DSGVO und Datenschutzbehörden

Internetrecht | Facebook Fanpage

Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom Juni 2018 entschieden, dass Betreiber von Facebook-Fanpages für Datenverarbeitungen von Facebook mitverantwortlich sein können. In seinem Urteil vom Juli 2020 hat der EuGH die EU-US-Datenschutzvereinbarung "Privacy Shield" für nichtig erklärt.

    Lesen Sie mehr ›

Wegen dieses Urteils fehlt aktuell auch eine allgemeingültige Rechtsgrundlage für die Übermittlung personenbezogene Daten von EU-Bürgern in die USA, dem Sitz Facebooks.

Der Hessische Datenschutzbeauftragte fasst in seinem Artikel die vollständige Gerichtshistorie bzgl. der Fanpages zusammen und kommt zu folgendem Ergebnis:
"Solange Facebook die Datenverarbeitung bei seinen "Seiten" nicht

• ausreichend transparent macht,
• den Seiten-Betreibern eine Vereinbarung zur Verfügung stellt, die den Ansprüchen des Art. 26 DS-GVO genügt,
• nachweisbar die Anforderungen des § 25 TTDSG erfüllt,
• sich nachweisbar an die Grenzen zulässiger Datenverarbeitung hält und
• nachweisbar notwendige Schutzmaßnahmen zur Absicherung des Datentransfers in die USA ergreift,

begegnet der Betrieb von Facebook-Seiten erheblichen datenschutzrechtlichen Bedenken."

Und er gibt noch den wichtigen Hinweis für die Praxis, dass diese Bedenken "ohne die aktive Unterstützung durch Facebook von den Seiten-Betreibern alleine weder ausgeräumt, noch - beispielsweise durch das Einholen von Einwilligungen - umgangen werden können."

Den vollständigen Artikel des Hessischen Beauftragten für Datenschutz und Informationsfreiheit finden Sie hier (externer Link).

Zum Seitenanfang 

Internetrecht | Google Analytics ist unzulässig

Die Österreichische Datenschutzbehörde hatte den Einsatz von Google Analytics auf der Website eines österreichischen Unternehmens zu überprüfen und festgestellt, dass die Standardvertragsklauseln ohne zusätzliche Sicherungsmaßnahmen als Rechtsgrundlage für den Datentransfer in die USA nicht ausreichen.

    Lesen Sie mehr ›

Die amerikanischen Sicherheitsbehörden können nach der aktuellen US-Rechtslage auf personenbezogenen Daten, die auf Googles Servern gespeichert werden, zugreifen. Die Standardvertragsklauseln allein bieten keinen Schutz vor diesem Zugriff. Zusätzliche Sicherungsmaßnahmen wurden nicht vereinbart und werden von Google auch nicht angeboten.

Droht das nächste Verbot in den Niederlanden?
Die niederländische Behörde für persönliche Daten untersucht ebenfalls den Einsatz von Google Analytics in den Niederlanden und wird in den nächsten Wochen seine Entscheidung treffen. Es zeichnet sich dort ebenfalls ein Verbot des beliebten Analysetools ab.

Mehr Informationen zu den Standardvertragsklauseln und zum Verbot des Privacy Shields finden Sie in unserem janoGo! von 2020 ›

In unserem janoGo! Experteninterview erläutert econda die DSGVO-konforme Webanalyse ›

Zum Seitenanfang 

Internetrecht | Wettbewerbsbehörde wird aktiv

Die Zentrale zur Bekämpfung unlauteren Wettbewerbs Frankfurt am Main e. V. (kurz: Wettbewerbszentrale) hat vor dem LG Frankfurt ein äußerst praxisrelevantes Urteil erstritten. Die Wettbewerbszentrale hat bei einer Überprüfung herausgefunden, dass Tracking-Cookies trotz eines vorgeschalteten Banners auch ohne Einwilligung gesetzt wurden.

    Lesen Sie mehr ›

Der beklagte Webseitenbetreiber setzte Tracking-Cookies der Anbieter Criteo, Facebook, Google Analytics, Hotjar und Microsoft Ads ein. Durch diese Cookies wurde u.a. Conversion Tracking, Erstellung von Nutzungsstatistiken und Ausspielen zielgruppenbasierter Werbung ermöglicht. Der eingebaute Cookie-Banner ermöglichte zwar, nicht notwendige Cookies der Gruppen "Statistik", "Marketing", "Dienste von Drittanbietern" auszuwählen oder zu deaktivieren. Die Wettbewerbszentrale fand aber heraus, dass diese Auswahl tatsächlich keine Auswirkung hatte. Beim Webseitenbesucher wurden immer alle Cookies gesetzt.

Haftung liegt beim Webseitenbetreiber!

Der Webseitenbetreiber machte zu seiner Verteidigung ein technisches Versehen geltend. Er behauptete, dass sein externer Banner-Anbieter Prozesse umgestellt habe, ohne ihn zu informieren. Dafür könne er keine Verantwortung tragen.

Mit dieser Verteidigung hatte vor dem LG Frankfurt keinen Erfolg. Nach Ansicht des Gerichts hafte er als verantwortlicher Webseitenbetreiber auch für Fehler seines externen Banner-Anbieters. Die wettbewerbsrechtlich relevante Irreführung erkannten die Richter darin, dass Webseitenbesucher in Kenntnis der tatsächlich erfolgten Cookie-Setzung die Webseite wieder verlassen und die Angebote/Inhalte dann auch nicht ausführlicher gelesen hätten.

Das Urteil ist noch nicht rechtskräftig.

Zur Pressemitteilung (externer Link).

Zum Seitenanfang 

Internetrecht | Datenschutzbehörden werden aktiv

Im Schrems II-Urteil hat der EuGH festgestellt, dass personenbezogene Daten nur dann in ein Land außerhalb des DSGVO-Geltungsbereichs (ein sog. Drittland) übermittelt werden dürfen, wenn dort ein mit der DSGVO vergleichbares Schutzniveau besteht. Dies sei aber in der USA nicht der Fall.

    Lesen Sie mehr ›

Die Datenschutzaufsichtsbehörden sind dazu verpflichtet, die Einhaltung des von der DSGVO gewährleisteten Schutzniveaus sicherzustellen. Der Hessische Datenschutzbeauftragte sieht dringenden Handlungsbedarf bei vielen und zum Teil auch ganz alltäglichen Datenverarbeitungsvorgängen, wie z. B. den seit Lockdown-Zeiten beliebten Videokonferenzsystem amerikanischer Anbieter.

Er erwartet, dass die verantwortlichen Stellen nachweisen können, dass sie sich mit dieser Problematik auseinandergesetzt und nötigenfalls auch schon Schritte zur Behebung eingeleitet haben. So sollen die Unternehmen und Behörden z. B. bei den Videokonferenzsystemen zügig zu datenschutzgerecht arbeitenden Alternativanbietern wechseln.

Bei komplexeren, nicht so einfach austauschbaren Datenverarbeitungsverfahren muss zumindest ein angemessener Fahrplan für die Herstellung einer datenschutzgerechten Verarbeitung erstellt werden. Diesen Fahrplan muss man der Datenschutzbehörde auch vorlegen können. Nur dann kann sie auch notwendige Umsetzungszeiträume berücksichtigen.

Zur Pressemitteilung (externer Link).

Zum Seitenanfang 

Internetrecht | Angemessenheitsbeschluss nach dem Brexit

Nach dem Austritt aus der EU und damit auch aus dem Geltungsbereich der DSGVO musste die Datenübermittlung aus der EU in das Vereinigte Königreich auf neue rechtliche Füße gestellt werden. Die Europäische Kommission hat nun zwei Angemessenheitsbeschlüsse angenommen.

    Lesen Sie mehr ›

Mit einem Angemessenheitsbeschluss wird festgestellt, dass personenbezogene Daten in einem bestimmten Drittland einen mit dem Europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen. Diese Daten dürfen dann, sofern die sonstigen Bestimmungen der DSGVO eingehalten werden, ohne weitere Genehmigung in das jeweilige Land übermittelt werden.

