FAQ Datenschutz

Zurzeit werden sehr viele Abmahnung von Mitgliedern der Interessengemeinschaft Datenschutz (kurz: IG Datenschutz) verschickt.
Gefordert werden zwischen EUR 170,- und EUR 800,- Schmerzensgeld.

Webseitenbetreiber haben grundsätzlich die Pflicht, Google Fonts statisch einzubinden, da durch die potenzielle Weitergabe der IP-Adressen der Webseiten-Besucher an Google in den USA eine Persönlichkeitsverletzung gesehen werden kann.

Es gibt das rechtskräftige Urteil des Landgerichts München vom 20.01.2022 – 3 O 17493/29

Hier sollte das Unternehmen, das Google Fonts dynamisch eingebunden hat, einen Schadensersatz wegen Persönlichkeitsrechtsverletzung in Höhe von 100,00 € an den Besucher der Webseite bezahlen.

Folgende Fragen sollten (ggf. in Zusammenarbeit mit einem Rechtsanwalt) geklärt werden:

1. Haben Sie tatsächlich Google Fonts dynamisch eingebunden und kann die Gegenseite den Verstoß nachweisen?

Falls nein, brauchen Sie nicht auf die Abmahnung zu reagieren. Falls ja, lautet die zweite Frage:

2. Welcher Schadensersatz wäre angemessen: EUR 100,-, EUR 170,- oder mehr?

Das ist in jedem Fall eine Frage des Einzelfalls und kann nicht pauschal beantwortet werden.

3. Die vielleicht wichtigste Frage: Ist Herr Ismail bzw. die IG Datenschutz überhaupt berechtigt, solche Abmahnungen auszusprechen?

Die Mitglieder, die in den Abmahnungen vertreten werden, werden nicht mit Adresse genannt, was bei einer Anzeige der anwaltlichen Vertretung aber üblich ist. Zum weiteren werden in der Abmahnung fast ausschließlich Urteile zitiert, die mit Google Fonts nichts zu tun haben. Damit wird der Eindruck erweckt, es gäbe genau zu diesem Thema umfangreiche Rechtsprechung. Und schließlich kann man auch fragen, ob Herr Ismail die Webseiten eventuell vorsätzlich und mit dem Ziel der Abschöpfung einer Abmahnsumme angesteuert hat.

Es ist deshalb die Frage, inwiefern ein potenzieller Schaden bewusst herbeigeführt wurde und ob dabei tatsächlich ein individuelles Unwohlsein beim Betroffenen entstanden ist bzw. ein Kontrollverlust und somit ein Schaden, der zu ersetzen wäre. Für einen solchen Fall gibt es keine einschlägigen Urteile, deshalb könnte sich hier Widerstand lohnen. 

Stand: 28.09.2022

Konkretisierung der Fragestellung:

Wir (DL-Unternehmen im Bereich B2B) sollen Daten der Kunden (E, Endverbraucher) unserer Kunden (K, B2C) bezüglich ableitbarer Verhalten analysieren. Das bedeutet, es interessiert uns letzten Endes nicht, wie ein Kunde E heißt, wo er genau wohnt, wann er genau geboren ist. 

Unser Kunde K hat dabei die Daten genau vorliegen, also wie heißt die Person E, welche Email-Adresse(n) hat sie, wie lautet die Adresse, Geburtsdatum, ...; kurzum, unser Kunde K weiß soweit "alles" über seine Kunden E, was Datenschützer-Herzen höher schlagen lässt.

Wie dürfen wir (DL) nun die Daten der Endverbraucher E verwenden bzw. wie muss unser Kunde K uns die gewünschten Daten zur Verfügung stellen? 
Uns interessiert wie gesagt NICHT die Adresse, genaues Geburtsdatum, Email-Adresse; Ausschließlich betrachtet werden soll das Geschlecht sowie die Altersspanne (wir dachten an das Alter auf 5 bis 10 Jahre genau, sofern möglich), evtl. eine Umkreis-Angabe zum ungefähren Wohnort / Region des Wohnorts, die bestellten / gekauften Produkte, angesehene Produkte bis zur Kaufentscheidung, ggf. das verwendete Endgerät (Hersteller und Model, nicht Seriennummer!), usw.

An sich dachten wir in einem ersten Schritt der konzeptionellen Überlegungen daran, die Adress- und Namensdaten komplett zu vernachlässigen und noch bei unserem Kunden K eine Verschlüsselung der Email-Adresse vorzunehmen, die von uns als DL nicht wieder zurückgerechnet werden kann ("hashing").* Mit diesen gehashed-ten Email-Adressen könnten wir als DL dann eine ID bilden, die die uns relevanten Informationen anschließend der verschlüsselten ID zuordnen lässt. Hintergrund für diese Notwendigkeit wäre, dass die Infos einzelnen fiktiven Personen zugeordnet und nicht zu einer großen Datenmasse verschmelzen sollen.

In einem vergangenen Datenschutz-Weekly hatten wir über die Begriffe Anonymisierung und Pseudonymisierung gesprochen. Aktuell wäre soweit vermutlich vom Begriff der Pseudonymisierung auszugehen, anhand des Hashes ist das erfolgreiche Durchführen einer Rückrechnung dabei höchst unwahrscheinlich. Unserem Kunde K hingegen würde in dem Szenario voraussichtlich die Zuordnung "genaue Kundendaten" (die K sowieso von E weiß...) zu der verschlüsselten Email-Adresse vorliegen.

Art. 5 Abs. 1 c) DGSVO – Datenminimierung und

Art. 6 DSGVO – Rechtsgrundlage für Verarbeitung notwendig

1. Dienstleister DL muss vom Kunden K also so wenig wie möglich Daten über den Endverbraucher E bekommen.

Idealerweise sollte der Datensatz keine Adressdaten, keine Geburtsdaten, keine Namen und keine Mailadressen umfassen.

2. Wenn der Kunde K die Ergebnisse nach dem Analyseprozess wieder zurückführen kann auf einzelne Personen, dann wäre das ein Analyseverfahren auf Basis personenbezogener Daten, nach denen er die Vorgaben der DSGVO einhalten muss. Dafür braucht er wiederum eine Rechtsgrundlage. Das kann wohl nur durch die vorab eingeholte Einwilligung der Endverbraucher E geschehen.

Ergebnis: Verarbeitet der Kunde K die Daten der Endverbraucher E nach durchgeführter Analyse so, dass er die Daten wieder zusammenführen kann (und damit wieder personenbezogene Daten vorliegen hat), braucht er eine  vorherige Einwilligung der Endverbraucher.

Vor Einführung der DSGVO spielte es keine Rolle, welche Daten an den Dienstleister DL geschickt worden wären, da der Auftragsverarbeiter nicht verantwortlich war für die personenbezogenen Daten.

Seit der Einführung der DGSVO ist die Rechtslage anders:

Er muss … hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, vgl. Art. 28 Abs. 1 DSGVO

Die Verpflichtung geht sogar noch weiter: vgl. Art. 28 Abs. 3, letzter Absatz:

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

Stand: 28.09.2022

Die Nutzung von WhatsApp für die Kundenkommunikation ist u.a. wegen folgender Gründe nicht zulässig:

• WhatsApp verarbeitet personenbezogene Metadaten (Standort. Uhrzeit, Profilbilder, Profilnamen, Gerätenamen, Kontakte, etc.), eigentlich braucht man hierfür einen AV-Vertrag;
• WhatsApp greift auf persönliche Daten der Nutzer (z.B. Adressbucheinträge) zu, insbesondere auch von Personen, die nicht bei WhatsApp sind. Name und Telefonnummer sind personenbezogene Daten und bedürften aber vor der Verarbeitung einer ausdrücklichen Zustimmung.
• WhatsApp ist ein in den USA sitzender Anbieter: aufgrund des Wegfalls des Privacy-Shields sind jetzt Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen, das ist aber aufgrund der Komplexität der Informationen, die im Vorfeld gegeben werden müssten, nicht möglich.
• WhatsApp vernachlässigt das „ Auskunftsrecht der betroffenen Person“ (Art. 15 DSGVO)
• etc. ….

Ergebnis:

Es ist mittlerweile allgemeine Rechtsauffassung, dass WhatsApp im geschäftlichen Umfeld nicht datenschutzkonform genutzt werden kann.

Stand: 28.09.2022

Wann dürfen IP-Adressen ohne Einwilligung gespeichert werden?

§ 176 Abs. 1 TKG: Telekommunikationsprovider (Anbieter öffentlich zugänglicher Telekommunikationsdienste, z.B. Telekom) sind berechtigt und verpflichtet IP-Adressen 10 Wochen lang zu speichern (ursprünglich in § 113 a, b TKG geregelt).

Diese gesetzliche Regelung wurde durch das EuGH-Urteil vom 20.09.2022 als verfassungswidrig erkannt (siehe LiiDU-Unterlagen vom 21.09.2022). Im vorliegenden Fall hatten die Telekom und ein anderer Access-Provider gegen die oben genannten Regelungen aus dem deutschen TKG geklagt, die sie verpflichtet hatten, Verkehrs- und Standortdaten (und auch IP-Adressen) ihrer Kunden auf langen Vorrat zu speichern. Da bei einer solchen Speicherung sehr genaue Rückschlüsse auf das Privatleben von Personen gezogen werden könnten, stellt eine solche Speicherung einen Grundrechtseingriff dar.

Höhere deutsche Gerichte haben seit Jahren entschieden, dass so ein Eingriff nur gerechtfertigt werden kann, wenn er z.B. der Bekämpfung schwerer Kriminalität und Verhütung schwerer Bedrohungen der öffentlichen Sicherheit dient. Jetzt hat der Europäische Gerichtshof noch hinzugefügt, dass so ein Grundrechtseingriff auch gerechtfertigt werden kann, wenn die nationale Sicherheit bedroht ist.

Urteil des Oberlandesgerichts Frankfurt am Main (Az. 13 U 105/07) und BGH-Entscheidung aus 2014:

Access Provider dürfen IP Adressen für bis zu 7 Tage speichern. Hintergrund für dieser Entscheidungen ist die Nachverfolgbarkeit bei Betrugsfällen. Wenn bspw. auf der eigenen Website Betrug anfällt, kann seitens des Webseitenbetreibers beim Provider Auskunft nach § 22 TTDSG verlangt und die mit der IP Adresse verknüpfte physische Adresse herausverlangt werden.

Eine solche Rechtsgrundlage gibt es für Betreiber von Webseiten nicht.

Webseitenbetreiber selbst dürfen jedoch nicht ohne die explizite Einwilligung des Nutzers die IP-Adresse speichern. Eine Speicherung von personenbezogenen Daten (IP Adresse = personenbezogenes Datum) ist ohne Rechtsgrundlage nicht zulässig.

Eine Rechtsgrundlage würde nach Art. 6 DSGVO z.B. nur bei expliziter Einwilligung bzw. bei einem Vertragsverhältnis vorliegen.

Stand: 28.09.2022

Was ist Meetergo?

Meetergo ist eine Conversion- und Terminplanungs-Software.

Ist Meetergo datenschutzkonform einsetzbar?

• Eine solche Anwendung ist als Auftragsverarbeitung nach Art. 28 DSGVO einzuordnen.
• Die entsprechenden Voraussetzungen müssen also vorliegen, v.a. Vertrag zur Auftragsverarbeitung und ausreichende Maßnahmen nach Art. 32 DSGVO  - TOMs.

Meetergo 

• speichert nach eigenen Angaben die Daten auf deutschen Servern in Frankfurt (Datenzentren nach ISO 27001 zertifiziert)
• erfordert beim Einsatz keine zusätzlichen Cookies
• bietet einen Vertrag zur Auftragsverarbeitung an
• verschlüsselt alle Daten mit einer End-zu-End-Verschlüsselung (RSA-2048 und AES-256)
• verwendet bei der Terminbuchungsseite ein SSL-Zertifikat

Fazit:
Meetergo ist datenschutzkonform verwendbar, wenn ein entsprechender Hinweis in der Datenschutzerklärung auf der Website erfolgt.

Stand: 28.09.2022

Jeder Onlineshop braucht zwingend eine Datenschutzerklärung, da beim Bestellvorgang personenbezogene Daten erhoben, gespeichert und verarbeitet werden (v.a. Adressdaten, E-Mail-Adressen und IP-Adressen).

In vorliegendem Fall ist der Website-Betreiber eine US-Tochter eines deutschen Unternehmens. Die Datenschutzerklärung muss zwingend nach EU-Recht gestaltet werden, sofern sich das Angebot an Kunden in Deutschland bzw. im EU-Raum richtet, da die Anforderungen der DSGVO (u.a. Art. 13 DGSGVO) und des TTDSG (§ 25 TTDSG) jederzeit eingehalten werden müssen (unabhängig vom Sitz des Webseitenbetreibers).

Rein zivilrechtlich gilt das sog. Herkunftslandprinzip, § 3 TMG

Richtet sich das Angebot des Websitebetreibers an US-amerikanische Kundschaft, ist US-Recht zu beachten.

