufig der Unternehmer einen Messestand hat, sondern wie sein Stand aussieht: Ganz im Sinne des Verbraucherschutzes, welcher darauf abstellt, ob der Verbraucher mit einem Vertragsschluss rechnen musste oder nicht. Musste er nicht damit rechnen, ist er schutzwürdig und hat das Recht, sich vom Vertrag zu lösen.

Allerdings: Je nach Erscheinungsbild des Standes kann das Bestehen eines Widerrufsrechts auch nach dieser Entscheidung bei unterschiedlichen Ständen auf einer Messe unterschiedlich beurteilt werden.

Der EuGH definiert den Geschäftsraum, wenn

wenn in Anbetracht aller tatsächlichen Umstände rund um diese Tätigkeiten und insbesondere des Erscheinungsbilds des Messestandes sowie der vor Ort auf der Messe selbst verbreiteten Informationen ein normal informierter, angemessen aufmerksamer und verständiger Verbraucher vernünftigerweise damit rechnen konnte, dass der betreffende Unternehmer dort seine Tätigkeiten ausübt und ihn anspricht, um einen Vertrag zu schließen, was vom nationalen Gericht zu prüfen ist.

(Rn. 46 des Urteils).

Die Gerichte müssen sich also in Zukunft die einzelnen Stände ganz genau ansehen. Dies dürfte im Nachhinein schwierig werden.

Anwaltsvertrag als Fernabsatzvertrag

Wenig überraschend hat der BGH in einem Urteil den Anwaltsvertrag als Fernabsatzvertrag im Sinne des § 312c BGB qualifiziert, wenn er mit Fernkommunikationsmitteln abgeschlossen wurde (BGH, Urt. v. 23.11.2017 – Az. IX ZR 204/16).

Streitig war der zweite Teil des Absatzes 1 des § 312c BGB:

Fernabsatzverträge sind Verträge, bei denen der Unternehmer oder eine in seinem Namen oder Auftrag handelnde Person und der Verbraucher für die Vertragsverhandlungen und den Vertragsschluss ausschließlich Fernkommunikationsmittel verwenden, es sei denn, dass der Vertragsschluss nicht im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems erfolgt.

In der Literatur wurde zum Teil die – meines Erachtens etwas abwegige -Meinung vertreten, dass aufgrund der besonderen Vertrauensbeziehung des Rechtsanwalts zu seinem Mandanten niemals ein für den Fernabsatz organisiertes Vertriebs- oder Dienstleistungssystem vorliegen kann. Dem hat der BGH in der Entscheidung eine klare Absage erteilt.

Er hat aber auch deutlich gemacht, dass die Formulierung „es sei denn“ eine Vermutungswirkung aufstellt: Trägt der Anwalt also nichts vor, was gegen ein solches organisiertes Vertriebs- oder Dienstleistungssystem spricht und kann er dies nicht beweisen, greift der Ausschluss nicht. Dies dürfte nur sehr schwer zu erreichen sein. Dem Rechtsanwalt in dem Verfahren gelang es nicht.

CLOUD Act: Das Aus für den Datenschutz?

Jahrelang stritt Microsoft gegen die US-Regierung, um zu verhindern, dass die Regierung den Konzern zwingt, Daten herauszugeben, die auf Servern außerhalb der USA gespeichert werden. Eigentlich sollte der Supreme Court darüber entscheiden und dieses erwartete Urteil wurde bereits als „Entscheidung über die Zukunft unserer Privatsphäre“ bezeichnet (so etwa SPIEGEL ONLINE). Nun ist die US-Regierung durch ein Gesetz namens CLOUD Act (Clarifying Lawful Overseas Use of Data Act) dem Supreme Court zuvorgekommen: Dieser erklärte kurzerhand den Rechtsstreit für erledigt. Das Gesetz hat weitreichende Auswirkungen auf den Zugriff der US-Behörden auf Daten, welche außerhalb der USA gespeichert werden. Besonders prekär ist dabei, dass das Gesetz als Annex zum Haushaltsgesetz durchgewunken wurde. Eine Debatte darüber fand kaum statt.