Ohne diese Angemessenheitsbeschlüsse wäre auf datenexportierende Unternehmen mehr Arbeit zugekommen. Die Problematik ist mit dem Datenexport in die USA vergleichbar, die ebenfalls als Drittland im Sinne der DSGVO eingestuft wurden. Als (Übergangs-) Lösung bieten sich in erster Linie die Standarddatenschutzklauseln an. Bei den Standardvertragsklauseln handelt es sich um einzelvertragliche Regelungen zwischen Unternehmen aus der EU und dem Vereinigten Königreich.

Auf diese umständliche Lösung müssen Unternehmen, die Daten in das Vereinigte Königreich exportieren, aber nun nicht zurückgreifen. Die Europäische Kommission hat zwei Angemessenheitsbeschlüsse angenommen, einen im Rahmen der DSGVO und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung. Die Geltungsdauer der Beschlüsse ist auf vier Jahre begrenzt.

Zur Pressemitteilung (externer Link).


Hinweis: Die mehrsprachigen AGB Pakete von janolaw sind nicht für den gezielten Verkauf an Kunden im Vereinigten Königreich geeignet. Bei den Rechtsdokumenten in englischer und französischer Sprache handelt es sich lediglich um Übersetzungen. Insbesondere die AGB müssen aber mit der Rechtslage im jeweiligen Zielland übereinstimmen.

Zum Seitenanfang 

Internetrecht | Telefax - eine datenschutzrechtliche Falle

Von außen betrachtet erscheint das Gerät altertümlich, die Übertragungswege sind aber auf dem neuesten und damit datenschutzrechtlich problematischen Stand. Eine Orientierungshilfe der Landesbeauftragten für Datenschutz in Bremen hat Wellen geschlagen. Steht das Telefax vor dem Aus?

    Lesen Sie mehr ›

Die E-Mail hat in den letzten Jahren das Telefax aus vielen Unternehmen verdrängt. In einigen Unternehmen vollständig, in anderen Unternehmen steht ein Gerät nur noch pro forma zur Verfügung. Die im Impressum genannte Fax-Nummer wird nur noch selten gewählt.

Aus datenschutzrechtlicher Sicht war das "alte" Telefax der E-Mail überlegen, da beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt wurden. Um das Telefax wieder konkurrenzfähig zu machen, wurden die Übertragungswege modernisiert und auf Internet-Technologie gesetzt.

Die Daten werden nun paketweise in Netzen transportiert. Und diese Daten werden auch immer häufiger nicht von realen Fax-Geräten empfangen, sondern automatisiert in eine E-Mail umgewandelt und dann an besondere E-Mail-Postfächer weitergeleitet.

Nach einer Überprüfung und Bewertung dieser neuen Übertragungswege kommt die Datenschutzbehörde zu folgendem Ergebnis:

• es gibt keine Sicherungsmaßnahmen bzgl. der Vertraulichkeit der Daten
• das Sicherheitsniveau gleicht einer unverschlüsselten E-Mail
  (und diese E-Mails gleichen Postkarten)
• in der Regel sollten personenbezogene Daten so nicht übermittelt werden

Die Behörde wird bzgl. der Übertragung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (d. h. Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) deutlich und hält die Nutzung von Fax-Diensten für unzulässig. In diesen Fällen muss der Versender auf sichere Alternativen zurückgreifen:

• Ende-zu-Ende verschlüsselte E-Mails
• per Post versandte Briefe

Zur Orientierungshilfe (externer Link).

Zum Seitenanfang 

Internetrecht | Geldentschädigung für unerhebliche Datenschutzverstöße?

Das Amtsgericht (AG) Goslar hat in einem Verfahren wegen unerlaubter E-Mail Werbung einen Schadenersatzanspruch abgelehnt, weil es im Empfang einer einzigen unerlaubten Werbemail noch keinen auszugleichenden Schaden gesehen hat. Das BVerfG meint, dass über diese rechtliche Wertung zuerst der EuGH Stellung beziehen muss.

    Lesen Sie mehr ›

Ausgelöst wurde der Fall von einem Rechtsanwalt, der ohne Einwilligung eine Werbe-E-Mail erhielt und daraufhin u. a. Schmerzensgeld in Höhe von mindestens 500 Euro vom Absender verlangte. Da das AG Goslar die Klage in diesem Punkt abgewiesen hat, ist der Kläger vor das Bundesverfassungsgericht (BVerfG) gezogen und hat dort einen Teilerfolg erzielt.

Das BVerfG hat auf die bislang noch fehlende Konkretisierung der Voraussetzungen eines Schadenersatzanspruchs hingewiesen und deutlich gemacht, dass diese Konkretisierung noch und nur durch den EuGH vorgenommen werden müsste:

"Die angegriffene Entscheidung zeigt, dass das Amtsgericht die Problematik der Auslegung des Art. 82 Abs. 1 DSGVO durchaus gesehen hat. Es hat sodann aber verfassungsrechtlich relevant fehlerhaft eine eigene Auslegung des Unionsrechts vorgenommen, indem es sich für die Ablehnung des Anspruchs auf ein Merkmal fehlender Erheblichkeit gestützt hat, das so weder unmittelbar in der DSGVO angelegt ist, noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet wird."

Das BVerfG hat das Urteil aufgehoben und den Fall zurückverwiesen. Es obliegt nun dem AG Goslar, dem EuGH die Frage zur Beantwortung vorzulegen, ob auch sog. Bagatellverstöße schon einen Schadenersatzanspruch auslösen.

Zur Entscheidung des BVerfG (externer Link).

Zum Seitenanfang 

Internetrecht | Anforderungen an einen Cookie- und Consent-Banner

Der Thüringer Landesdatenschutzbeauftragte (TLfDI) erhielt eine Beschwerde hinsichtlich der Nichteinhaltung des Datenschutzes, insbesondere in Bezug auf den Einsatz und die Ausgestaltung der Cookies und des Cookie-Banners auf einer Shop-Website. Daraufhin schickte die Behörde einen Fragen- und Forderungskatalog an den Shopbetreiber.

    Lesen Sie mehr ›

Nach einer eingehenden Untersuchung des Shops aufgrund einer Beschwerde hat die Behörde zunächst festgestellt, dass bereits mit dem Öffnen der Seite und damit vor einer möglichen Auswahl im Consent-Banner ein Script eines Trackingtools geladen wurde. Weiterhin hatte auch ein Klick auf die Buttons "alle Cookies ablehnen" oder "alle Cookies annehmen" keine Auswirkungen, der Banner funktionierte also gar nicht.

Der Forderungskatalog an den datenschutzrechtlich Verantwortlichen enthielt daher bzgl. der Ausgestaltung eines Consent-Banners folgende Punkte:

• Für den Betrieb der Website technisch nicht notwendige Cookies dürfen erst gesetzt werden, wenn der Nutzer wirksam eingewilligt hat. Auch dürfen im Consent-Banner Kategorien oder Cookies/Dienste, die für den technischen Betrieb der Website nicht notwendig sind, auch nicht vorausgewählt sein.
• Tracking-Programme dürfen nicht bereits mit dem Öffnen der Seite und damit vor einer eventuellen Einwilligungserklärung aktiv werden. Der Cookies-Ablehnungsbutton muss funktionieren.
• Erscheint beim Aufruf der Website ein Consent-Banner, mit einer Schaltfläche (Button) "Akzeptieren" um alle Cookies zu akzeptieren, so hat auch eine gleichgestaltete Schaltfläche zu erscheinen, mit welcher der Nutzer die Verwendung von Cookies ablehnen kann.
• Nach Betätigung des Consent-Banners muss er auch für einen späteren Aufruf in der Navigation wieder auffindbar sein.
• Die Angaben zur Rechtsgrundlage zur Verarbeitung personenbezogener Daten durch Cookies/Dienste Dritter in der Datenschutzerklärung und im Consent-Banner dürfen sich nicht widersprechen. Wenn der Consent-Banner für den Einsatz eines Trackingtools eine Einwilligung (Rechtsgrundlage gem. Art. 6 Abs. 1a) DSGVO) vorsieht, darf in der Datenschutzerklärung der Einsatz dieses Tools nicht mit dem "berechtigen Interesse" (Rechtsgrundlage gem. Art. 6 Abs. 1f) DSGVO) begründet werden (und umgekehrt).

