comp/lex Fragestunde Nr. 2 (April 2020) – Fragen und Antworten

Am 27. April fand unsere zweite comp/lex Fragestunde statt! Als Nachlese fassen wir hier die Fragen und Antworten kurz zusammen.

Frage 1: Wie können wir Domains pfänden?

Frage: Ein Arzt, für dessen Praxis wir gearbeitet haben, hat sich vor 3 Jahren eine Reihe von Domains auf seine Privatadresse von uns reservieren lassen, keine Webseite dahinter, nur die Domains. Das Hosting dieser Domains berechnen wir jährlich im Voraus. Die Rechnung von Anfang 2019 ist nach wie vor offen, trotz Mahnung. Die für 2020 auch. Nun ist die Frage, ob und wenn ja unter welchen Voraussetzungen, wir uns diese Domains übertragen lassen könnten, quasi als Pfand o.ä. Die Domains haben nämlich durchaus einen Wert, denn sie beziehen sich allgemein auf Leistungen im Bereich der Telemedizin.

Antwort: Domains sind durchaus pfändbar, d.h. sie lassen sich “zu Geld machen”, falls z.B. ein Kunde nicht zahlt. Das setzt allerdings voraus, dass die Voraussetzungen für eine Zwangsvollstreckung erfüllt sind. Dazu muss zunächst ein Vollstreckungstitel vorliegen, beispielsweise durch ein gerichtliches Urteil oder durch einen Mahn-/Vollstreckungsbescheid, dem nicht widersprochen wurde.

Liegt ein Vollstreckungstitel vor, lässt sich unter bestimmten Voraussetzungen “in die Domain” vollstrecken. Was es dabei im Detail zu beachten gibt, kann man in diesem Beitrag gut nachlesen.

Frage 2: Haftung für Datensicherheit?

Frage: Wie sicher ist sicher? Um meine Datenbank abzusichern, möchte ich eine Verschlüsselung der Daten einführen. Natürlich ist keine Sicherheitsmaßnahme der Welt perfekt. Wann kann ich als Geschäftsführer belangt werden, falls Daten gestohlen werden?

Antwort: Wir verstehen die Frage so, dass es um die persönliche Haftung des Geschäftsführers für Mängel in der Datensicherheit des Unternehmens geht. (Um das Unternehmen selbst vor einer Haftung für sog. Cyberschäden, d.h. durch Angriffe auf die IT-Infrastruktur von außen, zu schützen, empfehlen wir zunächst den Abschluss einer entsprechenden Versicherung. Dazu in Kürze mehr hier im Blog.)

Wenn ein Unternehmen Schäden verursacht oder erleidet, kann hierfür unter Umständen die Geschäftsleitung persönlich haften – nämlich vor allem dann, wenn sie keine ausreichenden organisatorischen Maßnahmen trifft, um diesen Schäden vorzubeugen. Im konkreten Fall müssen Sie also nachweisen können, dass Sie sich entweder selbst über einen sinnvollen Sicherheitsstandard für Ihre Datenhaltung informiert und diesen in die Wege geleitet oder sich entsprechend haben beraten lassen haben und der Empfehlung des Beraters gefolgt sind. Wenn Sie selbst nicht zu einem Thema keine ausreichende Expertise haben, müssen Sie sich entsprechende Beratung ins Haus holen und deren Empfehlungen auch umsetzen (lassen). Tun Sie dies nicht, können Sie persönlich haften. Dies gilt übrigens auch für den Bereich des Datenschutzes.

Frage 3

Frage: Wie kann sinnvoll unterschieden werden, wann personenbezogene Daten an Drittanbieter Tools geschickt werden und wann nicht? Als Grundlage sind die Nutzungsrichtlinien zu Googles „Universal Analytics“, besser bekannt unter „Google Analytics“ interessant: https://support.google.com/analytics/answer/2795983?hl=de

„Analytics-Nutzer dürfen keine personenbezogenen Daten an Google senden“ Wenn hier keine personenbezogenen Daten verarbeitet werden, dann greift doch eigentlich die DSGVO nicht. Wodurch wird die Datenweitergabe von nicht personenbezogener Daten an Drittanbieter geregelt?