Zu empfehlen sind zwei Websites. Eine für das europäische/deutsche Publikum und eine für das US-amerikanische Publikum.

Stand: 21.09.2022

Was steht im Art. 6 DSGVO?

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

(1)Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a)Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b)die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c)die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d)die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e)die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f)die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Was steht im Art. 49 DSGVO?

Art. 49 DSGVO - Ausnahmen für bestimmte Fälle

(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a)die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,

b)die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,

c)die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,

d)die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,

e)die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,

f)die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,

g)die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

Was steht in § 25 TTDSG?

§ 25 TTDSG - Schutz der Privatsphäre bei Endeinrichtungen

1.Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

2.Die Einwilligung nach Absatz 1 ist nicht erforderlich,

 (1) wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

(2) wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Worin besteht der Unterschied der drei Einwilligungsarten nach Art. 6 DSGVO, Art. 49 DSGVO und § 25 TTDSG?

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

Art. 6 DSGVO bildet die Rechtsgrundlage für alle Arten der Verarbeitung personenbezogener Daten.

Art. 49 DSGVO - Ausnahmen für bestimmte Fälle

Art. 49 DSGVO findet Anwendung, wenn eine Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation stattfindet. Die Norm wird restriktiv ausgelegt und gilt für alltägliche immer wiederkehrende Übermittlungen, z.B. Hotelbuchungen, Flugreservierungen, Überweisungen oder Warenbestellungen.

§ 25 TTDSG - Schutz der Privatsphäre bei Endeinrichtungen

§ 25 TTDSG findet Anwendung bei allen Fällen, bei denen personenbezogene Daten über Endeinrichtungen gespeichert werden, die nicht technisch zwingend nötig sind, um den entsprechenden Dienst zu erbringen, z.B. Cookies oder Analysetools.

Stand: 21.09.2022

Art. 7 DSGVO - Bedingungen für die Einwilligung

1. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
2. Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
4. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Muss eine One-Click-Lösung umgesetzt werden oder darf z.B. eine Abfrage des Grundes sowie die erneute Eingabe der Email-Adresse für die Abmeldung erfolgen?

Art. 7 Abs. 3 S. 4 DSGVO regelt datenschutzrechtlich, dass die Abbestellung eines Newsletters genau so einfach durchzuführen ist, wie die Einwilligung. Die Einwilligung zum Newsletter-Empfang ist zwingend über ein Double-Opt in Verfahren (§ 7 Abs. 2 Nr. 3 UWG) einzuholen, damit der Datenverarbeiter stets nachweisen kann, dass die betroffene Person ausdrücklich damit einverstanden ist, dass ihre personenbezogenen Daten verarbeitet werden und keine wettbewerbswidrige Handlung bzw. keine „unzumutbare Belästigung“ stattfindet.

Eine One-Click-Lösung zur Abmeldung ist gesetzlich nicht vorgeschrieben, wird in der Praxis aber überwiegend empfohlen.

Nach Art. 7 Abs. 3 S. 4 DSGVO ist es rein datenschutzrechtlich also zulässig, dass der Widerruf mit zwei Klicks (z.B. Anklicken des Abmeldelinks in der Mail + Anklicken auf „Wollen Sie sich wirklich abmelden?) durchgeführt wird, sofern die Einwilligung auch mit zwei Klicks durchgeführt wurde. Weitere Schritte, wie z.B. die Pflicht sich mit einem Kunden-Log-In in ein Portal einzuloggen, um sich aus dem Newsletter Verteiler auszutragen zu können, dürften eher unzulässig sein. Gerade das Wettbewerbsrecht ist hier nutzerfreundlich auszulegen.

Die Abfrage eines Grundes bzw. die erneute Eingabe der E-Mail-Adresse für die Abmeldung ist dann zulässig, wenn dies hinsichtlich der Einfachheit der Abmeldung, mit der Einfachheit der Einwilligung gleichzusetzen ist.

Ab wann darf nach erfolgter Abmeldung vom Newsletter wirklich kein Newsletter gesandt werden?

Art. 7 DSGVO - Bedingungen für die Einwilligung

...3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein....

Die Abmeldung vom Newsletter ist also unverzüglich umzusetzen. Erfolgt ein erneuter Newsletter-Versand, obwohl eine Abmeldung erfolgte (und damit auch ein Widerruf der Verarbeitung personenbezogener Daten), ist dies als unzumutbare Belästigung nach § 7 Abs. 2 Nr. 3 UWG einzustufen und als unzulässige Datenverarbeitung nach DSGVO. Der Newsletter-Versender ist also in der Pflicht, den Kunden unverzüglich von der Verteilerliste zu streichen, sobald sich ein Kunde vom Newsletter abgemeldet hat. Eine weitere Mail auch am selben Tag ist unzulässig. Der Versender hat dafür Sorge zu tragen, dass die technischen Möglichkeiten so gestaltet sind, dass ab dem Zeitpunkt der Abmeldung keine weitere Mail mehr versendet wird. Der ehemalige Newsletter-Abonnent hat zudem das Recht, seine personenbezogenen Daten auf Wunsch aus der Datenbank löschen zu lassen.

Stand: 21.09.2022

Konkreter Sachverhalt:

Eine Person eines Haushaltes nimmt die Dienste mobiler Pflegeleistungen in Anspruch. Offiziell wurde die Videoüberwachung installiert, sodass Familienmitglieder die zu pflegende Person helfen können, falls diese stürzt. Dadurch wird die Pflegekraft jedoch während des gesamten Besuchs überwacht. Es gibt keine Hinweisschilder, Einwilligungen oder diesbezügliche Vereinbarungen.

Vorliegend geht es nicht nur um die eigene private Sphäre. DSGVO ist m.E. also anwendbar. Etwas anderes gilt z.B., wenn Videokameras auf privaten Grundstücken angebracht werden – und nur das eigene Grundstück überwachen. Dies eröffnet den Anwendungsbereich der DSGVO nicht (vgl. Art. 2 Abs. 2 lit.c DSGVO).

Als Rechtsgrundlage stehen aber immer zur Verfügung:

Das Recht auf informationelle Selbstbestimmung („Volkszählurteil von 1983“ - Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG)) sowie das Recht am eigenen Bild nach KUG.

Sobald Dritte von den Überwachungen betroffen sind, müssen also deren berechtigte Interessen berücksichtigt werden
--> Abwägung!

Vorliegend halten wir die dauerhafte Überwachung der Pflegeperson, aber auch der zu pflegenden Person für einen erheblichen Eingriff in das informationelle Selbstbestimmungsrecht.

Welche Möglichkeiten gibt es seitens des Arbeitgebers der Pflegekraft zu reagieren?

Es ist darauf hinzuweisen, dass eine Überwachung der Pflegekräfte nicht geduldet wird
(Fürsorgepflicht des Arbeitgebers).

Die Kamera ist während der Anwesenheit der Pflegekraft abzuschalten.

Sofern die Pflegekraft mit der Videoüberwachung einverstanden ist, darf die Kamera weiterhin auch den Pflegebesuch aufzeichnen. Hierzu ist eine schriftliche Einwilligung von der Pflegekraft einzuholen und sie muss m.E. auch über ihre Rechte aufgeklärt werden.

Stand: 21.09.2022

BAG-Urteil vom 05.05.2022 (2 AZR 363/21)

Sachverhalt:

Eine Hausangestellte hat von ihrem Arbeitgeber Auskunft nach Art. 15 DSGVO verlangt, einschließlich der über sei erfassten Arbeitszeit. Im Wege der Stufenklage machte sie zudem eine sich aus der Auskunft ergebende Nachzahlung der Vergütung geltend. Mit einem weiteren Antrag verlangte die Klägerin dann die Zahlung eines in das Ermessen des Gerichts gestellten immateriellen Schadensersatzes „auf der Grundlage von Art. 15 DS-GVO“. Die Arbeitszeitaufzeichnungen wurden zwar von der Beklagten übersandt, allerdings nicht innerhalb der Fristen des Art. 12 Abs. 3 und 4 DSGVO.

Da die Beklagte dem Auskunftsbegehren nicht vollständig nachgekommen sei, habe sie Anspruch auf immateriellen Schadensersatz nach Art. 82 DS-GVO, der mindestens 6.000 EUR betrage.

Entscheidung: EUR 1.000,- Schadensersatz ist angemessen.

Begründung:

Es gibt einen weiten Ermessensspielraum des Gerichts, in dem die Besonderheiten des jeweiligen Einzelfalls zu berücksichtigen sind. Wesentlicher Grund der Klage waren vorliegend die Arbeitszeitaufzeichnungen. Diese waren übersandt worden. Die Klägerin habe nicht vorgetragen, dass ihr durch die zu späte Zusendung ein immaterieller Schaden entstanden sei. Nicht jeder Eingriff in das allgemeine Persönlichkeitsrecht in Form des Rechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 iVm. Art. GG Artikel 1 Satz 1 GG habe einen Entschädigungsanspruch zur Folge. Im vorliegenden Fall sei eine Persönlichkeitsrechtsverletzung der Klägerin nicht so schwerwiegend, dass sie nur durch eine Geldentschädigung in befriedigender Weise ausgeglichen werden könne. Der Klägerin sei es mit ihrem Auskunftsanspruch ausweislich ihres Prozessverhaltens nicht um den Schutz ihrer persönlichen Daten, sondern um die Beschaffung von Informationen zur Vorbereitung eines Zahlungsanspruchs gegen die Beklagte gegangen. Eine rechtswidrige Beschaffung oder Verwendung personenbezogener Daten durch die Beklagte behaupte die Klägerin indes nicht.

Stand: 20.09.2022

EuGH Urteil zur Vorratsdatenspeicherung

Auswirkungen:

Das Verfahren vor dem Bundesverwaltungsgericht wird nun fortgeführt.

Die Politik hat bereits angekündigt, die Vorratsdatenspeicherung in dieser Form aus dem TKG zu streichen bzw. entsprechend dem EuGH-Urteil zu verändern.

Für den einzelnen Bürger besteht nun Gewissheit, dass der Staat nicht anlasslos Daten auf Vorrat speichern darf. Ausnahme: es liegt eine ernste Bedrohung für die nationale Sicherheit vor.

Es wird nun (hoffentlich) eine politische Debatte darüber geben, wieviel Überwachung in Deutschland notwendig bzw. den Bürgern zumutbar ist. 

Stand: 21.09.2022

Bedürfen Controlling-Mitarbeiter in Unternehmen bzw. Konzernstrukturen besonderer Schulungen/Verpflichtungen, damit mit deren Wissen um Löhne und Gehälter einzelner Personen rechtlich korrekt umgegangen wird?

Wie definiert die DSGVO einen Konzern?

Art. 4 Nr. 19 DSGVO: „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“.

Personenbezogene Daten dürfen laut Erwägungsgrund 48 DSGVO  bei berechtigtem Interesse zu ganz bestimmten Zwecken innerhalb von Konzernstrukturen ausgetauscht werden. Hierfür muss (zumindest) die rechtliche Grundlage des Art. 6 Abs. (1) f DSGVO (Rechtmäßigkeit der Verarbeitung) erfüllt sein.

Gehaltsdaten könnten z.B. auch anonymisiert bzw. pseudonymisiert verarbeitet werden, sodass keine Zuordnung zu natürlichen Personen möglich ist. Grundsätzlich ist immer der Grundsatz der Datensparsamkeit (Art. 5 DSGVO) zu beachten.

Es gibt keine allgemeingültige Regelung, dass Controlling-Mitarbeiter in Unternehmen bzw. Konzernstrukturen bzgl. der Gehaltsdaten spezielle Schulungen absolvieren müssen. 

Wie wird mit der Situation in Konzernstrukturen umgegangen, wenn etwa in einem Unternehmen nur eine Person angestellt ist? Das Controlling z.B. des Mutterkonzerns hat dann die Möglichkeit, die Kostenstelle „Löhne/Gehälter“ dieses Tochterunternehmens einzusehen, in welchem nur eine Person arbeitet – und weiß somit das Gehalt jener Person. 

Antwort: Das Wissen über Gehälter ist  der Position des Controlling-Mitarbeiters immanent. Betroffene Personen müssen darüber auch nicht gesondert informiert werden. Über Geheimhaltungsverpflichtungen kann (und sollte) allerdings die Verschwiegenheit vereinbart werden. Nur aufgrund der Möglichkeit der konkreten Zuordnung von Gehaltsdaten mehr Personen als benötigt im Unternehmen zu beschäftigen, wäre vermutlich wirtschaftlich gesehen wenig sinnvoll.

Stand: 14.09.2022

Was ist Calendly?

Calendly ist eine Terminplanungssoftware. Kunden können sich selbst automatisiert verfügbare Termine über eine Website reservieren und sich diese dann in den eigenen Terminkalender integrieren und Erinnerungsmails dazu schicken lassen. Es ist eine Anbindung an den persönlichen Terminkalender notwendig, damit Termine sofort im Terminkalender blockiert werden.

Calendly ist ein amerikanischer Dienst. Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields jetzt Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.