Dem Shopbetreiber wurde eine mehrwöchige Frist zur Stellungnahme bzw. Erfüllung des Forderungskatalogs gesetzt. Für den Fall des fruchtlosen Fristablaufs wurde der Erlass eines kostenpflichtigen Bescheids angekündigt.

Zum Seitenanfang 

Internetrecht | Das neue TTDSG soll besser mit der DSGVO harmonieren

Für Webseitenbetreiber ist insbesondere der vorgeschlagene § 24 TTDSG von Bedeutung. Dieser Paragraf soll den Umgang mit Cookies und vergleichbaren Technologien (wie z. B. das Fingerprinting-Verfahren) regeln. Die bisherige Regelung im § 15 Abs. 3 TMG ist aufgrund der Rechtsprechung des EuGH bzw. des BGH nicht mehr praxistauglich.

    Lesen Sie mehr ›

Websitebetreiber haben in der Vergangenheit oft damit argumentiert, dass ein einfacher Hinweis auf die Cookie-Nutzung (insbesondere im Rahmen von Tracking-Tools wie z. B. Google Analytics) zusammen mit einer Opt-out-Funktion rechtmäßig und ausreichend ist, da ein ausdrückliches Einwilligungserfordernis im § 15 Abs. 3 Telemediengesetz (TMG) nicht genannt wird:

"Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden."

Der BGH hat jedoch in diesen Paragrafen das Einwilligungserfordernis hineingelesen, d. h. pseudonyme Nutzungsprofile dürfen nur mit Einwilligung erstellt werden. Wird die Einwilligung nicht erteilt, ist dies als Widerspruch des Nutzers zu werten und zu akzeptieren. Der deutsche Gesetzgeber hat daraufhin angekündigt, den § 15 TMG mit dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) zu reformieren. Der aktuelle Entwurf lautet:

"§ 24 TTDSG- Entwurf

Schutz der Privatsphäre bei Endeinrichtungen

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann."

Im ersten Absatz wird nun ausdrücklich geregelt, dass der Endnutzer aufgrund von klaren und umfassenden Informationen in die Cookie-Setzung einwilligen muss. Dies betrifft insbesondere die Setzung von Tracking-Cookies. Die sog. technisch erforderlichen Cookies wären nach Absatz (2) Nr. 2 vom Einwilligungserfordernis ausgenommen. Es bleibt nur abzuwarten, ob es im weiteren Gesetzgebungsverfahren noch zu Änderungen kommt.

Zum Gesetzentwurf der Bundesregierung (externer Link)

Zum Seitenanfang 

Internetrecht | Übergangsregelung nach Brexit

Mit dem Ausscheiden des Vereinigten Königreichs (Großbritannien und Nordirland) aus der EU ist auch ein Austritt aus dem Schutzbereich der DSGVO verbunden. Das Vereinigte Königreich müsste nun aus datenschutzrechtlicher Sicht wie ein Drittstaat behandelt werden, vergleichbar mit den Vereinigten Staaten von Amerika.

    Lesen Sie mehr ›

Dieser harte Einschnitt würde insbesondere die vielfältig vertraglich miteinander verknüpften Wirtschaftsunternehmen auf beiden Seiten des Kanals vor schwierige Probleme stellen. Daher sieht die Vereinbarung für den Übergangszeitraum vor, dass der Transfer personenbezogener Daten aus der EU in das Vereinigte Königreich nicht als Transfers in einen Drittstaat anzusehen ist, solange das Königreich datenschutzrechtliche Themen künftig noch mit der EU abstimmt.

Damit gewinnen betroffene Unternehmen Zeit und können sich zunächst mit den neuen Zoll- und Steuervorgaben vertraut machen. In den nächsten Monaten wird die EU-Kommission untersuchen, ob man für das Vereinigte Königreich eine sog. Adäquanzentscheidung treffen kann. Mit diesen Angemessenheitsbeschlüssen stellt die EU-Kommission fest, dass personenbezogene Daten in einem bestimmten Drittland einen mit dem Europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen.

Folge: Personenbezogene Daten dürfen, sofern die sonstigen Bestimmungen der DSGVO eingehalten werden, ohne weitere Genehmigung an das jeweilige Land übermittelt werden. Zu diesen privilegierten Drittländern gehören aktuell:

• Andorra
• Argentinien
• Färöer-Inseln
• Guernsey
• Israel
• Isle of Man
• Japan
• Jersey
• Kanada
• Neuseeland
• Schweiz
• Uruguay

Sollte das Vereinigte Königreich nicht in diese Gruppe aufgenommen werden, kämen als Alternative die Standarddatenschutzklauseln der Kommission in Betracht. Über diese Transferklauseln wird aktuell auch bzgl. des Datentransfers in die USA beraten.

Hinweis: Die mehrsprachigen AGB Pakete von janolaw sind nicht für den gezielten Verkauf an Kunden im Vereinigten Königreich geeignet. Bei den Rechtsdokumenten in englischer und französischer Sprache handelt es sich lediglich um Übersetzungen. Insbesondere die AGB müssen aber mit der Rechtslage im jeweiligen Zielland übereinstimmen.

Zum Seitenanfang 

Internetrecht | Datenschutz bei Videokonferenzen

Datenschutzbehörden sind nicht nur Kontrollorgane, sondern sie bieten auch vorbeugend Hilfestellungen und Beratungen zu bestimmten Themen an. Der Boom von Videokonferenzsystemen hat die datenschutzrechtliche Nachfrage angekurbelt. Um ein einheitliches Vorgehen der vielen Datenschutzbehörden sicherzustellen, gibt es die DSK.

    Lesen Sie mehr ›

Als Ergebnis der letzten Konferenz der unabhängigen Datenschutzbehörden und der Länder (DSK) wurden am 13. November eine Orientierungshilfe und eine Checkliste veröffentlicht. Die Pressemitteilung (PM) richtet sich an Nutzer von Videokonferenzsystemen (die als Online-Dienst angeboten werden) und an Verantwortliche, die einen Videokonferenzdienst selbst betreiben oder von Dienstleistern betreiben lassen.

Die PM lautet:
"Anlass für die Erstellung der Orientierungshilfe und die dazugehörige Checkliste waren zunehmend Unsicherheiten bei den Anwendern und Verantwortlichen im Zusammenhang mit dem Einsatz von Videokonferenzsystemen. Die Orientierungshilfe beschreibt, welche technischen und organisatorischen Maßnahmen umzusetzen sind. Bei der Nutzung von Videokonferenzsystemen werden personenbezogene Daten der teilnehmen-den Personen sowie gegebenenfalls von Dritten verarbeitet, unter anderem deren Äußerungen in Ton und Bild. Für diese Datenverarbeitung benötigt der für die Durchführung der Videokonferenz Verantwortliche eine Rechtsgrundlage. Wird ein Videokonferenzdienst-Anbieter genutzt, der personenbezogene Daten auch für eigene Zwecke oder Zwecke Dritter nutzen will, ist eine Rechtsgrundlage für die damit verbundene Offenlegung der Daten regelmäßig schwierig zu begründen. Gegenüber einem Auftragsverarbeiter ist daher im Auftragsverarbeitungsvertrag sicherzustellen, dass dieser die personenbezogenen Daten der teilnehmenden Personen nur auf Weisung des Verantwortlichen und nicht für eigene Zwecke verarbeitet.

Zudem sind die Verantwortlichen zur Datensparsamkeit verpflichtet. Es dürfen nur die personenbezogenen Daten verarbeitet werden, die zur Zweckerreichung erforderlich sind. Dieser Grundsatz ist bereits bei der Auswahl, aber auch bei Einrichtung und Betrieb eines Videokonferenzsystems zu beachten."