Antwort: Das Hauptproblem beim Einsatz von Google Analytics ohne Einwilligung sind derzeit nicht die Vorgaben der DSGVO, sondern die der EPrivacy-Richtlinie zum Einsatz von Cookies. Was die Vorgaben der DSGVO angeht, reicht es aus, die Datenfreigabe in den Google-Analytics-Einstellungen zu deaktivieren und eine AV-Vereinbarung mit Google abzuschließen. Allerdings verlangt die EPrivacy-Richtlinie zusätzlich die Einwilligung der Nutzer, wenn eine Anwendung Cookies setzt, die nicht technisch erforderlich sind. Der Cookie-Einsatz bei Google Analytics lässt sich unseres Wissens kaum praktikabel deaktivieren. Außerdem werden Google-Cookies von den meisten Datenschutz-Experten nicht als technisch erforderlich angesehen.

Frage 4

Frage: Wofür haften Freiberufler?

Antwort: Die Haftung von Freiberuflern ist im Grunde nicht anders geregelt als für gewerblich tätige Unternehmen und Unternehmer. Der einzige Unterschied vor allem zur Kapitalgesellschaft (UG / GmbH / Aktiengesellschaft) liegt darin, dass sich die Haftung der Höhe nach nicht beschränken lässt. Freiberufler haften vor allem dann, wenn sie ihre vertraglichen Pflichten verletzen. Wie in diesem Beitrag erklärt, kann man sich vor so einer Haftung vor allem dadurch schützen, dass man seine Leistungspflichten vertraglich beschränkt – oder durch eine gute Versicherung.

Frage 5: Rechtliche Musterdokumente als Hilfe für Kunden?

Frage: Wir bieten eine Softwarelösung für Unternehmenskunden (als SaaS-Lösung), die diese als Service für ihre Endkunden einsetzen. Dabei sind wir für unsere Kunden als Auftragsverarbeiter tätig und treten auch nicht als Vertragspartner in Erscheinung. Trotzdem möchten wir unseren Kunden rechtliche Hilfestellung in Form von Musterverträgen, Datenschutzhinweisen etc. geben. Was müssen wir dabei beachten?

Es ist durchaus möglich, seinen Kunden Musterverträge oder Muster-Datenschutzhinweise an die Hand zu geben. Allerdings müssen Unternehmen wegen der Einschränkungen des Rechtsdienstleistungsgesetzes (RDG) hier ein wenig aufpassen. Sie müssen vor allem zwei Dinge beachten. Erstens sollten Sie darauf hinweisen, dass die Informationen keinen Rechtsrat ersetzen, unverbindlich sind und der Kunde sie selbst nochmals rechtlich prüfen lassen sollte. Zweitens dürfen Sie rechtliche Fragen des Kunden zu den Informationen nicht beantworten, zumindest nicht inviduell für einzelne Kunden (Anmerkungen z.B. in FAQ-Dokumenten sind in gewissem Umfang zulässig). Das wäre eine Rechtsberatung im Einzelfall, die vor allem Rechtsanwälten vorbehalten bleibt.

Frage 6: IP-Adressen als personenbezogenes Datum?

Frage: Handelt es sich im Fall einer IP Adresse wirklich um ein personenbezogenes Datum? In Streitigkeiten um das Urheberrecht bei Downloads ist es möglich nachzuweisen, dass Internetanschlüsse von mehreren Personen genutzt werden können und damit die externe IP Adresse eines Internetanschlusses die beklagte Person nicht eindeutig identifizieren kann. Auch in Single-Haushalten war es wohl möglich zu argumentieren, dass trotz aller möglicher Sicherheitsmaßnahmen der Internetanschluss mit WLAN unbefugt genutzt worden sein kann. Mit dieser Auslegung ist die IP Adresse kein personenbezogenes Datum mehr wodurch die meisten Drittanbieter Plugins ohne weitere Zustimmung des Benutzers eingebunden werden können.

Antwort: Wir können die Argumentation zwar nachvollziehen, aber für die Einordnung von IP-Adressen als personenbezogene Daten im Sinne der DSGVO lässt sie sich kaum heranziehen. In den Urheberrechtsfällen kommt es auf einzelne Adressen an, in Datenschutzfällen immer auf IP-Adressen als Informationen mit potenziellem Personenbezug. Die Definition des personenbezogenen Datums in Art. 4 Nr. 1 geht so weit, dass nach aktuell herrschender Ansicht IP-Adressen auch dann erfasst sind, wenn sie dynamisch vergeben werden.

Sie haben auch Fragen?

Sie haben auch Fragen zum IT- und Datenschutzrecht und zu dem, was wir in diesen Bereichen tun? Nehmen Sie gerne Kontakt zu uns auf.