Datenschutz Blog.
Das OLG Düsseldorf hat am 3.11.2009 (Az. I-20 U 137/09) eine Entscheidung zur Rechtmäßigkeit der Verwendung von E-Mail Adressen zu Werbezwecken getroffen. Danach sollte sich der Käufer von E-Mail Adressen nicht auf die allgemein gehaltene Zusicherung des Verkäufers der Adressen verlassen, die Empfänger hätten in die Verwendung ihrer E-Mail Adressen zu Werbezwecken durch Dritte eingewilligt.
Die verdeckte Online-Bonitätsprüfung vor Abschluss von Verträgen im Internet erfreut sich hoher Beliebtheit. Aus der Sicht der Verkäufer ist dies verständlich, da sich das Zahlungsausfallrisiko hinsichtlich unzuverlässiger Kunden erheblich verringert. Aus der Sicht der Käufer ist diese Entwicklung jedoch nicht unproblematisch. Durch die Hintergrund-Überprüfung wird schließlich eine ausgesprochen private Information offengelegt, ohne dass der Betroffene hiervon Kenntnis erhält.
Die obersten Datenschutz-Aufsichtsbehörden haben Ende November einen Beschluss erlassen, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit ist in der Praxis von der Verwendung von Google Analytics (und ähnlicher Tools) in seiner derzeitigen Form in den meisten Fällen abzuraten.
Der BGH hat im Juli dieses Jahres die strafrechtlich relevante Garantenpflicht eines Leiters der Innenrevision einer Anstalt des öffentlichen Rechts bejaht und die Verurteilung zur Betrugsbehilfe durch Unterlassen bestätigt (Az. 5 StR 394/08). Zugleich hat der BGH ausgeführt, dass vergleichbare Maßstäbe auch für „Compliance Officer“ in Unternehmen anwendbar seien. In diesem Beitrag soll geklärt werden, ob die strafrechtlichen Überlegungen des BGH auch auf die Stellung des Datenschutzbeauftragten im Betrieb übertragen werden können.
Wie bereits kürzlich behandelt kann der Datenschutzbeauftragte bei Verstößen gegen das Datenschutzrecht nur in Ausnahmefällen direkt von den Betroffenen haftungsrechtlich zur Verantwortung gezogen werden. Haftungsgegner ist in solchen Fällen das Unternehmen selbst. Damit stellt sich die Frage, ob und wann das zur Haftung herangezogene Unternehmen bei einem Verstoß gegen Datenschutzrecht Rückgriff gegenüber dem Datenschutzbeauftragen nehmen kann.
IITR Datenschutz-Videos