Orientierungshilfe Videokonferenzsysteme (externer Link).
Checkliste Videokonferenzsysteme (externer Link).

Zum Seitenanfang 

Internetrecht | Bußgeld wegen Datenschutzverstößen bei H&M

Die Datenschutzbehörde hat ein Rekordbußgeld in Höhe von 35,5 Millionen Euro gegen das schwedische Modeunternehmen H&M verhängt. Die rechtswidrige Erfassung privater Lebensumstände der Belegschaft begann bereits im Jahr 2014, öffentlich wurde die Datenerhebung durch einen Konfigurationsfehler im Jahr 2019.

    Lesen Sie mehr ›

Durch den Konfigurationsfehler von 2019 waren die Vermerke für einige Stunden unternehmensweit zugreifbar. Bei den Vorfällen in Nürnberg handelte es sich um schwere Eingriffe in die Rechte der Betroffenen. In folgendem Ausmaß kontrollierte die Center-Leitung die Beschäftigten:

"Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten - auch kurzer Art - führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u. a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen."
(Auszug aus der Pressemitteilung der Datenschutzbehörde)

H&M zeigte sich nach der Aufdeckung dieser Verstöße kooperativ und half aktiv bei der Aufklärung des Vorfalls mit. Zusätzlich erklärte sich das Unternehmen bereit, den betroffenen Beschäftigten einen Schadensersatz auszuzahlen. Diese Maßnahmen konnten aber nicht verhindern, dass die Datenschutzbehörde aufgrund der Schwere der Verstöße ein Rekordbußgeld verhängte. H&M kündigte an, den Bußgeldbescheid überprüfen zu wollen.

Zur Pressemitteilung (externer Link).

Zum Seitenanfang 

Internetrecht | Orientierungshilfe zum Datentransfer in die USA

Die Datenschutzbehörde hat eine Orientierungshilfe veröffentlicht mit Angaben zur Rechtslage, den nun folgenden Schritten der Behörde sowie einer Checkliste. Die Orientierungshilfe wendet sich in erster Linie zwar nur an Unternehmen mit Sitz in Baden-Württemberg, die Ausführungen und Anforderungen sind aber für alle Unternehmen relevant.

    Lesen Sie mehr ›

Das EuGH-Urteil ist zwar aus der Tagespresse verschwunden, aber es wurde von den Datenschutzbehörden nicht vergessen. Die Datenschutzbehörde Baden-Württemberg (LfDI) zeigt jedoch Verständnis für die Schwierigkeiten, vor der Unternehmen aktuell bei der Nutzung von Dienstleistungen von Microsoft, Zoom und Co. stehen, denn ohne wirksame Rechtsgrundlage ist ein Datentransfer in die USA verboten.

Zwar kommen auf den ersten Blick die von der EU-Kommission zur Verfügung gestellten Standardvertragsklauseln als alternative Rechtsgrundlage in Betracht. Aber auch diese Klauseln können kein Schutzniveau für personenbezogene Daten sicherstellen, das dem der EU entspricht. Grund: Diese Klauseln regeln nur das Verhältnis zwischen den Vertragsparteien, US-Behörden und Geheimdienste sind daran nicht gebunden.

So lautet die Kernforderung der Behörde auch (Auszug aus der Orientierungshilfe vom 25.08.2020):

"Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden."

Mit "Alternativangeboten ohne Transferproblematik" sind insbesondere EU-Dienstleister gemeint, die personenbezogene Daten auch nur auf einem Server in der EU speichern.

Orientierungshilfe "Internationaler Datentransfer" (externer Link).

Zur Pressemitteilung (externer Link).

Zum Seitenanfang 

Internetrecht | Bußgelder werden höher

Der Landesbeauftragte für Datenschutz (LfDI) greift auch bei vermeintlich harmlosen Gewinnspielen durch und verhängt ein Bußgeld in Millionenhöhe gegen die AOK Baden-Württemberg, einer Körperschaft des öffentlichen Rechts. Der Fall ist aber auch für Unternehmen des Privatrechts relevant.

    Lesen Sie mehr ›

Es geht um Gewinnspiele, die die AOK im Zeitraum von 2015 bis 2019 veranstaltete. Zur Teilnahme an diesen Gewinnspielen sollten Kontaktdaten und Krankenkassenzugehörigkeit (= personenbezogenen Daten) angegeben werden. Die AOK hatte mit der Durchführung der Gewinnspiele auch werbliche Hintergedanken: Sie wollte an die Gewinnspielteilnehmern im Nachgang Werbung versenden. Der AOK war die Erforderlichkeit einer ausdrücklichen Werbeeinwilligung seitens der Teilnehmer zwar bewusst, die dafür getroffenen organisatorischen Maßnahmen (u. a. interne Richtlinien und Datenschutzschulungen) griffen jedoch nicht zu 100%. Daher erhielten im bezeichneten Zeitraum auch 500 Teilnehmer Werbung, die dazu keine Einwilligung erteilt hatten.

Es handelt sich hier um einen klassischen Fall einer unzumutbaren Belästigung im Sinne des § 7 Gesetz gegen den unlauteren Wettbewerb (UWG), der in der Vergangenheit häufig nur mit einer strafbewehrten Unterlassungserklärung nach einer wettbewerbsrechtlichen Abmahnung endete.

Nun kann parallel auch ein Verstoß gegen den bußgeldbewehrten Art. 32 DSGVO vorliegen. Diese Norm verlangt eine Sicherheit der Verarbeitung und bestimmt im ersten Absatz:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;


2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;


3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;


4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Bei der Bemessung der Bußgeldhöhe wurde berücksichtigt, dass die AOK auf die erhobenen Vorwürfe mit umfassenden internen Überprüfungen und organisatorischen Maßnahmen reagierte, um den Anforderungen des Art. 32 DSGVO (externer Link) künftig gerecht zu werden.

Daher lautet das Fazit der Landesbeauftragten Brinkmann:"Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an".

Zur Pressemitteilung des LfDI (externer Link).

Zum Seitenanfang 

Internetrecht | Privacy Shield unwirksam

Der Europäische Gerichtshof hat den sog. "Privacy Shield" für unwirksam erklärt. Damit ist eine wichtige Rechtsgrundlage für die Datenübermittlung in die USA weggefallen. Das Urteil erging zwar in einem Verfahren gegen Facebook, relevant ist es aber für Dienstleistungen von allen Unternehmen mit Sitz in den USA wie z. B. Google, Microsoft, Apple, etc.

    Lesen Sie mehr ›

Besondere Rechtsgrundlagen erforderlich
Die Datenübermittlung in ein Land außerhalb der EU (sog. Drittland) bedarf einer besonderen Rechtsgrundlage. Für die USA gab es den Privacy Shield, ein Übereinkommen zwischen der EU-Kommission und der USA. Wenn sich ein US-Unternehmen wie z. B. Google dort zertifizieren ließ, reichte dies als Rechtsgrundlage aus.

Nach dem Urteil des EuGH ist offen,

• ob es neues Abkommen zwischen der EU und den USA geben wird,
• ob die sog. Standardvertragsklauseln als ausreichende Rechtsgrundlage herangezogen werden können oder
• ob die Datenübermittlung in die USA einfach verboten ist.

Standardvertragsklauseln als Alternative?
Bei den Standardvertragsklauseln handelt es sich um einzelvertragliche Regelungen zwischen Unternehmen aus der EU und der USA. Diese Klauseln stellt die EU zur Verfügung. Da sie nicht verändert werden dürfen, sollen sie zu einem Mindeststandard im Datenschutzrecht führen. Ob diese Klauseln aber in Bezug auf die Datenübermittlung in die USA einen ausreichenden Datenschutz gewährleisten können ist fraglich. Die relevanten Akteure (EU-Kommission, Datenschutzbehörden und US-Regierung) werden sich zu diesen Themen sicherlich in der nächsten Zeit positionieren.

Es ist aktuell unklar, inwieweit die weitere Nutzung von Google Produkten (insbesondere Google Analytics) einem akuten Abmahnrisiko unterliegt und ob das Unternehmen Google demnächst verstärkt auf Standardvertragsklauseln als Rechtsgrundlage zurückgreifen wird.