Im Einzelnen:

Voraussetzungen für den datenschutzkonformen Einsatz von Calendly:

    1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)

    2. Standarddatenschutzklauseln vereinbaren

    3. Einwilligung des Betroffenen einholen

    4. Entsprechender Hinweis in der Datenschutzerklärung auf der Website bzw. anderweitig
        in Textform

LiiDU-Tipp:  Eine deutsche Alternative mit Servern in Deutschland nutzen, z.B. Meetergo

Stand: 14.09.2022

Bei einer kostenpflichtigen App werden sensible Gesundheitsdaten verarbeitet. In Folge einer Lösch- anfrage sollen die Daten gelöscht und nicht mehr gesperrt vorgehalten werden. Kann das Löschen per AGB geregelt werden kann? 

Wie werden Löschungsfristen in der DSGVO geregelt?

Art. 17 DSGVO - Recht auf Löschung

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

Wann kann ein Antrag auf Löschung gestellt werden?

Um eine Löschung nach Art. 17 DSGVO durchsetzen zu können, muss einer der Gründe des Art. 17 Abs. 1 DSGVO vorliegen. Werden die Daten z.B. im Rahmen einer ärztlichen Behandlung gespeichert, kann nicht willkürlich eine Löschung beantragt werden, da seitens der Ärztekammer eine Aufbewahrungsfrist ärztlicher Aufzeichnungen von mindestens 10 Jahren vorgeschrieben ist,
vgl. § 10 Abs. 3 BO.

Werden sensible Gesundheitsdaten z. B. aber in einer privaten und freiwillig verwendeten Fitness-App gespeichert, kann der Betroffene die Löschung der Daten verlangen.

Ergebnis: Die gesetzliche Grundlage für das Recht auf Löschung ergibt sich aus der DSGVO.
In AGB kann nichts Gegenteiliges geregelt werden.

Würde sich etwas  ändern, wenn die Daten nach der Löschaufforderung anonymisierten gespeichert werden?

Nein, prinzipiell ändert eine Anonymisierung der Daten nichts. Zweck und Rechtsgrundlage müssen ja zum Zeitpunkt der Datenerhebung vorgelegen haben (und andauern).
Mit einer Anonymisierung dürfte sich beides ändern.

Hier stellt sich zudem die Frage, ob eine Anonymisierung von sensiblen Gesundheitsdaten überhaupt möglich wäre, wenn der Personenbezug bereits vorhanden war. Es wäre vermutlich lediglich eine Pseudonymisierung (Art. 4 DSGVO) umsetzbar.

Ausweg: Einwilligung des Betroffenen

Stand: 14.09.2022

Was steht im Urteil des OLG Stuttgart vom 10.08.2022? (9 U 24/22)

Urteil des OLG Stuttgart (9 U 24/22)

Sachverhalt:

A bekam vom Amtsgericht München aufgrund seiner geleisteter Zahlung im Rahmen seines Verbraucher-Insolvenzverfahrens nach drei Jahren vorzeitig Restschuldbefreiung.  Diese Informationen wurden öffentlich unter www.insolvenzbekanntmachungen.de veröffentlicht. Die beklagte SCHUFA entnahm diese (und weitere ihr verfügbare) Daten über den Kläger, speicherte sie und machte sie ihren Vertragspartners zugänglich, sofern diese ein berechtigtes Interesse an der Kreditfähigkeit des Klägers darlegen konnten.

Auf der Grundlage des von der SCHUFA angewendeten sog. Code of Conduct für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien, vorgelegt vom Verband „Die Wirtschaftsauskunfteien e.V.“ (nachfolgend: CoC, Anl. B4) löscht die SCHUFA personenbezogene Daten taggenau drei Jahre nach Ausgleich gespeicherter Forderungen bzw. - nach Antrag betroffener Personen - wenn die Speicherung nach individueller Prüfung nicht mehr erforderlich ist.

Der Kläger hält eine 6-Monatsfrist für ausreichend. Eine darüber hinausgehende Speicherung seiner Daten sei rechtswidrig. Ausschlaggebend sei § 3 Abs. 1 f. InsBekV, wonach diese Daten aus dem Portal www.insolvenzbekanntmachungen.de nach 6 Monaten zwingend zu löschen sind. Sein Hauptargument: Die weitere Speicherung erschwere ihm entgegen dem mit der Restschuldbefreiung verfolgten Zweck eines wirtschaftlichen Neustarts die Teilnahme am Wirtschaftsleben, obwohl er sich während der Wohlverhaltensperiode vorbildlich verhalten und so viele Schulden getilgt habe, dass die Restschuldbefreiung vorzeitig erteilt worden sei. Insbesondere sei ihm die Finanzierung einer Wohnung oder eines Hauses sowie eines neuen Autos ebenso wenig möglich wie die Überziehung seines Kontos, obwohl es keine gesicherten wissenschaftlichen Erkenntnisse über konkrete Neuverschuldungen mit Zahlungsausfällen und Insolvenzen innerhalb von drei Jahren nach der Restschuldbefreiung gebe.

Urteil des OLG Stuttgart (9 U 24/22) – Klage auf Löschung wurde abgelehnt

Begründung:

Datenverarbeitung nach Art. 6 Abs. 1 lit. f) DSGVO zulässig.

Danach muss die im Rahmen der nach Art. 6 Abs. 1 lit. f) DSGVO vorzunehmenden, konkreten Interessenabwägung zugrunde zu legenden Interessen der Betroffene selbst darlegen. Denn aus der Formulierung der Verarbeitungsbeschränkung in Art. 6 Abs.1 lit. f), 2. Halbs. DSGVO „［…］ sofern nicht ［…］“ ergibt sich ein - vom Betroffenen zu widerlegendes - Regel-Ausnahme-Verhältnis für die Zulässigkeit der zur Wahrung berechtigter Interessen erforderlichen Datenverarbeitung. Diese ist nach Art. 6 Abs. 1 lit. f) DSGVO gerade dann rechtmäßig i. S. d. Art. 5 Abs. 1 DSGVO, wenn sie zur Wahrung berechtigter Interessen erfolgt und die Interessen und Rechte der betroffenen Person nicht überwiegen. Nach der Systematik ist die Verarbeitung also immer dann rechtmäßig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist, selbst wenn Interessen des Betroffenen gegenüberstehen, solange diese nur gleichwertig sind.

Sie wird erst dann rechtswidrig, wenn die Interessen und Rechte des Betroffenen überwiegen, wofür folglich er die Darlegungs- und Beweislast trägt
(so auch Paal/Pauly, Frenzel, aaO., Art. EWG_DSGVO Artikel 6 DS-GVO, Rn. 31; vgl. auch Gola, Schulz, DS-GVO, aaO., Art. 6, Rn. 58).

Vorliegend konnte der Kläger kein überwiegendes Interesse und keine überwiegenden Rechte nachweisen.

Ergebnis:

Die Verarbeitung durch die Beklagte erfolgte aus Art. 6 Abs. 1 lit. f) DSGVO zur Wahrung ihrer eigenen sowie der berechtigten Interessen ihrer Vertragspartner als Dritte, ohne dass überwiegende Interessen des Klägers dem entgegenstehen würde.

(Vorzeitiger) Löschungsantrag ist gescheitert.

Gegenteilige Auffassung:

OLG-Schleswig, Urteil vom 02.07.2021

Die Sache ist vor dem BGH anhängig!

Urteil des OLG Stuttgart (9 U 24/22) – Klage auf Löschung wurde abgelehnt

Fazit:

Eine Verarbeitung personenbezogener Daten, wird erst dann rechtswidrig, wenn die Interessen und Rechte des Betroffenen überwiegen, wofür folglich er die Darlegungs- und Beweislast trägt (so auch Paal/Pauly, Frenzel, aaO., Art. EWG_DSGVO Artikel 6 DS-GVO, Rn. 31; vgl. auch Gola, Schulz, DS-GVO, aaO., Art. 6, Rn. 58).

Stand: 14.09.2022

Ist ein AV-Vertrag nach Art. 28 DSGVO nötig?

Wir hatten im Datenschutz-Weekly hier schon einmal die Frage zu Cloudflare beantwortet (siehe FAQ Datenschutz)

Die Antwort war: wenn personenbezogene Daten über den Dienst erhoben werden, sind alle DSGVO-Vorgaben einzuhalten. Im Falle von Cloudflare ist die Rechtslage unsicher, der TÜV-Süd ist hier den Weg über die technisch-notwendigen Cookies gegangen.

LG Braunschweig: Cookiebot über ein CDN (Content Delivery Networks) ist unzulässig

CDN-Leistungen könnten auch als TK-Leistungen eingeordnet werden und wären dann über § 6 TTDSG priviligiert.
Damit wäre das nicht primär ein Datenschutz-Thema.

Ansonsten gilt, was für den DSGVO-konformen Einsatz von Tools notwendig ist:

• Einwilligungen der Nutzer in Cookies
• AV-Vertrag abschließen
• Standardvertragsklauseln abschließen (bei US-Anbieter) und
• Datenschutzerklärungen anpassen

Stand: 27.07.2022

Was steht in der DSGVO bzgl. der Aufbewahrung von personenbezogenen Daten?

Art. 5 DSGVO - Grundsätze für die Verarbeitung personenbezogener Daten (Grundsatz der Datenminimierung)

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2)  Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Wie lange müssen/dürfen Personaldaten (Allgemeine Daten, Zeitbuchungsdaten, Urlaub, Krankheit) aufgehoben werden? 

§ 26 BDSG - Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

(1) Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Beispiele für weitere Rechtsgrundlagen zu Aufbewahrungspflichten, die neben der DSGVO einzuhalten sind

• § 195 BGB – Personaldaten müssen 3 Jahre lang aufbewahrt werden (--> erst danach können durch ehemalige Mitarbeiter in der Regel keine arbeitsrechtlichen Ansprüche mehr geltend gemacht werden)
• Verdienstabrechnungen (6 Jahre), Lohnunterlagen (10 Jahre)
• Lohnnachweise über Arbeitsstunden und Entgelt (5 Jahre), betrieblichen Altersvorsorge (6 Jahre)

Stand: 27.07.2022

Pflicht zur E-Mail-Signatur - Rechtsgrundlagen:

• Selbständige, die im Handelsregister eingetragen sind, § 37a Abs. 1 Handelsgesetzbuch (HGB)
• Gesellschaft mit beschränkter Haftung (GmbH) und Unternehmergesellschaft (haftungsbeschränkt) (UG), § 35a GmbHG
• Aktiengesellschaft (AG), § 80 AktG.
• Offene Handelsgesellschaft (OHG), § 125a Abs. 1 HGB
• Kommanditgesellschaft (KG), §§ 177a, 125a HGB
• Genossenschaften (Gen), § 25a GenossenschaftsG

Welche Angaben müssen enthalten sein?

• Firmenname
• Adresse/Sitz des Unternehmens/der Gesellschaft
• Rechtsform
• Registergericht und Registernummer
• Gegebenenfalls (je nach Gesellschaftsform): Vertretungsbefugte (auch stellvertretende) Geschäftsführer, Aufsichtsratsvorsitzende,  Vorstandsvorsitzende (alle jeweils mit Vor- und Nachnamen),
  Zweigniederlassungen im Ausland, Land der Registrierung   

 Die DSGVO findet hier keine Anwendung!

Stand: 27.07.2022

§ 5 Allgemeine Informationspflichten Telemediengesetz (TMG)

• Impressum: Informationspflichten über den Diensteanbieter (= idR. der Webseitenbetreiber), vgl. § 5 TMG, §18 Abs. 2 MStV
• Datenschutzerklärung: klärt über die Verarbeitung personenbezogener Daten auf; Möglichkeit insbesondere den Informationspflichten nach Art. 12, 13 DSGVO nachzukommen
• AGB: Allgemeine Geschäftsbedingungen eines Unternehmens (-teils)

Welche Vorgaben sind zu beachten?

• Leichte Auffindbarkeit --> Impressum und Datenschutzerklärung müssen von jeder Seite aus verlinkt sein
• Eindeutige Kennzeichnung ist erforderlich --> Nutzer muss sofort erkennen können, wo diese Hinweise zu finden sind
• Eine Zusammenfassung von Impressum und Datenschutzerklärung ist grundsätzlich möglich, sofern bei der Navigation beide Begriffe explizit genannt sind und deutlich erkennbar sind, dass beide Dokumente hier zu finden sind

Unsere Empfehlung:

• Impressum und Datenschutzerklärung können – müssen aber nicht – auf jeweils auf eigenen Seiten zur Verfügung gestellt werden. Entscheidend ist die transparente Kennzeichnung in der Navigation („Impressum und Datenschutz“)
• Für AGB gilt dasselbe. Sofern AGB überhaupt auf die Website müssen, können diese (müssen aber nicht) auf einer separaten Seite dargestellt werden. Der Übersichtlichkeit halber empfiehlt sich hier aber wohl eine eigene Unterseite;

Dürfen Impressum, Datenschutzerklärung und AGB auch als PDF in die Website eingefügt sein?