Das Gesetz sieht den ungehinderten Zugriff der US-Behörden auf Daten außerhalb der USA vor, wenn US-Unternehmen diese Daten kontrollieren. Damit wird genau das wahr, was Microsoft verhindern wollte. Das Gesetz sieht weiter die Möglichkeit bilateraler Abkommen vor, welche den Datenzugriff untereinander regeln. Nur mit einem solchen Abkommen wird es möglich sein, Rechtsmittel und -kontrollen für Nicht-US-Bürger zu implementieren. Die EU hat, obwohl sie sich massiv gegen den Datenzugriff der US-Behörden auf europäische Server in dem Microsoft-Verfahren eingesetzt hatte, bereits Interesse an einem solchen Abkommen signalisiert, ja einen ähnlichen Vorschlag sogar selbst unterbreitet.

Der CLOUD Act ist eine Katastrophe für den Datenschutz. Gerade jetzt, wo am 25. Mai die Datenschutzgrundverordnung (DSGVO) in Kraft tritt und mit welcher der CLOUD Act nicht zu vereinbaren ist, wie zutreffend Kollege Dennis Jansen feststellt. Der EU wird allerdings nichts anderes übrig bleiben, als solch ein Abkommen zu schließen: Möchte ein Staat seine Bürger nicht ganz rechtlos stellen, wird er mit dem CLOUD Act nun gezwungen, ein Abkommen mit den USA zu schließen. Dann kann er sich zwar auch den Zugriff auf Daten in den USA gewähren lassen, gibt aber zugleich den Datenschutz im eigenen Land auf.

Dabei ist der Datenzugriff, der mit internationaler Kriminalität und Terrorismus gerechtfertigt wird, überhaupt nicht nötig: Dafür gibt es jetzt schon das Verfahren über die Rechtshilfe. Diese hätten nur beschleunigt werden müssen. Dann gäbe es aber ein rechtsstaatliches Verfahren.

Datenschutzbeauftragter: Ist der „Beschäftigte“ „beschäftigt“?

Große Unsicherheit besteht derzeit darüber, ab wie vielen Personen im Unternehmen ein Datenschutzbeauftragter bestellt werden muss.

Nach Art. 38 BDSG-neu müssen alle Unternehmen bzw. Sonstigen Verantwortlichen einen Datenschutzbeauftragten bestellen, wenn sie “in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen”.

Hier der Art. 38 BDSG-neu im Wortlaut:

§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen
(1) 1 Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 2Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Die Regel scheint klar: Wenn 10 Personen erreicht sind, die ständig automatisiert Daten verarbeiten, so benötigt man einen Datenschutzbeauftragten. Aber wen zählt man mit? Dies ist weniger deutlich. Eines ist klar: Im Gegensatz zu der bisherigen Regelung des § 4f BDSG wird nicht mehr danach unterschieden, ob die Daten automatisiert oder “auf andere Weise” verarbeitet werden. Nur, wenn die 10 Personen Daten auch automatisiert verarbeiten, ist ein Datenschutzbeauftragter nötig. Automatisiert ist weit zu verstehen und umfasst letztlich jede Form von Datenverarbeitungsanlagen. Immer wenn ein Computer, Smartphone etc. im Spiel sind, liegt also eine automatisierte Verarbeitung vor. Anders als häufig geschrieben ist die Reinigungskraft, die lediglich den Papierkorb ausleert, nicht mitzuzählen; sie verarbeitet Daten nicht mit einer Datenverarbeitungsanlage.

Wer ist “beschäftigt”?

Streit herrscht aber darüber, wer “beschäftigt” ist. Muss der Geschäftsführer, müssen die Gesellschafter mitgezählt werden?

Nach derzeit noch geltendem Recht, dem § 4f BDSG, ist der Geschäftsführer und anderes Leitungspersonal nicht mitzuzählen, den sie sind “Beschäftigende”, aber keine “Beschäftigte” (vgl. etwa Gola/Klug, NJW 2007, 118 (120)). Aber gilt dies auch noch mit dem Inkrafttreten des § 38 BDSG-neu?