Handlungsbedarf
Jeder Unternehmer sollte überprüfen, ob er einen Dienst nutzt (z. B. Videokonferenzdienst), der eine Datenübermittlung auf einen Server in den USA bislang nur auf das Privacy Shield stützt und sich ggf. nach Anbietern in der EU umschauen bzw. rechtlich beraten lassen.

Zum Seitenanfang 

Internetrecht | Google Analytics und Co. benötigen eine Einwilligung

Ein Websitebesucher muss über die beabsichtigte Cookie-Verwendung ausreichend klar informiert werden, er muss einwilligen und seine Einwilligung ggf. auch unkompliziert widerrufen können. Der beschriebene Vorgang lässt sich nicht mit einem bloßen Cookie-Hinweisbanner umsetzen.

    Lesen Sie mehr ›

Man benötigt stattdessen einen ausgereiften Consent Management Banner oder man unterlässt einfach den Einsatz von problematischen Tools auf der Website. Es geht bei den Cookies übrigens nicht darum, ob sie mit personenbezogenen Daten verknüpft sind. Daher handelt es sich im Kern auch nicht um ein datenschutzrechtliches Problem im Sinne der DSGVO. Es geht auch nicht nur um die allgegenwärtigen Cookies. Es geht vielmehr grundsätzlich um den Zugriff auf bzw. die Speicherung von Informationen im Endgerät (z. B. Smartphone, Tablet) des Websitebesuchers.

Dieser Zugriff bzw. diese Speicherung ist nur mit Einwilligung zulässig. Daher sind auch Umgehungsversuche, d. h. Tools die nicht mit Cookies, sondern mit anderen Mechanismen (wie z. B. dem Geräte-Fingerabdruck) arbeiten, unzulässig. Bei diesem unübersichtlichen Thema handelt es sich um eine Regelung aus der ePrivacy Richtlinie, die in Deutschland mit dem mittlerweile berüchtigten § 15 Abs. 3 TMG missverständlich umgesetzt wurde. Dort steht:

"Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden."

Ein Einwilligungserfordernis wird in dieser Vorschrift nicht genannt. Daher haben Websitebetreiber in der Vergangenheit damit argumentiert, dass einfacher Hinweis auf die Cookie-Nutzung (insbesondere im Rahmen von Google Analytics) zusammen mit einer Opt-out-Funktion rechtmäßig und ausreichend ist. Der EuGH hat dieser Rechtsauffassung letztes Jahr eine Absage erteilt, ohne konkret über § 15 Abs. 3 TMG zu urteilen.

Damit blieb der Paragraf auch nach der EuGH-Entscheidung im Jahr 2019 gültiges Recht in Deutschland und Hoffnung für alle Anwender von Tracking Tools.

Diese Hoffnung hat der BGH nun endgültig mit seinem Urteil zerstört. Die Richter lesen in den Paragrafen das Einwilligungserfordernis hinein, d. h. pseudonyme Nutzungsprofile dürfen nur mit Einwilligung erstellt werden. Wird die Einwilligung nicht erteilt, ist dies als Widerspruch des Nutzers zu werten und zu akzeptieren. Der deutsche Gesetzgeber hat bereits nach dem EuGH-Urteil angekündigt, den § 15 TMG zu reformieren. Es bleibt abzuwarten, ob und wie er das Reformvorhaben nach diesem BGH-Urteil nun vorantreibt.

Nicht länger warten sollten allerdings Websitebetreiber, die immer noch mit unzureichenden Bannern und damit rechtswidrigen Tools arbeiten. Im ersten Schritt sollten sie unnötige Tools aus den Seiten ausbauen (lassen). Technisch zwingend notwendige Funktions-Cookies brauchen übrigens keine Einwilligung. Im zweiten Schritt müssen sie sich für die übrigen Tools eine Einwilligung einholen mit einem ausreichenden Consent Management Tool.

Mehr zu diesem Thema und den Anbietern hier.

Zum Seitenanfang 

Internetrecht | Cookie-Guideline des EDSA

Eigentlich soll die ePrivacy-Verordnung den Einsatz von Cookies regeln. Das Gesetzgebungsverfahren ist aber ins Stocken geraten und ein konkreter Zeitpunkt des Inkrafttretens der Verordnung nicht absehbar. Daher ist es auch die Aufgabe des EDSA, in der Zwischenzeit für eine EU-weit einheitliche Cookie-Praxis zu sorgen.

    Lesen Sie mehr ›

Der EDSA aktualisiert daher immer wieder die Richtlinie, die die wirksame Einholung einer Einwilligung in die Verarbeitung personenbezogener Daten festlegt. Eine Einwilligung (= consent in Englisch) ist eine der von DSGVO anerkannten Rechtsgrundlagen für die Datenverarbeitung. Seit der Europäische Gerichtshof (EuGH) am 1. Oktober 2019 entschieden hat, dass das Setzen von Cookies die aktive Einwilligung des Internetnutzers erfordert, sind mehrere sog. Consent Management Banner auf den Markt gekommen (ausführlich dazu in https://www.janolaw.de/newsletter/hintergrund-eugh-cookie-urteil.html).

Umgehungsversuche
Trotz der relativ klaren Ansagen des EuGH und der EDSA versuchen Online-Unternehmen immer noch, eine Einwilligung des Websitebesuchers auf Umwegen zu erhalten. Zwei der häufigsten Umgehungsversuche wurden nun in der aktualisierten Richtlinie an den Pranger gestellt:

• Website-Inhalt hinter einer sog. "Cookie Wall" verbergen
• eine Einwilligungserklärung im bloßen Scrollen einer Website sehen

Bei einer "Cookie Wall" werden die Inhalte einer Website dem Besucher nur dann zugänglich gemacht, wenn er über einen Banner seine Zustimmung erteilt, dass beim ihm Cookies zur Nachverfolgung (= Tracking Cookies) gesetzt werden. Wenn es hier keine weitere Auswahlmöglichkeit gibt, fehlt es an einer freiwillig erteilten und damit wirksamen Einwilligung. Beim bloßen Scrollen einer Website fehlt es wiederum an einer eindeutig bestätigenden Einwilligungserklärung des Websitebesuchers, die protokolliert und auch wirksam widerrufen werden könnte.
In der Praxis hat sich als eindeutige Erklärungshandlung das aktive Abhaken einer Einwilligungs-Checkbox bewährt.

Über die EDSA
Der EDSA besteht aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten und hat seinen Sitz in Brüssel. Zu den Aufgaben gehören u. a.:

• allgemeine Anleitungen (darunter Leitlinien, Empfehlungen und bewährte Verfahren) bereitstellen, um für Rechtsklarheit zu sorgen;
• die Europäische Kommission in allen Fragen im Zusammenhang mit dem Schutz personenbezogener Daten und neuen vorgeschlagenen Rechtsvorschriften in der Europäischen Union beraten;
• die Zusammenarbeit und einen wirksamen Austausch von Informationen und bewährten Verfahren zwischen nationalen Aufsichtsbehörden fördern und ggf. auch verbindliche Beschlüsse für nationale Datenschutzbehörden zu erlassen.

Der EDSA beantwortet keine individuellen Anfragen von Einzelpersonen oder Organisationen. Dafür sind die nationalen Aufsichtsbehörden zuständig.

Zur vollständigen Richtlinie (in englisch):
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

Über die EDSA: https://edpb.europa.eu/about-edpb/about-edpb_de

Zum Seitenanfang 

Internetrecht | Corona-Apps

Da eine Stilllegung des öffentlichen Lebens auf Dauer nicht finanzierbar ist und ein Impfstoff in absehbarer Zeit wohl nicht zur Verfügung stehen wird, können Corona-Apps als schnelle und kostengünstige Hilfsmittel dienen. Der Preis sollte nicht der Datenschutz sein. Es geht dabei nicht nur um eine, sondern um mehrere Corona-Apps.