Die Vorgabe, dass das Impressum und die Datenschutzerklärung von jeder einzelnen Unterseite einer Website (egal ob mit Desktop/Mobilgerät) mit maximal zwei Klicks erreichbar sein muss, muss jederzeit zwingend eingehalten werden.

Unsere Empfehlung:

• Impressum und Datenschutzerklärung immer im HTML-Format einbinden und nicht als PDF
• Nur so kann sichergestellt werden, dass jeder Nutzer mit jedem Gerät immer darauf zugreifen und es lesen kann
  (z.B. auch bei fehlenden PDF-Readern am Smartphone)
• Es besteht keine Pflicht, AGB auf der Website bereitzuhalten. Als Kundenservice ist das Zurverfügungstellen der AGB jedoch als PDF zum Ausdrucken für manche Websitebetreiber empfehlenswert und bringt ggf. einen Mehrwert für den Kunden

Stand: 27.07.2022

Die DS-GVO schützt personenbezogene Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Art. 2 Abs. 1 DSGVO

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Konkrete Frage:

Ist das Erfassen von Objekten mit einem optischen Sensor, der die Pixeldaten weder als Datei abspeichern noch an einem Monitor anzeigen kann, datenschutzkonform?

Beck-Kommentar hierzu: Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 2 Rn. 2-10:

Der Begriff Dateisystem (filing system), der im Vorentwurf noch „Datei“ hieß (so wie auch in Art. 2c DSRL), wird definiert in Art. 4 Nr. 6 (→ Art. 4 Rn. 52 ff.) als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“. … Letztlich sind Dateisysteme idS Sammlungen personenbezogener Daten, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können (vgl. Art. 2c DSRL).

Erwägungsgrund 15 zur DSGVO: Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.

Das heißt: der Anwendungsbereich der DSGVO ist eröffnet, es handelt sich nicht um rein anonyme Daten oder Ähnliches.

Damit müssen alle Vorgaben der DSGVO eingehalten werden, vor allem Informationspflichten, Auskunftspflichten, etc. Wenn das der Fall ist, können auch optische Sensoren datenschutzkonform eingesetzt werden.

Die korrekte Fragestellung müsste jedoch lauten:

Paal/Pauly/Ernst DS-GVO Art. 2 Rn. 2-10:

Die DS-GVO gilt neben der ganz oder teilw. automatisierten Datenverarbeitung auch für die nicht automatisierte Verarbeitung personenbezogener Daten, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Der Schutz natürlicher Personen soll schließlich neben der automatisierten gleichermaßen auch die manuelle Verarbeitung von personenbezogenen Daten umfassen (ErwGr 15). Dies gilt allerdings nur dann, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen (ErwGr 15). Die nicht automatisierte Verarbeitung von Daten bezieht sich allein auf den analogen Bereich (insbes. auf Papier).

Das heißt: Speicherung in ein Dateisystem ist nur für die nichtautomatisierte Verarbeitung ein Kriterium. Für die automatisierte Verarbeitung (wie in unserem Fall) gilt die DSGVO auch dann, wenn keine klassische Speicherung in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Das heißt, die Frage muss lauten: Ist der Anwendungsbereich der DSGVO eröffnet, wenn Objekte mit einem optischen Sensor erfasst werden, der die Pixeldaten weder als Datei abspeichert noch an einem Monitor anzeigen kann?

Ab wann ist bei der automatisierten Verarbeitung von Daten kein Personenbezug mehr gegeben?

• Was sagen die Gerichte dazu?
• Was hätte das für Konsequenzen?

Was sind personenbezogene Daten?

Art. 4 Ziff. 1 DSGVO:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …“

Entscheidend ist, ob eine Angabe einer bestimmten Person zugeordnet werden kann, bzw. wenn der Betroffene mit Referenzdaten ermittelt werden kann. Erst bei absoluter Unmöglichkeit, einen Zusammenhang zwischen einem Datum und einer natürlichen Person herzustellen, fehlt es an der Bestimmbarkeit. Problematisch ist einerseits die Frage, ob auch eine „praktische Irrelevanz“ hierzu ausreicht, andererseits aber jene, ob von einer solchen angesichts der technischen Verknüpfungsmöglichkeiten, die moderne Computersysteme bieten, überhaupt noch gesprochen werden kann., vgl. Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13

Ab wann ist bei der automatisierten Verarbeitung von Daten kein Personenbezug mehr gegeben?

Inwieweit braucht es konkretes Zusatzwissen, damit man von einem Personenbezug sprechen kann? Beispiel IP-Adresse: für Provider kann sie ohne Weiteres einem Nutzer zuordnen. Das ist bei Speicherung durch Dritte nicht der Fall.

EuGH (EuGH ZD 2017, 24 Rn. 46 ff): bei einem gesetzlichen Verbot oder einer praktischen Undurchführbarkeit aufgrund unverhältnismäßigem Aufwands ist das Risiko einer Identifizierung vernachlässigbar. (Aber: schon bei einem Anbieter von Onlinediensten in Bezug auf dynamische IP-Adressen ist ein solches Hindernis nicht gegeben), Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13

Die Verwendung des Begriffs „indirekt“ durch den Unionsgesetzgeber deutet darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht. Rn 41

Stand: 27.07.2022

Konkrete Ausführung der Frage:

Ein Dienstleister beschreibt in seinem AV folgenden Punkt:

7.3 im AVV
Durch Kontrollen entstehende Kosten trägt der Auftraggeber, dies umfasst auch eine Aufwandsentschädigung für die Arbeitszeit des vom Auftragnehmer beanspruchten Personals.

_______________________________________________________

Nach unserer Auffassung muss dieser Punkt aus dem AV gestrichen werden. Begründung: Aus der Verantwortlichkeit für die Einhaltung der datenschutzrechtlichen Anforderungen ergibt sich die Pflicht des Verantwortlichen, den Auftragsverarbeiter im erforderlichen Umfang zu überprüfen. Er muss sich grundsätzlich fortlaufend von der Einhaltung der zugesagten technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter überzeugen. Dementsprechend muss der Auftragsverarbeiter Überprüfungen ermöglichen und dazu beitragen (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO). Diese gesetzlich vorgeschriebene Mitwirkungspflicht darf grundsätzlich nicht von einem gesonderten Entgelt abhängig gemacht werden.

Was regelt die DSGVO zum Thema Auftragsverarbeiter?

Art. 28 DSGVO Auftragsverarbeiter

„...

(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. 2Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. …“

Ist eine solche Vergütungsklausel im AV-Vertrag zulässig?

Wir teilen Ihre Meinung!

Ein weiters Argument für diese Auffassung: Die Vergütungsklausel könnte eine unangemessene Benachteiligung nach § 307 Abs. 2 BGB darstellen, womit die Klausel auch AGB-rechtlich unzulässig wäre.

Begründung:

Bei Auftragsverarbeitungsverträgen nach Art. 28 DSGVO handelt es sich fast immer um vorformulierte Vertragsbedingungen. Es gibt im AGB-Recht nur enge Grenzen, innerhalb derer von den gesetzlichen Regelungen abgewichen werden dürfen. Da nach Art. 28 DSGVO grundsätzlich dem Auftraggeber das Recht zusteht, seine Kontrollmaßnahmen durchzuführen, kann ihm die Ausübung dieses Rechts nur in sehr engen Grenzen erschwert werden. Insbesondere die Übernahme der Personalkosten des Auftragsverarbeiters ist daher aus unserer Sicht mit der Regelung in Art. 28 Abs. 3 lit. h) DSGVO unvereinbar und damit eine unangemessene Benachteiligung i.S.d. § 307 Abs. 2 Nr. 1 BGB. Damit wäre diese Klausel unwirksam.

Wie ist nun in so einem Fall vorzugehen?

Drei Möglichkeiten:

1. In einem Standardvertrag kann die Klausel eventuell stillschweigend angenommen – und später dann AGB-rechtlich angegriffen werden, wenn sich der Auftragsverarbeiter bei einer Rechnungstellung darauf stützen möchte.
2. Klausel aus dem Vertrag rausverhandeln, damit Klarheit herrscht (beste Lösung!)
3. Falls 2. nicht möglich ist, weil sich Vertragspartner widersetzt oder ein großer Player ist, der AV-Verträge generell nicht verhandelt: Vertrag annehmen, aber dieser einen Klausel konkret widersprechen.

Stand: 20.07.2022

Zur Sprache der Auskunft haben wir keine Vorgaben gefunden, aber zu den Informationspflichten nach DSGVO:

„Grundsätzlich müssen die Informationen für den jeweiligen Betroffenen nach Art. 12 Abs. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Hierzu gehört es, die Informationen in der gängigen Sprache des Landes zur Verfügung zu stellen, an das sich das Online-Angebot richtet. Die Europäischen Datenschutzaufsichtsbehörden gehen im Working Paper 260 unter Randziffer 13 davon aus, dass eine Übersetzung dann erfolgen sollte, wenn sich das Angebot an Personen mit einer entsprechenden Sprache richtet. Daraus folgt unsere Empfehlung, eine Übersetzung in jede Sprache des Landes vorzunehmen, an das sich der Onlineshop richtet. …

Sofern ein Online-Shop seine Waren in Europa nicht durchgängig in englischer Sprache, sondern auch in einzelnen Landessprachen der europäischen Union anbietet, muss er sicherstellen, dass die Datenschutzinformationen in der jeweiligen Landessprache vorgehalten werden und Auskunftsbegehren ebenfalls in der jeweiligen Landessprache erfolgen können.“

Mehr Infos beim LDA Bayern

Stand: 20.07.2022

Was regelt die DSGVO zu den technischen und organisatorischen Maßnahmen?

Art. 32 DSGVO: Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Was regelt das BDSG-neu zu den technischen und organisatorischen Maßnahmen?

§ 64 BDSG: Anforderungen an die Sicherheit der Datenverarbeitung

(3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),

2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),

3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),

4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),

5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),

6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),

7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),

8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),

9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),

10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),

11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),

12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).

Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden

Was regelt die DSGVO das Thema Auskunft von Verantwortlichen?

Art. 15 DSGVO:

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) …“

Das heißt:  der Verantwortliche ist zur Auskunft nach den gesetzlichen Vorgaben verpflichtet. 

• Hier Templates des BayLDA für die Auskunftserteilung
• Hier ein ausführliches Merkblatt des Bayerischen Landesbeauftragten für den Datenschutz zum Thema Auskunft

Kann ein Betroffener Auskunft über TOMs von dem Verantwortlichen verlangen?

Betroffenenrechte: Recht auf

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
• Recht darauf, keiner automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO)
• Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO i.V.m. § 19 BDSG)

Diese Rechte sind abschließend. In Frage kommt hier nur Art. 15 DSGVO.
Dieser umfasst keine Auskunft über TOMs.

Stand: 20.07.2022

Was steht in dem Schreiben des BayLDA zur „Präventionsprüfung zum Thema Absicherung von E-Mail-Accounts“? 

Prüfbogen des BayLDA

1. Phishing-Awareness und allgemeines Sicherheitsbewusstsein
2. Passwörter, Mehr-Faktor-Authentifizierung und Benutzerverwaltung
3. Administrative Pflege der Accounts und Konfiguration
4. Überprüfung des Datenverkehrs
5. Device und Patch Management sowie Backup-Konzept

Was gibt es bei der Antwort Wichtiges zu beachten?

Zu beachten:

Ja, es ist innerhalb der gesetzten Frist Stellung zu nehmen. Der Antwortbogen ist online unter www.lda.bayern.de/kontrolle auszufüllen und Begründungen sind ebenfalls online einzureichen.
Keine schriftliche Einreichung nötig!

Die Handreichung durchlesen und eventuelle Begründungen damit abgleichen.

Den IT-Sicherheitsbeauftragten und den Datenschutzbeauftragten in die Antwort miteinbinden.

Stand: 20.07.2022

Ich bin Vermieter einer Privatwohnung, die von einer WEG verwaltet wird.
Ist die DSGVO für mich als Vermieter anwendbar? Was muss ich als Vermieter alles einhalten?

Ist die DSGVO für mich als Vermieter anwendbar?

LG Wiesbaden, Urteil vom 30.09.2021 - 3 S 50/21

Sachverhalt:

• ein Mieter klagte auf Auskunft nach Art. 15 DSGVO gegen seine Vermieterin, nachdem er erfuhr, dass seine Betriebskostenabrechnung von einer beauftragten GmbH erstellt wurde und der Ehemann der Vermieterin seine Mobilfunknummer und Namen abgespeichert hatte.

Entscheidung:

• Der Auskunftsanspruch des Mieters wurde auch in der Berufung bestätigt. Insbesondere sei der Anwendungsbereich der DSGVO eröffnet, es finde eine Verarbeitung personenbezogener Daten statt, die Haushaltsausnahme aus Art. 2 Abs. 2 lit. c DSGVO greife nicht. 