Argumente gegen das Mitzählen des Geschäftsführers und der Gesellschafter

Dafür spricht, dass auch der § 38 BDSG-neu eine deutsche Regelung ist. Der Regelungsgeber hat sich also nicht geändert. In der EU konnte man sich nicht auf eine Regelung, einen Datenschutzbeauftragten ab einer bestimmten Beschäftigtenanzahl zu bestellen, einigen, da manchen Mitgliedstaaten das Konzept des Datenschutzbeauftragten fremd war. Eine Regelung hat man europaweit daher nur für besonders gefahrgeneigte Verarbeitungsvorgänge getroffen und in Art. 37 DSGVO niedergeschrieben. Deutschland hingegen hat von der Öffnungsklausel Gebrauch gemacht und hält an der Notwendigkeit, einen Datenschutzbeauftragten ab einer bestimmten Anzahl von Mitarbeitern zu bestellen, fest. Dabei ist die Regelung des § 38 BDSG-neu vom WOrtlaut her mit der bisherigen Regelung des § 4f BDSG fast identisch. In der Gesetzesbegründung heißt es auch ausdrücklich, dass die Regelung “inhaltlich an den bisherigen § 4f Absatz 1 Satz 4 BDSG a. F. angelehnt” ist (vgl. BT-Drucks. 18/11325, S. 107). Danach müsste die bisherige Meinung eigentlich übertragbar sein.

Für eine Beibehaltung dahingehend, dass zumindest der Geschäftsführer nicht mitgerechnet wird, ebenso wenig Gesellschafter, spricht auch der § 28 Abs. 8 BDSG-neu. Dieser definiert den “Beschäftigten” im Sinne des Bundesdatenschutzgesetzes:

“8) Beschäftigte im Sinne dieses Gesetzes sind:

1.Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,

2.zu ihrer Berufsbildung Beschäftigte,

3.Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),

4.in anerkannten Werkstätten für behinderte Menschen Beschäftigte,

5.Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,

6.Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,

7.Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.”

Argumente gegen das Mitzählen des Geschäftsführers und der Gesellschafter

Also alles klar? Können sich Unternehmen schon freuen, und Geschäftsführer und Gesellschafter außen vor lassen? Damit würden sicher einige kleinere Betriebe unter die Schwelle zur Bestellung eines Datenschutzbeauftragten kommen. Nein, ganz so einfach ist es leider nicht.

Gerade dem letzten Argument kann man entgegenhalten, dass § 38 BDSG-neu das Verb “beschäftigt” und § 26 Abs. 8 BDSG-neu das Substantiv “Beschäftigter” verwendet. Ist damit dann dasselbe gemeint? Weiter spricht die Formulierung “Der Verantwortliche benennt, soweit er beschäftigt” von einer Abstrahierung des Verantwortlichen. Schließlich ist es unerheblich für das Risiko, das mit der Datenverarbeitung einhergeht, ob auf die Daten Geschäftsführer, Gesellschafter oder einfache Mitarbeiter zugreifen. Umso mehr Personen automatisiert verarbeiten, desto größer das Risiko. So scheinen es auch die meisten Aufsichtsbehörden zu sehen, welche die Geschäftsführer und Gesellschafter offenbar mitzählen.

Hier wird wohl erst eine Gerichtsentscheidung Klarheit schaffen. Der EuGH ist hier aber nicht berufen, da es sich um eine deutsche Regelung handelt, die auch nicht auf eine Richtlinie zurückgeht.

Sicherster Weg: Zählen Sie mit!

DSGVO: Handreichung des BayLDA für kleine Unternehmen und Vereine

64 Tage: So lange haben Unternehmen noch Zeit, sich auf die Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) vorzubereiten. Trotz der langen Übergangszeit von zwei Jahren sind viele Unternehmen jetzt erst dabei, die entsprechenden Maßnahmen zu ergreifen. Dies zeigt auch die anwaltliche Praxis von uns Datenschutzanwälte, die wir uns derzeit vor Anfragen nicht mehr „retten“ können.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun Handreichungen für kleine Unternehmen und Vereine veröffentlicht, die diese bei der Umsetzung der Datenschutzmaßnahmen unterstützen sollen.

Arztpraxen

Sie enthalten auch überraschende Äußerungen der Datenschutzbehörde: So soll in Arztpraxen mit weniger als 10 Mitarbeitern, die ständig automatisiert Daten verarbeiten, nach Ansicht des BayLDA kein Datenschutzbeauftragter notwendig sein. Darüber kann man aber trefflich streiten: Art. 37 DSGVO sieht vor, dass ein Datenschutzbeauftragter auch dann bestellt werden soll, wenn

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Unklar ist, was unter Kerntätigkeit zu verstehen ist. Bei Ärzten ist zwar die Kerntätigkeit die Behandlung von Patienten, man hätte aber durchaus argumentieren können, dass im Rahmen dieser Behandlung ja auch die besonderen Kategorien personenbezogener Daten in Form von Gesundheitsdaten anfallen, sodass sie auch bei weniger als 10 Personen unter die Verpflichtung zur Bestellung eines Datenschutzbeauftragten fallen. Dies sieht das BayLDA offenbar nicht so.