    Lesen Sie mehr ›

Unter Pan European Privacy Protecting Proximity Tracing (PEPP-PT) wird z. B. eine App angeboten, die sowohl dem Gesundheits- als auch dem Datenschutz Rechnung tragen soll. Es handelt sich um ein europäisches Forschungsprojekt, an dem unter anderem auch das Robert Koch Institut beteiligt ist. Unabhängig von diesem Gemeinschaftsprojekt entwickeln aber auch Google und Apple Corona-Apps.


Wie funktioniert PEPP-PT?
Diese App ist nur dann effektiv im Kampf gegen die Krankheitsausbreitung, wenn sie auch auf den meisten Smartphones installiert würde. Über den Kurzstreckenfunk Bluetooth kann eine Abstandsmessung zwischen den Smartphone-Besitzern vorgenommen werden. Wird ein Smartphone-Besitzer positiv getestet, werden all seine Risikokontakte aus den vergangenen Tagen über diese App mit einer Push-Nachricht informiert.

Nach einer Definition des Robert Koch Instituts gehören zu den Risikokontakten z. B. alle Personen, die einen kumulativ mindestens 15-minütigen Gesicht-zu-Gesicht Kontakt (z. B. im Rahmen eines Gesprächs) hatten. Mit zunehmender Nähe (z. B. beim Küssen, Mund-zu-Mund Beatmung) steigt natürlich das Risiko. Wenn sich die über die App informierten Kontaktpersonen umgehend in Quarantäne begeben würden, könnte dies die Ausbreitung des Virus eindämmen.


Datenschutz
Dem Datenschutz soll bei PEPP-PT dadurch Rechnung getragen werden, dass nicht Name, Anschrift oder Telefonnummern von Smartphone zu Smartphone übertragen werden, sondern anonyme und ständig wechselnde (temporäre) Identifikationsnummern, die zunächst lokal auf dem jeweiligen Smartphone und nicht auf zentralen Servern gespeichert werden.

Wenn bei einem Betroffenen eine Corona-Infektion ärztlich festgestellt wurde, kann er freiwillig die im Smartphone gespeicherten Identifikationsnummern seiner Kontakte an einen Server der zuständigen Behörde übermitteln. Über diesen zentralen Server werden dann alle Risikokontakte des Betroffenen anhand dieser Identifikationsnummern per Push-Nachricht informiert. Push-Nachrichten erscheinen auch ohne Öffnung der Corona-App auf dem Bildschirm des Smartphones.

Ein Identitätsschutz findet folgendermaßen statt:

• die Identität des Infizierten wird dem Risikokontakt in der Push-Nachricht nicht offenbart
  
• die Identität des Risikokontakts wird der Behörde mit dem Server nicht offenbart
  

Die Risikokontakte sollten sich dann eigeninitiativ ebenfalls umgehend testen lassen. Beim Verdacht einer Erkrankung muss dann aber der Arzt den Risikokontakt namentlich beim zuständigen Gesundheitsamt melden.



Aktuelle Praxis: Gesundheitsämter übermitteln Listen an die Polizei
Die Frage der Datenschutzkonformität bei der Entwicklung der Corona-Apps ist auch im Hinblick auf die aktuelle Praxis der Datenweitergabe von Corona-Patienten und deren Kontaktpersonen von den Gesundheitsämtern an die Polizei in einigen Bundesländern besonders relevant.

So fordert z. B. die Landesbeauftragte für den Datenschutz Niedersachsen einen sofortigen Übermittlungsstopp von Corona-Gesundheitsdaten an die Polizei. Sie erkennt keine ausreichende Rechtsgrundlage für diese Übermittlung. In Ihrer Pressemitteilung weist Sie allerdings auch ausdrücklich darauf hin, dass ihr die Hände gebunden sind:

"Abschließend stellt die LfD Niedersachsen klar, dass ihr Anordnungen gegenüber Behörden oder Ministerien zwar möglich sind, diese allerdings nicht vollstreckt werden können, weil der Landesgesetzgeber bewusst darauf verzichtet hat, ihr weiterreichende und damit zugleich auch wirksame Befugnisse gegenüber öffentlichen Stellen zuzugestehen."


PEPP-PT (externer Link).

F.A.Z.: Corona Apps von Google und Apple (externer Link).

Pressemitteilung des LfD (externer Link).

Zum Seitenanfang 

Internetrecht | Corona-Fälle

Bei Corona-Fällen gibt es insbesondere im Bereich des Arbeits- und des Datenschutzrechts viele Überschneidungen. Die Datenschutzbehörde beantwortet einige Fragen. Im Kern geht es hier um die Frage, welche Gesundheitsdaten im Rahmen des Arbeitsverhältnisses zwischen Arbeitgeber und Beschäftigten ausgetauscht werden müssen, können und dürfen.

    Lesen Sie mehr ›

Worum geht es?

Gesundheitsdaten gehören nach der DSGVO zu einer besonderen Kategorie personenbezogener Daten. In diese Kategorie fallen nach Art. 9 DSGVO z. B. auch genetische und biometrische Daten. Die Verarbeitung dieser besonders sensiblen Daten ist zwar nach Art. 9 Abs. 1 DSGVO untersagt, nach Abs. 2 gibt es aber Ausnahmen von diesem Verbot im Bereich des Arbeitsrechts und der Gesundheitsvorsorge.

In diesem Konfliktbereich beantwortet die Datenschutzbehörde u. a. folgende Fragen:

• Dürfen Arbeitgeber aktuelle private Handynummern oder andere Kontaktdaten von der Belegschaft erheben, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben?
  
• Dürfen Arbeitgeber Informationen darüber erheben und weiterverarbeiten, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte?
  

Antworten darauf gibt es hier (externer Link).

Pressemitteilung LfDI Baden-Württemberg (externer Link).

Zum Seitenanfang 

Internetrecht | Bürokratieabbau

Vor dem 26. November lag die Grenze noch bei 10 Mitarbeitern. Mit der Erhöhung der Mitarbeiterzahl sollen insbesondere kleine und mittlere Unternehmen (KMU) und Vereine von den Kosten und dem bürokratischen Aufwand eines betrieblichen Pflicht-Datenschutzbeauftragten entlastet werden.

Internetrecht | Befugnisse

Die DSGVO stellt allen Datenschutzbehörden einen umfangreichen Maßnahmenkatalog zur Verfügung. Der Katalog gliedert sich in drei Abschnitte: Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse. Mit den Untersuchungsbefugnissen sollen sie in die Lage versetzt werden, den Sachverhalt aufzuklären, um etwaige Verstöße festzustellen.

    Lesen Sie mehr ›

Bei kleineren Sachverhalten wird die Behörde den Verantwortlichen ggf. nur "auf einen vermeintlichen Verstoß gegen diese Verordnung hinweisen." Ansonsten werden die Behörden den datenschutzrechtlich Verantwortlichen direkt oder -falls vorhanden- dessen Datenschutzbeauftragten anschreiben und unter Fristsetzung dazu auffordern, zu einem Sachverhalt Stellung zu nehmen. Ein solches Anschreiben wird als "Informationsersuchen" gekennzeichnet. Art. 58 Abs. 1a) DSGVO gestattet den Behörden, den Verantwortlichen "anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind."

Art. 31 DSGVO sieht vor, dass der Verantwortliche auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeitet. Dem Datenschutzbeauftragten obliegt nach Art. 39 Abs. 1d) DSGVO die Aufgabe, mit der Aufsichtsbehörde zusammenzuarbeiten.

In dem Informationsersuchen sollte darauf hingewiesen werden, dass der Informationspflichtige ein Auskunftsverweigerungsrecht hat, falls die Auskunftserteilung ihn oder einen seiner Angehörigen in die Gefahr strafgerichtlicher Verfolgung aussetzen würde.