Folge aus dem Urteil des LG Wiesbaden, Urteil vom 30.09.2021 - 3 S 50/21

• Bei Mietverhältnissen (vor allem, wenn nicht nur eine einzige Wohnung vermietet wird) werden personenbezogene Daten verarbeitet, z.B. Schufa-Auskunft, Handynummer, Nebenkostenabrechnung, SEPA-Lastschriftdaten, deshalb greift auch hierfür die DSGVO
• --> Informationspflicht und Dokumentationspflicht seitens des Vermieters, wie mit Daten umgegangen wird, welche Daten weitergegeben und welche Daten gespeichert werden à Mietern steht grundsätzlich ein Auskunftsanspruch gemäß Artikel 15 DSGVO zu

Was muss ich als Vermieter alles einhalten?

• Derzeit herrschende Meinung: Alle Regelungen der DSGVO müssen jederzeit eingehalten werden
  
• Die Regelungen der DSGVO müssen vor/während/ggf. noch nach Beendigung des Mietverhältnisses beachtet werden, z.B.
  
  • Vor Mietbeginn: E-Mail Verkehr für die Vereinbarung eines Besichtigungstermins,
    Schufa-Auskunft, etc.
  • Während des Mietverhältnisses: Telefonnummer, Adresse, Name, SEPA-Mandat, Nebenkostenabrechnung, etc.
  • Nach Beendigung des Mietverhältnisses: Name und neue Adresse für Nebenkostenabrechnungen des Vorjahres, steuerliche Aufbewahrungsfristen, etc.

Diese rechtliche Würdigung kann kritisch gesehen werden, vor allem, wenn steuerrechtlich eine private Vermögensverwaltung gegeben ist.

Stand: 13.07.2022

Was ist der rechtliche Hintergrund zum Gesetz für faire Verbraucherverträge?

• Zum 01.10.2021 traten bereits Teile des Gesetzes für faire Verbraucherverträge in Kraft
• Es gab Neuregelungen bei Dauerschuldverhältnissen und automatischen Vertragsverlängerungen
• Zusätzlich wurde dadurch auch eine neue Online-Kündigungsmöglichkeit geschaffen, durch die Regelungen zur „Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr“, § 312k BGB.
• Seit dem 01. Juli 2022 treffen damit jeden Unternehmer, der Verbrauchern ermöglicht, über eine Website einen Vertrag über ein Dauerschuldverhältnis zu schließen, bestimmte Pflichten, die dem Verbraucher die Kündigung erleichtern sollen

Welche Anforderungen muss ein Kündigungsbutton erfüllen?

• Die Pflicht betrifft Dauerschuldverhältnisse. Das sind Schuldverhältnisse, die nicht auf eine einmalige Leistungserbringung gerichtet sind, sondern auf gewisse Dauer angelegt sind und ständig neue Leistungspflichten entstehen lassen
• Es muss eine Kündigungsschaltfläche implementiert werden, über die der Kunde kündigen kann
• Der Button muss gut lesbar sein
• Der Button muss mit der Formulierung „Verträge hier kündigen“ oder einer entsprechenden eindeutigen Formulierung beschriftet sein, vgl. § 312k Abs.2 BGB
• Nach dem Klick auf diese Schaltfläche muss der Kunde zu einer Bestätigungsseite geführt werden

• Die Schaltfläche muss ständig verfügbar sowie unmittelbar erreichbar und leicht zugänglich sein (vgl. Impressum)
• Der Verbraucher muss die Kündigungserklärung mit Datum und Uhrzeit auf einem dauerhaften Datenträger speichern können; dabei muss erkennbar sein, dass die Erklärung über die Schaltfläche abgegeben worden ist
• Der Unternehmer muss dem Verbraucher sofort auf elektronischem Weg die Kündigung unter Angabe folgender Daten bestätigen:
  • Inhalt der Kündigungserklärung,
  • Datum und Uhrzeit des Zugangs der Kündigungserklärung
  • Zeitpunkt, zu dem das Vertragsverhältnis beendet werden soll
    
• --> Bei Nichteinhalten hat der Kunde ein jederzeitiges sofortiges Kündigungsrecht!

Gilt die Anforderung an den Kündigungsbutton auch für Verbände/Vereine in Bezug auf die Mitgliedschaft?

BGB: § 312k Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr

Vertrag zwischen Unternehmer und Verbraucher: Definition des Unternehmers in § BGB 14 :
Vereine fallen darunter.

Begründung eines Dauerschuldverhältnisses: Mitgliedschaft ist ein Dauerschuldverhältnis

Vertrag muss im elektronischen Geschäftsverkehr abgeschlossen worden sein:
Definition in BGB: § 312i Allgemeine Pflichten im elektronischen Geschäftsverkehr

(1) Bedient sich ein Unternehmer zum Zwecke des Abschlusses eines Vertrags über die Lieferung von Waren oder über die Erbringung von Dienstleistungen der Telemedien (Vertrag im elektronischen Geschäftsverkehr), hat er dem Kunden

1. angemessene, wirksame und zugängliche technische Mittel zur Verfügung zu stellen, mit deren Hilfe der Kunde Eingabefehler vor Abgabe seiner Bestellung erkennen und berichtigen kann.

--> Vereinsmitgliedschaft ist keine Ware und auch keine Dienstleistung!
--> kein Kündigungsbutton erforderlich!

Stand: 13.07.2022

Welche Rechte kann man als Besucher einer Website aus der Tatsache ableiten, dass der Seitenbetreiber nur ein http – Protokoll zum Aufruf der Seite anbietet – und nicht ein (verschlüsseltes) https-Protokoll?

Sowohl die DSGVO, das BDSG als aus das TTDSG schützen grundsätzlich personenbezogene Daten beim Website-Besuch. Die Regelungen im TTDSG stammen ursprünglich aus dem IT-Sicherheitsgesetz (das Regelungen für das TMG (alte Fassung) enthielt).

§ 19 Abs. 4 TTDSG regelt, dass Sicherheits-Vorkehrungen für Telemedien zu treffen sind. „Eine Vorkehrung nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

• Verschlüsselungsverfahren sind an dem Präfix „https://“ in der URL der Website erkennbar(statt „http://“)

• https = Hypertext Transfer Protocol Secure 

• Die Verwendung des https-Verfahrens gewährleistet, dass Daten für Dritte nicht lesbar sind (z.B. beim Online-Shopping, Kontaktformularen, Einträgen in Diskussionsforen etc.). Es wird eine geschützte Verbindung zwischen Browser und Server aufgebaut.

Wie kann ich diese Rechte als Betroffener geltend machen?

Mögliche Ansprüche, wenn eine besuchte Website nicht mit dem https-Protokoll verschlüsselt ist:

• Unterlassungsanspruch: dass in Zukunft keine Weitergabe personenbezogener Daten ohne Einwilligung stattfindet bzw., dass bei Verarbeitung personenbezogener Daten technische und org. Maßnahmen zu treffen sind.
• Auskunft, welche personenbezogenen Daten verarbeitet wurden bzw. wie lange schon keine SSL-verschlüsselung vorliegt
• Schadensersatz, z.B. in Form von Schmerzensgeld, Art. 82 DSGVO

Vorgehensweise (wahlweise oder kumulativ):

• Auskunftsanfrage
• Abmahnung
• und/oder zivilrechtliche Klage

Art. 19 Abs.1 TTDSG dürfte dabei ein einklagbares Recht darstellen.

Sowie Beschwerde bei der Aufsichtsbehörde, vgl. § 28 Abs. 1 Ziff. 10 TTDSG.

Stand: 13.07.2022

Was steht im DSK Beschluss vom 23.03.2022 bzgl. der Deaktivierung von Facebook-Fanpages?

DSK Beschluss vom 23.03.2022

Inhalt:

„Aufgrund ihrer Vorbildfunktion stehen öffentliche Stellen zuvörderst im Fokus. Deshalb werden die Mitglieder der DSK im Rahmen ihrer Zuständigkeit

• die obersten Landes- bzw. Bundesbehörden über den Inhalt des Kurzgutachtens zeitnah informieren,
• überprüfen, ob Landes- bzw. Bundesbehörden Facebook-Fanpages betreiben,
• darauf hinwirken, dass von Landes- bzw. Bundesbehörden betriebene Facebook-Fanpages deaktiviert werden, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können.

      Dieser Nachweis betrifft vor allem

• den Abschluss einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit mit Facebook, - ausreichende Informationen über die gemeinsamen Datenverarbeitungen gegenüber den die Fanpages Nutzenden gemäß Art. 13 DSGVO,
• die Zulässigkeit zur Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf diese Informationen gemäß § 25 TTDSG sowie
• die Zulässigkeit der Übertragung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten.“

Welche strafrechtlichen Konsequenzen und Schadensersatzforderungen wären denkbar?

Ein nicht rechtskonformer Betrieb einer Fanpage wäre im nicht-öffentlichen Bereich wohl bußgeldbewehrt.

Gegen öffentliche Stellen können jedoch keine Bußgelder verhängt werden --> somit kein Druck seitens öffentlicher Stellen, ihre Facebook Fanpages zu deaktivieren?

• Nach Art. 23 Abs. 1 und 2 BayDSG wären jedoch strafrechtliche Konsequenzen für den Verantwortlichen bzw. dessen Vertreter
  (z.B. Bürgermeister) denkbar:
• Art. 42 BDSG
• 202 a ff. StGB, Ausspähen von Daten
  
• Mögliche Schadensersatzforderungen von Betroffenen wären zu stützen auf:
• Amtshaftungsansprüche gegen den Staat, § 838 BGB, Art. 34 GG, Prüfungsschema

Stand: 06.07.2022

Gesetzesentwurf (Landtags-Drucksache 18/19572)

Was soll das Bayerische Digitalgesetz bringen?

• Schaffen eines allgemeinen Rechtsrahmens für die Digitalisierung
  (E-Government voranbringen --> z.B. digitaler Behördengang)
• Unternehmen = wichtigste Nutzer
  --> Fokus auf Digitalisierung der Verwaltung
• Digital-Check als Standardverfahren für alle Rechtsnormen
  --> Bürokratieabbau

Der Rehm Verlag hat die wichtigsten Inhalte hier zusammengefasst

Ab wann gilt das neue Bayerische Digitalisierungsgesetz?

Der Gesetzesentwurf der Staatsregierung über die Digitalisierung im Freistaat Bayern (Bayerisches Digitalgesetz – BayDiG) (Drucksache 18/19572) ist noch nicht verabschiedet.

Ab wann das Gesetz in Kraft tritt, ist daher noch unklar.

Stand: 06.07.2022

Ein Mandant betreibt einen Online-Shop und ein Filialgeschäft. Nun werden die beiden getrennt in jeweils eigenen GmbHs weiterbetrieben. Müssen die Kunden des Onlineshops darüber informiert werden und muss der Weitergabe der Daten in die neue GmbH ein Widerspruchsrecht eingeräumt werden?

Müssen die Kunden des Onlineshops darüber informiert werden? 

Der Sachverhalt beschreibt wahrscheinlich einen Asset-Deal. Bei Asset-Deals gibt es einen neuen Verantwortlichen im Sinne des Art. 4 Ziff. 7 DSGVO (im Gegensatz zum Share-Deal, bei dem lediglich Anteile des Unternehmen veräußert werden und deshalb der Verantwortliche gleich bleibt).  

Beim Asset-Deal braucht man somit eine Anspruchsgrundlage, um die personenbezogenen Daten auf das neue Unternehmen übertragen zu können.

Mögliche Anspruchsgrundlagen:

1. Einwilligung, Art. 6 Absatz 1 Satz 1 lit. a DSGVO: oft schwierig umzusetzen in der Praxis

2. Bei Bestandkunden mit laufenden Verträgen oder zur Aufbewahrung der Kundendaten: Art. 6 Abs. 1 Satz 1 lit. b DSGVO

3. Widerspruchslösung bei berechtigtem Interesse: Art. 6 Abs. 1 Satz 1 lit. f DSGVO, sofern die Übertragung der Daten erforderlich ist und die Interessen der jeweiligen Betroffenen nicht überwiegen. Interessenabwägung!

Egal auf welche Rechtsgrundlage die Übertragung gestützt wird: Art. 13, 14 DSGVO sind in jedem Fall einzuhalten à Information an Betroffenen innerhalb eines Monats.

Ergebnis: Ja, Information ist in jedem Falle notwendig.

Muss für die Weitergabe der Daten in die neue GmbH ein Widerspruchsrecht eingeräumt werden?

Eventuell.

• Entscheidend ist, ob die einzige Rechtsgrundlage, die zur Übertragung der Daten gefunden werden kann, Art. 6 Abs. 1 Satz. 1 lit. f) DSGVO ist.  

Falls ja, ist bereits vor der Übertragung der Daten jeder Betroffene anzuschreiben und nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO im Wege der Widerspruchslösung
(Opt-out-Modell) mit einer ausreichend bemessenen Widerspruchsfrist
(in jedem Fall 4, besser 6 Wochen) zu informieren.

Stand: 06.07.2022

Welche Anforderungen stellt das KUG bzgl. der Einwilligung?

§ 22 KUG

Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, dass er sich abbilden ließ, eine Entlohnung erhielt.

• Es reicht, wenn mündliche  Zustimmungen vorliegen.
• Das Gesetz spricht konkret von „Einwilligung“, Schriftlichkeit  ist nicht vorgeschrieben
  (aber  natürlich auch nicht verboten).