Auch eine Datenschutz-Folgenabschätzung soll bei Arztpraxen nicht standardmäßig erforderlich sein. Art. 35 Abs. 3 DSGVO sieht vor:

(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

a) (…)

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder (…)

Das BayLDA vertritt die Auffassung, dass „auch bei Gesundheitsdaten nicht immer ein hohes Risiko bei der Datenverarbeitung“ bestehe. Auch dies kann man anders sehen.

 Steuerberater

Auch Steuerberater fallen laut BayLDA nicht unter Art. 37 Abs. 1 lit. c DSGVO, obwohl auch diese im Rahmen der Lohnabrechnungen besondere Kategorien personenbezogener Daten verarbeiten in Form der religiösen Überzeugung (Art. 9 Abs. 1 DSGVO).

Weitere Sicherheitslücke im beA

Nachdem das beA durch die vom Hacker Markus Drenger aufgedeckte Sicherheitslücke (eine gute Zusammenfassung findet sich bei FAZ Einspruch und bei SPIEGEL online) jetzt erst einmal offline bleibt und dies gute zehn Stunden vor Inkrafttreten der passiven Nutzungspflicht, hat Markus Drenger erneut eine Sicherheitslücke aufgedeckt:

Die beA-Webanwendung ist anfällig für XSS-Attacken. Bei diesem sog. Cross-Site-Skripting wird die Webanwendung zum Ausführen von Schadcode gebracht. In dem bereitgestellten Video zeigt Drenger, wie er durch eine einfache Änderung der URL den Browser dazu bringt, dass ein neuer Tab geöffnet wird.

Die Verhinderung von XSS-Attacken gehört zum Einmaleins eines jeden Webentwicklers.

Weiter rät die BRAK, die Kanzleirechner auf Viren zu überprüfen. Es besteht der Verdacht, dass einzelne Rechner sich in Folge der Installation des unsicheren Zertifikats einen Schädling eingefangen haben.

beA: BRAK lässt Nutzer unsicheres Zertifikat installieren

Nachdem unsere Kanzlei schon seit März weitgehend problemlos mit beA arbeitet, haben sich die letzten Wochen die Ausfälle gehäuft: Mehrmals war aufgrund von Netzwerkproblemen das beA nicht erreichbar.

Heute dann eine neue Überraschung: Ein Zertifikat, das für die beA-Anwendung erforderlich ist, ist ausgelaufen und muss nun manuell installiert werden. Die BRAK wurde nach eigenen Angaben erst gestern informiert.

Eine Anleitung zur Installation des Zertifikats stellt die BRAK hier bereit.

Sollte das beA nach diesen Schritten noch nicht gehen, habe ich die Erfahrung gemacht, dass eine Neuinstallation des beA-Clients Abhilfe schafft.

Als großer Befürworter des elektronischen Rechtsverkehrs darf ich an dieser Stelle doch eine Kritik äußern: Vorfälle wie der heutige führen leider bei den beA-Skeptikern nicht zu einer Akzeptanz des Systems. Gerade nicht so IT-affine Anwälte werden bei der Durchführung solcher Abhilfemaßnahmen Probleme haben.

Auch die neue RA MICRO Schnittstelle. die noch sehr viele Fehler aufweist und teilweise mehrmals täglich gepatcht wird von RA MICRO, spielt den Kritikern leider in die Hände.

Update am 22.12.2017, 17:06 Uhr: Laut einer Meldung von heise wurde anstatt des öffentlichen Schlüssels der private Schlüssel durch den beA-Client verteilt. Da der private Schlüssel kompromittiert wurde, musste er für ungültig erklärt werden, womit die manuelle Installation notwendig wurde. heise bezeichnet den Vorfall als "schwere Panne". Zurecht.

Update am 24.12.2017: Die Anleitung zur Installation des Zertifikats ist mittlerweile offline. Das beA ist über Weihnachten im Wartungsmodus. Wie Golem berichtet führt die Installation des Zertifikats dazu, dass sich gefälschte Webseiten als Originale ausgeben könnten. In die https-Architektur wird damit eine riesige Sicherheitlücke gerissen. Nutzer sollten das Zertifikat der BRAK umgehend wieder deinstallieren.