Wer innerhalb der gesetzten Frist keine oder nur unzureichende Informationen bereitstellt und kein Auskunftsverweigerungsrecht hat riskiert ein Verwaltungszwangsverfahren. In dessen Rahmen kann die Behörde dem Auskunftspflichtigen ein Zwangsmittel in Form eines Zwangsgeldes auferlegen. Und bereits an dieser Stelle (=Nichtbefolgung einer Anweisung) ermöglicht die DSGVO die Einleitung eines Ordnungswidrigkeitsverfahren, an dessen Ende ein sehr hohes Bußgeld stehen könnte. Der Bußgeldrahmen beträgt hier (vgl. Art. 83 Abs. 5e) DSGVO) bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4% des Jahresumsatzes.

Zum Seitenanfang 

Internetrecht | Bußgeldzumessung gegen Unternehmen

Die Datenschutzkonferenz (DSK) hat Leitlinien entworfen, damit sich in künftigen Verfahren gegen Unternehmen in den 16 Bundesländern eine einheitliche Auslegung der DSGVO-Bußgeldvorschriften etabliert. Bislang sind in Deutschland nicht viele und auch nicht sehr hohe Bußgelder wegen Datenschutzverstößen verhängt worden.

    Lesen Sie mehr ›

Worum geht es?

Die Berliner Datenschutzbeauftragte verhängte zwar im September 2019 ein Bußgeld von fast 200.000 Euro gegen den Essen-Lieferdienst Delivery Hero, bis dato die höchste Summe. Die DSGVO sieht aber bei Unternehmen für gravierende Verstöße einen Bußgeldrahmen bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr vor (je nachdem, welcher der Beträge höher ist).

Frankreichs Datenschutzbehörden CNIL hat diesen Rahmen schon ausgenutzt und verlangt von Google 50 Millionen Euro. Die Berliner Datenschutzbeauftragte steht aktuell am Beginn eines Verfahrens, an dessen Ende ein Bußgeld in Millionenhöhe stehen könnte.

Laut dem Konzept der DSK soll die Bußgeldzumessung in Deutschland in fünf Schritten stattfinden:

1. Zuordnung in eine Größenklasse
2. Bestimmung des mittleren Jahresumsatzes
3. Ermittlung des wirtschaftlichen Grundwerts
4. Grundwert wird mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert
5. Der ermittelte Wert wird anhand z. B. täterbezogener Umstände angepasst

Das Bußgeldkonzept finden Sie hier (externer Link).

Zum Seitenanfang 

Internetrecht | Facebook Custom Audience

Die Datenpanne des Blutspendedienstes (vgl. janoRadar) sollten Websitebetreiber zum Anlass nehmen, den Einsatz dieses Marketing-Tools zu überprüfen. Beim Bayerischen Roten Kreuz waren Facebook-Pixel im Einsatz. Über diese Pixel kann Facebook die Nutzer identifizieren, verfolgen und ihnen u. a. gezielt Werbung anzeigen lassen.

    Lesen Sie mehr ›

Worum geht es?

Auch wenn die Beteiligten in diesem Artikel alle aus Bayern stammen und das erwähnte Urteil sich noch auf das alte Bundesdatenschutzgesetz stützt, handelt es sich im Zeitalter der DSGVO doch um ein EU-weites Thema: unbemerkte und unerlaubte Datenweitergabe an Facebook.

Zur Vorgeschichte: Listen-Verfahren - nur mit Einwilligung!

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) forderte bereits im Jahr 2017 einen bayerischen Online-Shop auf, das Tool "Facebook Custom Audience über die Kundenliste" nicht mehr einzusetzen, da keine Einwilligung des Nutzers eingeholt wurde. Der Bayerische Verwaltungsgerichtshof bestätigte diese Anordnung.

Zur Pressemitteilung des BayLDA: https://www.lda.bayern.de/media/pm2018_18.pdf

Zum aktuellen Fall: Facebook-Pixel - nur mit Einwilligung?

Bei der Website des Blutspendedienstes des Bayerischen Roten Kreuzes waren Facebook-Pixel im Einsatz. Über diese Pixel kann Facebook die Nutzer (insbesondere Nutzer mit einem Facebook-Konto) identifizieren, verfolgen und ihnen u. a. gezielt Werbung anzeigen lassen. Über die Nachverfolgung des Surfverhaltens (sog. Tracking) kann man auf die Interessen schließen und damit die Profile dieser Personen kontinuierlich vervollständigen.

Bei der Pixel-Methode wird die Ansicht vertreten, dass ein einfacher Hinweis in der Datenschutzerklärung und eine Opt-Out Funktion ausreichen. Die Datenschutzbehörden haben sich aber in einer Konferenz dahingehend positioniert, dass für Tracking-Tools (zu denen auch Google Analytics gehört), eine ausdrückliche erteilte Einwilligung erforderlich ist. Eine endgültige Klärung der Rechtslage wird erst mit der Verabschiedung der ePrivacy Verordnung erwartet. Da es für das Inkrafttreten dieser Verordnung keinen Termin gibt, muss das BayLDA den aktuellen Fall nach den Maßstäben der DSGVO beurteilen.

Ausführliche Informationen über Facebook Custom Audience und die Rechtslage finden Sie auf haufe.de.

Zum Seitenanfang 

Internetrecht | Facebook Like-Button

Es ist ein DSGVO-Verstoß, wenn über Social Plugins ohne Rechtsgrundlage personenbezogene Daten an Facebook übermittelt werden. Durch diese Einbindungen werden beim Besuch der Seite die Daten der Nutzer an den Drittanbieter automatisch weitergeleitet - unabhängig davon, ob der Nutzer den Button angeklickt hat.

    Lesen Sie mehr ›

Worum geht es?

Viele Website-Betreiber arbeiten mit Plugins von Drittanbietern wie z. B.

• Facebook (''Gefällt mir''-Button)
• Twitter
• Google Maps etc.

Durch diese Einbindungen werden beim Besuch der Seite die Daten der Nutzer (etwa die IP-Adresse) an den Drittanbieter automatisch weitergeleitet - unabhängig davon, ob der Nutzer den Button angeklickt hat.

Kernproblematik: Unbemerkte Datenübermittlung

Die Kernproblematik bei der Einbindung liegt darin, dass

• die Daten des Websitebesuchers unbemerkt an Dritte übermittelt werden
• Cookies auf dem Gerät/Rechner des Websitebesuchers platziert und ausgewertet werden
• die übermittelten Daten vom Drittanbieter gespeichert werden
• auch Surf-Profile von Nicht-Mitgliedern bei Facebook & Co. angelegt werden UND
• der Website-Betreiber für diese Datenübermittlung mit haftet!

Was ist zu tun?

Sie müssen den Websitebesucher darüber informieren, welche Daten zu welchen Zwecken an Facebook weitergeleitet werden, bevor der Datenabfluss stattfindet. Die Einwilligung muss protokolliert und der Websitebesucher muss auf seine Widerrufsmöglichkeit hingewiesen werden.

Unsere Empfehlung:

Eine einfache Verlinkung auf Ihre Seite bei Facebook! Wer auf seiner Website auf den Verweis zu Facebook nicht verzichten möchte, stellt so sicher, dass keine Daten unbemerkt übertragen und gespeichert werden.

Ergebnis

Ohne informierte Einwilligung des Websitebesuchers verstößt die Datenerhebung und -übermittlung über den Like-Button gegen das Datenschutzrecht. Ein Hinweistext in der Datenschutzerklärung auf die Datenverarbeitung reicht nicht aus. Diese Ausführungen gelten nicht nur für den Like-Button von Facebook, sondern für alle Social Plugins, die genauso funktionieren.

Zum Seitenanfang 

Internetrecht | Offener E-Mail-Verteiler = Meldepflichtige Datenpanne

Ist es ein Verstoß gegen die DSGVO, wenn alle E-Mail Adressen des Verteilers für alle Empfänger sichtbar sind? Der Fehler ist beim Versenden einer Massenmail schnell passiert: Die E-Mail Adressen werden aus einer Liste gezogen und alle in das "Cc"- oder sogar das "An"- Feld des Mailprogramms kopiert.