Welche Anforderungen stellt die DSGVO bzgl. der Einwilligung?

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c)….

• Die DSGVO-rechtliche Einwilligung sollte man (wegen der Verpflichtung zum jederzeitigen Nachweis), eine Einwilligung in Textform einholen.
• Schriftlich, per E-Mail oder elektronische Zustimmung.

Welche Anforderungen stellt das BDSG bzgl. der Einwilligung?

§ 26 BDSG

(1) …

(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung hat schriftlich oder elektronisch zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.

• Im Arbeitsverhältnis ist die Einwilligung zwingend schriftlich oder elektronisch vorgeschrieben.
• Schriftlich, per E-Mail oder elektronische Zustimmung.

Inhalt der Einwilligung:

• Angabe der Kategorien
• Zweck der Datenverarbeitung
• Hinweis auf Widerrufsmöglichkeit

Die Einwilligung im Arbeitsverhältnis muss zudem freiwillig sein:

Eine Einwilligung im Arbeitsverhältnis kann nur dann freiwillig sein, wenn der Arbeitnehmende eine Wahl hat und ihm/ihr keine Konsequenzen drohen, falls er/sie die Einwilligung verweigert.

Stand: 29.06.2022

Was ist der Google Tag Manager?

• Google Tag Manager ist ein kostenloses Tag-Management-System (TMS)
• Damit können Code-Schnipsel (z.B. Tracking-Codes und Conversionpixel) auf der eigenen Website und Apps eingebaut werden
• Zugriff auf den Quellcode ist dabei nicht bei jeder kleinen Änderung erforderlich
• einmalig muss jedoch der Google Tag Manager Code in den Quellcode eingebunden werden
• sobald der Google Tag Manager Code einmal im Quellcode erfasst ist, können die einzelnen Tags im TMS angelegt werden --> leichtere und schnellere Anpassung bei Google Analytics, Google Ads etc. möglich
• Mit dem Google Tag Manager können also zentral externe Marketing- und Analyse-Tools verwaltet werden

Kann der Google Tag Manager datenschutzkonform eingesetzt werden?

• Datenschutzkonformer Einsatz nur möglich, wenn die Anforderungen der DSGVO und des TTDSG eingehalten werden
• Der Tag Manager selbst setzt keine Cookies
• Wird aber im Browser der Nutzer ausgeführt --> § 25 TTDSG!
• Wenn nicht technisch notwendig, muss:
  • Einwilligung des Nutzer muss eingeholt werden (über Cookie Consent Tool)
  • AV-Vertrag abgeschlossen werden
  • Hinweis in Datenschutzerklärung transparent gestaltet werden

Stand: 29.06.2022

Man findet oft folgende Hinweise:

1.      Gemäß §55 Abs. 2 RStV

2.      Gemäß §18 Abs. 1 MStV

3.      Gemäß § 6 MDStV

Aber was ist nun richtig?

Die Pflicht zur Angabe des Verantwortlichen ergibt sich aus § 5 TMG. Der Mediendienste-Staatsvertrag (MDStV) trat 2007 außer Kraft und wurde komplett ersetzt durch das TMG.

Zusätzlich gibt es die Pflicht, den redaktionell-journalistisch Verantwortlichen zu benennen (sofern vorhanden). Hier ist richtig der Hinweis auf § 18 Abs. 2 MStV. Er hat § 55 Abs. 2 RStV abgelöst, der Rundfunkstaatsvertrag wurde am 07.11.2020 aufgehoben.

Welche Angaben müssen Diensteanbieter (z.B. Kommunen, Unternehmen, Vereine, etc.) im Impressum machen?

Impressum nach § 5 TMG:

• Name (bei natürlichen Personen = Vor- und Nachname;
  bei Unternehmen = Unternehmensname + vollständiger Name des Vertretungsberechtigten
• Rechtsform (bei juristischen Personen oder Personengesellschaften)
• Anschrift (Straße, Hausnummer, Postleitzahl, Ort)
• E-Mail-Adresse
• Telefonnummer
• Umsatzsteuer- oder Wirtschaftssteuer-Identifikationsnummer (nicht: Umsatzsteuernummer!!)
• Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister mit Registernummer
• Ggf. Angaben zur Aufsichtsbehörde

Beispiel für ein korrektes Impressum

Zusätzlich muss beachtet werden, dass nach § 5 Abs. 2 TMG „weitergehende Informationspflichten nach anderen Rechtsvorschriften unberührt bleiben“. Somit ist auch ein Hinweis auf die Online-Streitbeilegungsplattform der Europäischen Kommission und ob eine Teilnahme daran in Betracht kommt, notwendig. Dies ergibt sich aus Art. 14 I S. 1 VO (EU) Nr. 524/2013, § 36 VSBG. Der Link zur Plattform muss leicht auffindbar sein, sodass sich die Platzierung im Impressum anbietet.

Stand: 29.06.2022

Folgende Ausführungen wurden zur Erläuterung, man brauche keinen AV-Vertrag, gegeben:

NDL (=Neuer DienstLeister) als Datenverantwortlicher

Bei einer möglichen Zusammenarbeit fungiert NDL technisch gesehen nicht als Datenverarbeiter. NDL ist ein für die Verarbeitung Verantwortlicher, der die Zwecke und Mittel der Verarbeitung festlegt. Dies schränkt unsere Bereitschaft oder Verpflichtung, die Anforderungen der DSGVO zu erfüllen und den Schutz der Rechte der betroffenen Personen zu gewährleisten, nicht ein, ganz im Gegenteil.

Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) verlangt nur dann einen Vertrag, der für den Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen verbindlich ist und in dem die Einzelheiten der Verarbeitung festgelegt sind, wenn die Verarbeitung im Auftrag eines für die Verarbeitung Verantwortlichen erfolgt (Art. 28 Abs. 1 und 3 DSGVO). Dies gilt nicht, wenn der Auftragnehmer in eigener Verantwortung über die Art und Weise der Datenverarbeitung entscheiden soll.

NDL ist ein unabhängiges Unternehmen, das es seinen Nutzern ermöglicht, über seine Online-Plattform sowie über die Anwendungen für mobile Geräte Transport- oder Reisedienstleistungen zu buchen. Als solches bestimmt NDL auch im Vertragsverhältnis mit dem Kunden in eigener Verantwortung und in eigenem Interesse, zu welchen Zwecken und mit welchen Mitteln personenbezogene Daten verarbeitet werden. NDL entscheidet also, "warum" und "wie" die personenbezogenen Daten über seine Plattformen verarbeitet werden sollen.

Auf dieser Grundlage ist NDL ein für die Verarbeitung Verantwortlicher und nicht der Auftragsverarbeiter im Namen eines Kunden, denn:

• NDL bestimmt die Informationen, die gesammelt werden
• NDL bestimmt die Art und Weise, in der die Verarbeitung durchgeführt wird
• NDL bestimmt den Zweck oder die Zwecke, für die die Daten verwendet werden sollen
• NDL bestimmt, ob und an wen die Daten weitergegeben werden sollen
• NDL legt fest, wie lange die Daten aufbewahrt werden sollen oder ob nicht routinemäßige Änderungen an den Daten vorgenommen werden sollen
• NDL legt fest, welche IT-Systeme oder andere Methoden zur Erfassung personenbezogener Daten verwendet werden, wie die personenbezogenen Daten gespeichert werden, wie die Sicherheit der personenbezogenen Daten im Einzelnen aussieht, wie sichergestellt wird, dass ein Zeitplan für die Aufbewahrung der Daten eingehalten wird und welche Mittel zur Löschung oder Entsorgung der Daten verwendet werden.

Wie ist das zu beurteilen? 

BayLDA:

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.

Ergebnis:

Es ist in jedem Einzelfall zu prüfen, ob der Schwerpunkt der Leistung eines Vertragspartners in der Verarbeitung personenbezogener Daten liegt. Ist das der Fall, muss (ggf. zusätzlich zum Leistungsvertrag) ein AV-Vertrag abgeschlossen werden. Ist das nicht der Fall, reicht der Abschluss des Vertrages, der die Erbringung der Leistungen zum Gegenstand hat und es muss kein AV-Vertrag abgeschlossen werden.

Stand: 29.06.2022

Was steht im Urteil vom LAG Schleswig-Holstein: 6 Ta 49/22 vom 01.06.2022?

Beschluss des LAG Schleswig-Holstein: 6 Ta 49/22 vom 01.06.2022

Sachverhalt:

Die Klägerin wandte sich mit dem Verfahren gegen die (teilweise) Versagung von Prozesskostenhilfe. Die Klägerin hatte im Pflegedienst der Beklagten als Pflegehelferin gearbeitet. Sie hatte während des Arbeitsverhältnisses an einem 36-sekündigen Werbevideo teilgenommen. Sie ist in dem Video zunächst unscharf und ab Sekunde 0:11 in Ganzkörperaufnahme zu sehen, wie sie in ein Auto einsteigt, auf dem „Wir suchen Pflegekräfte“ zu lesen ist und ein Audio-Overlay sagt „Steige jetzt mit ein!“. Später ist die Klägerin deutlich und in Portraitgröße im Auto sitzende zu erkennen, während das Audio-Overlay „zwischenmenschliche Beziehungen“ anpreist. Die Klägerin hatte sich nur mündlich zum Videodreh bereit erklärt. Die Beklagte hatte die Klägerin nicht vorab über den Zweck der Datenverarbeitung und ihr Widerrufsrecht in Textform informiert. Die Beklagte veröffentlichte das Video im Internet auf der Plattform „YouTube“. Die Klägerin hatte im arbeitsgerichtlichen Verfahren Unterlassungs- und Schmerzenzgeldansprüche in Höhe von EUR 6.000,- geltend gemacht, das Verfahren endete mit einem (uns unbekannten) Vergleich.

Mit dem vorliegenden verfahren wandte sich die Klägerin gegen die Versagung von Prozesskostenhilfe (diese wurde bezüglich des Schmerzensgeldanspruchs auf einen Gegenstandswert von EUR 2.000,- festgelegt).

Gründe der (teilweisen) Ablehnung:

Mit Beschluss hat das Arbeitsgericht der Klägerin Prozesskostenhilfe bewilligt, für ihren Antrag auf Zahlung von Schmerzensgeld, dies jedoch nur bis zu einer Höhe von 2.000,00 EUR.

Angesichts der konkreten Umstände des Einzelfalls lag für den der Klagforderung zugrundeliegenden Verstoß die Obergrenze einer noch vertretbaren Höhe des begehrten Schmerzensgelds bei 2.000,00 EUR.

•  immaterieller Schaden ist entstanden nach Art. 82 DSGVO, eine konkrete Darlegung des Schadens ist hier nicht erforderlich
•  Klägerin wusste um die Aufnahmen und hat am Videodreh sogar freiwillig mitgewirkt
•  wurde aber nicht in der gebotenen schriftlichen Form und ohne vorherige Unterrichtung über den Verarbeitungszweck und das Widerrufsrecht aufgeklärt.
•  keine Berührung der Intimsphäre der Klägerin durch die Aufnahmen (Einsteigen ins Auto, im Auto sitzend)
•  Beklagte hat das Video umgehend aus dem Netz genommen, nachdem die Klägerin sie aufgefordert hatte, die Nutzung des Videos zu unterlassen

--> EUR 2000,- sind angemessene Obergrenze

Stand: 29.06.2022

Was ist das Tracking-Tool Google AdWords?

• Google AdWords ist ein Werbesystem des US-amerikanischen Unternehmens Google LLC.
• es wird von vielen Unternehmen für Suchmaschinenmarketing genutzt
• es handelt sich bei Google AdWords um eine Anzeigenschaltung auf den Suchergebnissen von Google
• bei den Ergebnissen wird ein Verweis auf die Internetseite gesetzt
• Preis pro Klick auf die Unternehmenswebsite ist abhängig von Konkurrenzanzeigen
• Messung von Conversions können durchgeführt werden

Welche Alternativen gibt es für Google AdWords?

Google AdWords = größter Anbieter

Es gibt auch Alternativen zu Google AdWords, z.B.:

• Bing Ads
• Amazon Ads
• LinkedIn Ads
• Instagram Ads
• Reddit Ads

Kann Google AdWords datenschutzrechtlich sicher eingesetzt bzw. ohne Setzen eines Cookies implementiert werden?

• Um nachvollziehen zu können, ob Google-Ad-Besucher auch auf einer Website bleiben oder sogar kaufen, ist das Setzen eines Cookies erforderlich
• --> Einwilligung einholen + Informationspflichten nachkommen + AV-Vertrag abschließen

• Conversions sind über Google Ads ohne Cookies aber wohl möglich
• Google Ads steht jedoch in Verbindung mit Google Analytics
• daher sind Anpassungen im Google Analytics Code erforderlich
• Einige Datengruppen werden bei der Veränderung des Codes nicht mehr erfasst (Demographie, neuer/wiederkehrender Nutzer etc.)
• Bestimmte Werbefunktionen müssen ebenfalls deaktiviert werden
• Ungelöstes Problem: § 25 TTDSG, da auch Fingerprinting einer Einwilligung bedarf!

Stand: 22.06.2022

Was steht im Art. 17 Abs.1 DSGVO bzgl. Löschungsfristen?

Art. 17 - Recht auf Löschung ("Recht auf Vergessenwerden")

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

Muss ein Kunde die Löschung seiner Daten aus unserem Kundenstamm schriftlich beantragen?

Nein, ein Antrag auf Löschung kann formlos erfolgen
(d.h. auch per Telefon, per E-Mail oder schriftlich).

Welche Richtlinien oder Vordrucke müssen beachtet werden?

Grundsätzlich:

Einem Löschantrag muss unverzüglich (ohne schuldhaftes Zögern) nachgekommen werden.

Die Antwort, dass ordnungsgemäß gelöscht wurde (oder dass eine Löschung noch nicht möglich ist (z.B. weil Aufbewahrungsverpflichtungen aus gesetzlichen Gründen bestehen)), sollte in jedem Fall in Textform (also mindestens E-Mail) erfolgen.

Vor allem:

1. Prüfen, wer die Rechte geltend macht? Z.B. bei Todesfall: ist die Person Erbe und daher befugt, den Widerruf einer Einwilligung zu beantragen? Anderenfalls muss aber ohnehin geprüft werden, ob noch eine Rechtsgrundlage besteht, die Daten aufzubewahren.

2. Welche Daten sind eigentlich wo gespeichert: Überblick verschaffen 3. Antwort verfassen mit Bestätigung oder Ablehnung der Löschung

Stand: 22.06.2022

Gesetzlich gilt folgende Regelung für Bußgelder:

Maximal 10 Millionen Euro oder 2 % des Jahresumsatzes bei leichten Verstöße bzw. 20 Millionen Euro oder 4 % des Jahresumsatzes bei schweren Verstößen.

Realistisch gesehen gilt folgendes:

Je nach Größe des Unternehmens: EUR 100 bis einige Tausend Euro Bußgeld, allerdings ohne vorherige kostenlose Verwarnung.

Viele Infos finden Sie hier

Stand: 22.06.2022

Das BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) ist zuständig für

• nicht-öffentliche Bereiche in Bayern
• private Wirtschaftsunternehmen
• freiberuflich Tätige
• Vereine
• Verbände
  
  Anwendbares Recht: DSGVO und BDSG

Der BayLfD (Bayerischer Landesbeauftragter für den Datenschutz) ist zuständig für

• öffentliche Stellen

• und die kommunalen Körperschaften

Anwendbares Recht: DSGVO und BayDSG

Was gilt für öffentliche Einrichtungen wie Schwimmbäder, Schulen und Krankenhäuser?

Für öffentliche Einrichtungen ist der BayLfD der primäre Ansprechpartner. Wenn der Träger der jeweiligen Einrichtung jedoch ein privates Wirtschaftsunternehmen ist, ist das BayLDA zuständig.

Stand: 22.06.2022

 Anbringen von Videokameras auf privaten Grundstücken:

• Erlaubt, da Anwendungsbereich der DSGVO nicht eröffnet (vgl. Art. 2 Abs. 2 lit.c DSGVO)

Hierzu auch BGH, Urteil vom 16. 3. 2010 - VI ZR 176/09 (LG Potsdam):

Nach Ansicht des erkennenden Senats kommt es insoweit auf die Umstände des Einzelfalls an. Die Befürchtung, durch vorhandene Überwachungsgeräte überwacht zu werden, ist dann gerechtfertigt, wenn sie auf Grund konkreter Umstände als nachvollziehbar und verständlich erscheint, etwa im Hinblick auf einen eskalierenden Nachbarstreit (vgl. OLG Köln, NJW 2009, NJW Jahr 2009 Seite 1827 = NZM 2009, NZM Jahr 2009 Seite 600) oder auf Grund objektiv Verdacht erregender Umstände. Liegen solche Umstände vor, kann das Persönlichkeitsrecht des (vermeintlich) Überwachten schon auf Grund der Verdachtssituation beeinträchtigt sein. Allein die hypothetische Möglichkeit einer Überwachung durch Videokameras und ähnliche Überwachungsgeräte beeinträchtigt hingegen das allgemeine Persönlichkeitsrecht derjenigen, die dadurch betroffen sein könnten, nicht. Deshalb ist die Installation einer Überwachungsanlage auf einem privaten Grundstück nicht rechtswidrig, wenn objektiv feststeht, dass dadurch öffentliche und fremde private Flächen nicht erfasst werden, wenn eine solche Erfassung nur durch eine äußerlich wahrnehmbare technische Veränderung der Anlage möglich ist und wenn auch sonst Rechte Dritter nicht beeinträchtigt werden.

Was, wenn Videokameras den öffentlichen Bereich mitumfassen?

• Dann unterliegt die Überwachung der DSGVO und
• § 4 BDSG
• Wahrnehmung des Hausrechts ist sehr häufiger Grund

Im vorliegenden Fall war die Videoaufzeichnung wohl zulässig, da es um den Schutz des Gartenzauns (Eigentum) ging

Darf die Videoaufzeichnung auf Social-Media gepostet werden?

Abwägungsfrage. Zum Beispiel bleiben auch rechtswidrig von Privaten erlangte Beweismittel grundsätzlich im Strafverfahren verwertbar. Das heißt: sogar wenn die Veröffentlichung des Videos so sehr gegen die Persönlichkeitsrechte des Täters verstoßen würde, dass eine Veröffentlichung datenschutzrechtlich unzulässig wäre, würde das Ergebnis der Suche zivil- und strafrechtlich verwertet werden dürfen.

Siehe hierzu auch BGH, Urteil vom 15.5.2018 – VI ZR 233/17

1. Die permanente und anlasslose Aufzeichnung des Verkehrsgeschehens ist mit den datenschutzrechtlichen Regelungen des Bundesdatenschutzgesetzes nicht vereinbar.

2. Die Verwertung von so genannten Dashcam-Aufzeichnungen, die ein Unfallbeteiligter vom Unfallgeschehen gefertigt hat, als Beweismittel im Unfallhaftpflichtprozess ist dennoch zulässig.

Stand: 22.06.2022

Ein Hersteller fragt bei einem Händler nach Kundendaten, um eine Rückrufaktion durchzuführen. Es handelt sich um einen Staubsauger, bei dem ein Bauteil aufgrund von Überhitzung zu einem Brand führen kann („ernstzunehmendes Risiko“). 

• Ist der Händler zur Herausgabe der Daten berechtigt?
• Welche Rechtsgrundlage könnte es hierfür geben? Falls es eine Rechtsgrundlage gibt, wie könnte man den Informationspflichten gerecht werden? Wie verhielte sich die Verantwortlichkeit der Datenverarbeitung zwischen den Parteien?

Rechtsgrundlagen bei der Produkthaftung

Keine einheitliche Regelung! Rechtsgrundlagen ergeben sich aus:

• Vertragsrecht
• Deliktsrecht (Produzentenhaftung, sie stellt auf Verkehrssicherungspflichten ab)
• Produkthaftungsgesetz (umfasst ganz speziell auch Händler!)
• Produktsicherheitsgesetz

Stand: 01.06.2022

• im Dienstplan sind personenbezogene Daten zu finden (u.a. Personendaten, Arbeitszeiten, Urlaubszeiten, Überstunden etc.)

--> Aushang des Dienstplans ist nur bei Vorliegen einer Rechtsgrundlage erlaubt

Darf der Arbeitgeber die Namen und Arbeitszeiten der Mitarbeiter aushängen? 

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) …

§ 26 BDSG - Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. 

Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. 

Bei Einwilligung ist also die gesetzliche Voraussetzung in jedem Fall erfüllt.

Wie aber sieht es ohne Einwilligung aus?

Art. 6 Abs. 1 lit. b) DSGVO: Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist …

Hier: Arbeitsvertrag

Argumente für Veröffentlichung der Schichtpläne:

• Sicherstellung eines ordnungsgemäßen Betriebsablaufs
• Möglichkeit des Tausches der Mitarbeiter untereinander
• Auch Arbeitsgerichts sahen das in der Vergangenheit so (z.B. ArbG Berlin-Brandenburg 6. Kammer. Beschluss vom 07.12.2012, Az.:6 TaBV 880/12: „Der Aushang des Entwurfs eines Dienstplans unter Hinweis auf die noch erforderliche Zustimmung des Betriebsrats verstößt nicht gegen das Mitbestimmungsrecht des Betriebsrats aus § 87 Abs. 1 Nr. 2 BetrVG.(Rn.39)“)

--> Es muss also Abwägung stattfinden!

Zu beachten:

• nur in nicht-öffentlichen Bereichen aushängen, bestenfalls nur abteilungsintern
• keinen Hinweis auf Grund der Abwesenheit (Krank, Urlaub, Dienstreise etc.)
• Pseudonymisierung prüfen
• technische Lösung , z.B. per App prüfen

Stand: 01.06.2022

In welchen Fällen kann sich bei der Rechtsgrundlage der Verarbeitung auch auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden?

Aus dem Beschluss hierzu:

Nach Art. 6 Abs.1 Satz 1 Buchstabe b) DS-GVO ist nur die Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige

Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich.

Aber:

Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kund*innenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.

Welche vertraglichen Anpassungen wären dafür erforderlich?

Wichtig:

der DSK-Beschluss ist nicht rechtsverbindlich, sondern nur eine Rechtsauffassung.

Wer ihn trotzdem einhalten möchte:

Verträge:

• Mit Customer-Service ausstatten à rechtfertigt Kundenservice über ein Portal
• Mit als Dauerschuldverhältnis (Miete) gestalten à dauerhafte Verbindung zum Kunden

Wie verhält sich der Grundsatz der Datenminimierung hinsichtlich der GoBD? 

GoBD = Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff

Folgende Grundsätze müssen laut BfDI eingehalten werden:

• Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit
• Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung
• Vollständigkeit
• Einzelaufzeichnungspflicht
• Richtigkeit
• zeitgerechte Buchungen und Aufzeichnungen
• Ordnung und Unveränderbarkeit

Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder

• Gastzugang: keine Registrierungs- oder Zugangsdaten

Über diesen Zugang dürfen nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten und Informationen der Kund*innen erfasst werden.

Nach Vertragserfüllung nicht mehr benötigte Daten müssen gemäß Art. 17 Abs. 1 lit. a) DS-GVO unverzüglich gelöscht werden.

Werden die Daten im Übrigen nur noch im Rahmen spezialgesetzlich geregelter Aufbewahrungsplichten verarbeitet, z.B. aus dem Handels- oder Steuerrecht, sind technisch-organisatorische Maßnahmen zu ergreifen, um diese Daten von den Daten im operativen Zugriff zu trennen (Datensperrung).

Ein Zugriff der Kund*innen auf die Daten oder das Hinzuspeichern von weiteren Daten durch die Verantwortlichen sind bei einem Gastzugang nicht vorgesehen.“

Stand: 01.06.2022

Die dänische Datenschutzbehörde stellt fest, dass die Danske Bank nicht in der Lage war zu dokumentieren, dass sie personenbezogene Daten gemäß den Datenschutzbestimmungen gelöscht hat. Die Behörde hat der Bank daher eine Geldstrafe von 10 Millionen DKK auferlegt.

Bei einem aufsichtsrechtlichen Verfahren der dänischen Datenschutzbehörde hat sich herausgestellt, dass die Bank in mehr als 400 Systemen nicht in der Lage war, zu dokumentieren, dass Regeln für die Löschung und Speicherung personenbezogener Daten festgelegt wurden oder dass personenbezogene Daten manuell gelöscht wurden. Diese Systeme verarbeiten personenbezogene Daten von Millionen von Menschen.

„Eine der Grundprinzipien der DSGVO ist, dass man nur personenbezogene Daten verarbeiten darf, die man benötigt – und wenn man sie nicht mehr benötigt, müssen sie gelöscht werden. Bei einer Organisation von der Größe der Danske Bank, die über viele und komplexe Systeme verfügt, ist es besonders wichtig, dass man auch dokumentieren kann, dass die Löschung tatsächlich erfolgt ist“, sagt Kenni Elm Olsen, Fachberater bei der dänischen Datenschutzbehörde.

--> Pressetext

Stand: 01.06.2022

Urteil des EuGH vom 28.04.2022-Az. C-319/20)

Vorangehende BGH-Entscheidung:

Eine Verbraucherzentrale hatte 2012 gegen Facebook Ireland wegen unrechtmäßiger Datenverarbeitungen von Facebook-Nutzern geklagt. Der BGH legte die Frage, ob ein Verband für seine Mitglieder klagen darf (auch wenn es keinen entsprechenden Auftrag eines verletzten Verbrauchers gibt nach Art. 80 Abs. 1 DSGVO und auch wenn der klagende Verband keine Verletzung eines konkreten Verbrauchers tatsächlich nachweisen kann nach Art. 80 Abs. 2 DSGVO) dem EuGH vor. Dies war also eine Frage der Klagebefugnis des Verbands.