    Lesen Sie mehr ›

Der Fehler ist beim Versenden einer Massenmail schnell passiert: Die E-Mail Adressen (= personenbezogene Daten) werden aus einer Liste gezogen und alle in das "Cc"- oder sogar das "An"- Feld des Mailprogramms kopiert. Nach dem Klick auf Senden werden diese Daten dann allen Empfängern zugänglich und sichtbar gemacht. Gibt es keine Einwilligung in diese Zugänglichmachung, liegt ein datenschutzrechtlicher Verstoß und damit eine meldepflichtige Datenpanne vor.

Die E-Mail Adressen müssen daher immer in das "Bcc"-Feld für Blindkopien eingefügt werden, das "An"-Feld kann man freilassen, damit keine Adressen sichtbar sind.

Stichwort Datenpanne
Eine Datenpanne ist vom Verantwortlichen bei der zuständigen Aufsichtsbehörde zu melden. Die Behörden stellen dafür elektronische Formulare bereit wie z. B. der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg: https://datenschutz-hamburg.de/meldung-databreach

Wenn Daten gehackt oder Datenträger verloren wurden, muss dies binnen 72 Stunden gemeldet werden. Bei einem hohen Risiko (z. B. Zahlungsdaten, Gesundheitsdaten etc.) müssen auch die Betroffenen informiert werden. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gibt hierzu weitere Informationen und Beispielsfälle (externer Link).

Zum Seitenanfang 

Internetrecht | Keine Einwilligung beim Kontaktformular erforderlich

In der Vor-DSGVO Zeit war ein Gericht der Ansicht, dass man sich bei einem Kontaktformular eine Einwilligung in die Datenverarbeitung einholen muss. Die DSGVO bringt in diesem Bereich jedoch eine Erleichterung für Shopbetreiber. Für die Verarbeitung personenbezogener Daten benötigt man eine Rechtsgrundlage.

    Lesen Sie mehr ›

Für Verkäufer ist der Art. 6 Abs. 1b) DSGVO in der Praxis die wichtigste Rechtsgrundlage:

"die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;"

Wenn ein Verkäufer im Bestellprozess die Kundendaten erfasst, um den Käufer im Nachgang die Ware und die Rechnung zu schicken, ist dies eine erlaubte Datenverarbeitung zur Vertragserfüllung.

Die DSGVO erlaubt eine Datenverarbeitung aber bereits schon im Vorfeld, nämlich "wenn sie zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. " Wenn also ein Interessent über ein Kontaktformular Fragen zum Produkt stellt und ihm dann ein Angebot geschickt wird, handelt es sich bei dieser Datenverarbeitung um eine erlaubte "vorvertragliche Maßnahme".

Eine Checkbox am Ende des Kontaktformulars zur Einholung einer Einwilligung in die Datenverarbeitung (Rechtgrundlage wäre dann Art. 6 Abs. 1a) DSGVO) ist in diesem Fall also unnötig.

Zum Seitenanfang 

Internetrecht | SSL- Verschlüsselung auch beim Kontaktformular

Eine SSL-Verschlüsselung von Webseiten ist nicht nur eine Formsache. Eine fehlende Verschlüsselung ist auch ein Abmahngrund. Nur mit https werden personenbezogene Daten, die auf der Website (insbesondere im Bestellvorgang/Warenkorbprozess; auch Kontaktformular) eingegeben werden, verschlüsselt gesendet.

    Lesen Sie mehr ›

Eine Verschlüsselung ist schnell erkennbar an dem "s" am http-Anfang einer URL.

Beispiel janolaw

• Unverschlüsselt: http:// www.janolaw.de/
• SSL-verschlüsselt: https:// www.janolaw.de/

Nur mit https werden personenbezogene Daten, die auf der Website (insbesondere im Bestellvorgang/Warenkorbprozess; auch Kontaktformular) eingegeben werden, verschlüsselt gesendet. Besonders gefährdet von einem unerlaubten Zugriff Dritter sind Namen, Passwörter, Kreditkartennummern und Bankdaten.

Eine fehlende Verschlüsselung verstößt gegen folgende Vorschriften:

• Art. 25 DSGVO: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
• Art. 32 DSGVO: Sicherheit der Verarbeitung

Rechtlich gab es aber auch schon vor dem Inkrafttreten der DSGVO eine Verpflichtung für einen wirksamen technischen Schutz vor unerlaubten Zugriffen. So erwähnt § 13 Abs. 7 Telemediengesetz (TMG) ausdrücklich die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Was ist zu tun?

Wer noch keine Verschlüsselung hat, sollte sich umgehend ein SSL-Zertifikat von einem der zahlreichen Anbieter am Mark kaufen. Einen Überblick können Sie sich z. B. über diese Vergleichsportale verschaffen:

www.hosttest.de
www.sslmarket.de

Zum Seitenanfang 

Internetrecht | Stellungnahme Datenschutzbehörde zu Facebook-Fanpage

Nach der aktuelle Auffassung (Stand: 1. April 2019) der Datenschutzbehörden (Datenschutzkonferenz) ist ein datenschutzkonformer Betrieb einer Facebook-Fanpage derzeit nicht möglich. Sowohl Facebook als auch die Fanpage-Betreiber müssten ihrer Rechenschaftspflicht nachkommen.

    Lesen Sie mehr ›

Die Datenschutzkonferenz hat in einem sog. Positionspapier die folgende Erwartung an Facebook und an Fanpage-Betreiber gestellt:
"Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich."

Details können Sie hier nachlesen: datenschutzkonferenz-online.de

Was ist die Datenschutzkonferenz?

An dieser mehrmals im Jahr stattfindenden Konferenz nehmen die Datenschutzbehörden des Bundes und der Länder teil und beziehen zu strittigen Themen Position. Die seit einem Jahr geltende DSGVO verlangt einen einheitlichen Datenschutz in der gesamten EU und daher müssen sich die deutschen Datenschutzbehörden auch mit den ausländischen Datenschutzbehörden abstimmen.

Streitfragen werden allgemeinverbindlich nur noch vom Europäischen Gerichtshof (EuGH) entschieden. Einige für den E-Commerce wichtige Urteile (u. a. zur Cookie-Setzung) sollen in der nächsten Zeit erlassen werden.

Zum Seitenanfang 

Internetrecht | 123456 - das beliebteste Passwort

Damit "123456" nicht auch nächstes Jahr wieder zum Gewinner wird, hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) ein paar Tipps zur Wahl eines ausreichend sicheren Passworts parat, z. B. die Zwei-Faktor-Authentifizierung. Bei dem zweiten Sicherheitsfaktor kann es sich z. B. um eine per SMS übermittelte PIN handeln.

    Lesen Sie mehr ›

Der Landesbeauftragte empfiehlt, bei der Wahl von Passwörtern auf folgende Kriterien zu achten:

1. Verwenden Sie Passwörter mit mindestens acht Zeichen. Nutzen Sie dabei auch Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen.
2. Vermeiden Sie Passwörter mit direktem Bezug zu Ihnen, wie etwa der Name von Familienmitgliedern oder eines Haustieres.
3. Vermeiden Sie Passwörter, die aus Zeichen bestehen, die auf der Tastatur nebeneinander liegen (zum Beispiel "123456" oder "qwertz").
4. Vermeiden Sie (Pass-)Wörter, die im Duden oder in einem anderen Wörterbuch aufgeführt sind.
5. Verwenden Sie nicht dasselbe Passwort für unterschiedliche Dienste.
6. Ändern Sie voreingestellte Passwörter.
7. Mindern Sie die Schutzwirkung des von Ihnen gewählten Passworts nicht mit einer einfachen Antwort auf eine Sicherheitsfrage, die das Zurücksetzen des Passworts ermöglicht. Nutzen Sie dafür keine Informationen, die leicht zu erraten oder anderweitig zu recherchieren sind, wie zum Beispiel Namen von Familienangehörigen.

Wenn es angeboten wird, empfiehlt er für wichtige Konten die Zwei-Faktor-Authentifizierung. Bei dem zweiten Sicherheitsfaktor neben dem Passwort kann es sich z. B. um eine per SMS übermittelte PIN oder einen Sicherheitstoken handeln.

Zur Pressemitteilung gelangen Sie hier (externer Link).

Zum Seitenanfang