Konkret musste der EuGH damit also klären, ob ein vom konkreten Verletzungsfall unabhängiges Verbandsklagerecht existiert.

Urteil des EuGH:

Für die Klagebefugnis eines Verbands genügt ein feststellbarer Verstoß gegen die DSGVO, wenn dieser grundsätzlich geeignet ist, die Rechte identifizierter und identifizierbarer Personen zu verletzen. Einer Einzelfallprüfung, ob tatsächlich eine Verletzung stattgefunden hat, bedarf es nicht.

Stand: 01.06.2022

Welche Vorschriften gelten für ein Löschkonzept?

Art. 17 DSGVO regelt die Löschung von Daten.

Diese Punkte sollten in einem Löschkonzept berücksichtigt werden:

• Nennung der Kategorien der Daten (Kundendaten, Mitarbeiterdaten, Kooperationspartner etc.)
• Datenart bzw. verarbeitete Daten, z.B. E-Mail-Adressen bei Werbung
• Rechtsgrundlage der Aufbewahrung
• Aufbewahrungszeit
• Löschfristen
• Nennung der unterschiedlichen Systeme (personenbezogene Daten in Back-Ups, Mailinglisten, Exceltabellen etc.)
• Klärung der Weitergabe von Daten
• Bestimmung eines Beauftragten, der sich um Löschung kümmert
• Dokumentation (Rechenschafts- und Dokumentationspflichten der DSGVO)

Gibt es ein Muster für ein gutes Löschkonzept?

Es gibt kein universelles Muster für ein Löschkonzept.

Jedes Löschkonzept ist unternehmensspezifisch, und kann auch je nach Abteilung sehr unterschiedlich aussehen.

LiiDU-Tipp:

Löschkonzept Schritt für Schritt in einer Excel-Tabelle erstellen:

Alle Punkte der vorherigen Folie Punkt für Punkt durchgehen und sich von Unternehmensbereich zu Unternehmensbereich vorarbeiten.

Wie ist der richtige Umgang mit Archiven und Backups?

• Datenkopien (aus Datensicherung) sind bei der Löschung zu berücksichtigen
• Wenn Daten im normal verwendeten System gelöscht werden, müssen sie zeitnah auch im Backup und weiteren Sicherungsmedien gelöscht werden (Aber: Abwägung mit Art. 32 DSGVO vornehmen!)
• alle  Daten in Sicherungskopien (USB-Sticks, externe Festplatten, Cloud etc.) sind ebenfalls zu vernichten
• Für das Löschkonzept ist eine klare Unterscheidung zwischen Archiven und Sicherungskopien notwendig
• Archive: dienen dazu, Daten langfristig vorzuhalten
• Sicherungskopien bzw. Backups: werden zur Wiederherstellung nach Störungen benötigt
• personenbezogenen Daten in Archiven unterliegen den Löschregeln der jeweiligen Datenkategorie
• Für die Löschung von Sicherungskopien müssen eigene Fristen festgelegt werden

Stand: 25.05.2022

Auftragsverarbeiter wird um Auskunft angefragt
Wie verhalten diese sich korrekt? Ist ein Verweis auf den Verantwortlichen ausreichend und richtig?

Art. 15 DSGVO:

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a)die Verarbeitungszwecke;

b) …“

Das heißt: nur der Verantwortliche ist zur Auskunft verpflichtet, nicht der Auftragsverarbeiter.

Siehe auch Paper des Landesbeauftragten für den Datenschutz in Niedersachsen:

„Bei einer Auftragsverarbeitung ist der Auftraggeber zur Auskunft verpflichtet, nicht der
Auftragsverarbeiter.“

Auftragsverarbeiter wird um Auskunft angefragt
Wie verhalten diese sich korrekt? Ist ein Verweis auf den Verantwortlichen ausreichend und richtig?

Und: Zur Auftragsverarbeitung ist in Art. 28 Abs. 3 lit. e DSGVO geregelt:

Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;

Ergebnis:

Auftragsverarbeiter ist nicht gesetzlich zur Auskunft verpflichtet, das ist nur der Verantwortliche. Aber er ist im Innenverhältnis dem Verantwortlichen gegenüber ggf. zur Unterstützung bei der Auskunftserteilung verpflichtet. Der Verweis auf den Verantwortlichen ist damit ausreichend und richtig!

Es gibt sogar die Auffassung, dass der Auftragsverarbeiter Auskunftsanfragen von Betroffenen nicht beantworten darf, weil Auftragsverarbeiter als Auftragnehmer Betroffenenrechte nicht ohne Vereinbarung bzw. Weisung des Verantwortlichen ausüben dürfen. Die Daten stehen in Verantwortung des Auftraggebers/Verantwortlichen. Diese Auffassung ist sehr gut vertretbar!

Datenschutzbeauftragter wird um Auskunft angefragt
Fällt diese Verarbeitung unter die Ausnahme „Datenschutzkontrolle“ nach § 34 Abs. 1 Nr. 2 lit. b BDSG? 

Gola/Heckmann/Werkmeister BDSG § 34 Abs. 1 Nr. 2b) -  Datensicherung und Datenschutzkontrolle (lit. b):

„Eine Ausnahme vom Auskunftsrecht kann ebenfalls gemäß Abs. 1 Nr. 2 lit. b hinsichtlich ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienenden Daten begründet werden. …“

„Zur Datensicherung dienende Daten werden in der Regel gespeichert, um einen für einen anderen Zweck tatsächlich benötigten Datenbestand im Falle des Verlustes oder der Zerstörung wiederherstellen zu können. Ein typisches Beispiel sind etwa Sicherungskopien auf externen Speichermedien.“

„Zum Zwecke der Datenschutzkontrolle gespeicherte Daten können solche sein, die über durchgeführte Kontrollen Auskunft geben, wie etwa Protokolldateien. …“

--> Hier steht nichts vom Datenschutzbeauftragten!

Der Datenschutzbeauftragte ist nicht Verantwortlicher und ist daher nicht zur Auskunft nach Art. 15 DSGVO verpflichtet.

Stand: 25.05.2022

Ist zwangsläufig ein Cookie Consent Tool beim ersten Aufruf der Website erforderlich?

Grundsätzlich:

• Einwilligung muss eingeholt werden, bevor einwilligungsbedürftige Cookies gesetzt werden
• Wichtig ist hier die technische korrekte Implementierung
• Nutzer muss über das Setzen dieses Cookies informiert werden

Aber:

Problematisch kann aber bereits das Laden von Skripten, Schriften und Trackern sein (insbesondere wird der DoubleClick Tracker von der Domäne doubleclick.net geladen, ohne dass das Video selbst angeklickt), wenn die Website aufgerufen wird. Auch diese brauchen nach § 25 TTDSG eine Einwilligung, wenn über sie eine Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, stattfindet. Dies geschieht wohl bereits beim Laden der Website an sich – und nicht erst des Videos.

Mehr dazu finden Sie hier.

Stand: 25.05.2022

Was ist die Funktion „ecoMode“?

• ecoMode“ = Plugin, bzw. Programmierung auf Website
• Websiteinhalte können dadurch bei Bedarf komprimiert werden
• Führt zu kürzeren Ladezeiten, aber reduzierten Qualität
• ecoMode kann per Klick auf der Website eingestellt werden
• •peicherungsdauer: 10 Jahre

Wie ist dies datenschutzrechtlich zu sehen?

Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG:

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

 1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Eine Anwaltskanzlei vertritt folgende Auffassung:

„Unter die unbedingte Erforderlichkeit des § 25 Abs. 2 Nr. 2 TTDSG kann nicht nur die technische Erforderlichkeit zur Bereitstellung des Dienstes fallen, sondern auch die Erforderlichkeit zur Einhaltung gesetzlicher Pflichten oder zur Erbringung vertraglich geschuldeter Leistungen. Erforderlich bleibt eine konkrete Einzelfallbetrachtung, welche auch den Spielraum des ausdrücklich vom Nutzer gewünschten Telemediendienstes berücksichtigt. Dem mancherorts geäußerten Wunsch, Regelbeispiele für die unbedingte Erforderlichkeit in den Wortlaut der Vorschrift mit aufzunehmen, ist der Gesetzgeber nicht nachgekommen. Auf Cookie-Ebene sind beispielweise Cookies zur dauerhaften Speicherung von Spracheinstellungen oder zum Anbieten einer Warenkorbfunktion typische Beispiele für die unbedingte Erforderlichkeit von Cookies.“

Zählt dies im Bereich des funktionalen Betriebs der Website und somit zu den technisch notwendigen Cookies?

Dadurch dass die Website auch mit „schlechterer“ Ladezeit funktionieren würde, zählt dieser Cookie nicht zu den technisch notwendigen Cookies.

Hauptargument:

Die individuelle Einstellung von Websites (z.B. Spracheinstellung) kann zwar technisch notwendig sein, um dem Nutzerwunsch gerecht zu werden. Das gilt aber nur für die jeweils laufende Session (über den Session-Cookie). Bei Laufzeiten von 10 Jahren gilt dieses Argument nicht.

Ergebnis: Nur, wenn die Website ohne das Plugin bzw. die Programmierung überhaupt nicht aufrufbar wäre, würde „ecoMode“ zu den technisch notwendigen Cookies zählen – Einwilligung also einholen!

Stand: 25.05.2022

Art. 82 DSGVO regelt Haftung und Recht auf Schadenersatz.

(1)Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2)Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

Art. 82 DSGVO regelt, dass jede Person dem Grundsatz nach einen Anspruch auf Schadensersatz hat, wenn sich Unternehmen nicht an bestimmte Regeln der DSGVO halten.

Stand: 25.05.2022

Was steht im Beschluss der DSK?

Aus dem Grundsatz der Datenminimierung ergibt sich:

Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kund*innen unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen.

Grund:

Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich. Für Kund*innen, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist daher regelmäßig ein Gastzugang zu ermöglichen. Ein solcher Zugang verzichtet auf Registrierungs- bzw. Zugangsdaten (z.B. Benutzername/Passwort) für eine erneute Nutzung.

In welchen Fällen kann sich bei der Rechtsgrundlage der Verarbeitung
auch auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden?

Aus dem Beschluss hierzu:

Nach Art. 6 Abs.1 Satz 1 Buchstabe b) DS-GVO ist nur die Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige

Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich.

Aber:

Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kund*innenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.

Welche vertraglichen Anpassungen wären dafür erforderlich?

Wichtig:

der DSK-Beschluss ist nicht rechtsverbindlich, sondern nur eine Rechtsauffassung.

Wer ihn trotzdem einhalten möchte:

Verträge:

• Mit Customer-Service ausstatten --> rechtfertigt Kundenservice über ein Portal
• Mit als Dauerschuldverhältnis (Miete) gestalten --> dauerhafte Verbindung zum Kunden

Stand: 18.05.2022

Postwerbung ist die einzige Werbung, die nicht im Grundsatz als „unzumutbare Belästigung“ angesehen wird. Postwerbung ist im Grundsatz also nach wie vor zulässig.

Ausnahme:

Hinweis auf dem Briefkasten, dass man keine Werbung erhalten will.

Offensichtliche Postwurfwerbung darf dann nicht eingeworfen werden.

Was muss datenschutzrechtlich alles beachtet werden?

Briefwerbung ist ein datenschutzrechtlicher Vorgang, wenn Name und Anschrift einer natürlichen Person im Empfängerfeld verarbeitet wird
--> Regeln der DSGVO müssen eingehalten werden.

1. Rechtsgrundlage (Rechtfertigung meist über überwiegende berechtigte Interesse des Werbenden gemäß Art. 6 Abs. 1 lit. f DSGVO) muss gegeben sein
2. Erfüllung der Informationspflichten nach Art. 13 DSGVO (viele Datenschützer: gedruckte Datenschutzerklärung notwendig)
3. Aufnahme in das Verzeichnis für Verarbeitungstätigkeiten

Stand: 18.05.2022

Urteil des ArbG Köln (18. Kammer) vom 23.03.2022 – 18 Ca 6830/21

Konkreter Sachverhalt:

Die Mitarbeiterin arbeitet im Gesundheitssektor. Am 04.10.2021 wurden alle Mitarbeiter - darunter auch die Klägerin - im Rahmen einer Institutskonferenz darüber informiert, dass ab dem 01.11.2021 nur noch vollständig geimpfte Mitarbeiter Kundentermine vor Ort wahrnehmen dürften. Die Beklagte bat darum, dass die Teamleiter im vertrauensvollen Austausch mit ihren Teammitgliedern erkunden, welche Mitarbeiter die Voraussetzungen erfüllen. Am 04. oder 05.10.2021 erklärte die Klägerin gegenüber ihrem Teamleiter ... sie sei „mittlerweile geimpft“ und zum Thema Einsatz beim Kunden in Präsenz wörtlich: „Alles safe“.

Die Klägerin setzte danach ihre Präsenzbesuche in den Kundenunternehmen - darunter auch Pflegeeinrichtungen für Senioren - fort. Nach dem 01.11.2021 absolvierte die Klägerin neun Außentermine, davon vier in Seniorenheimen. Nach Veröffentlichung einer Änderung des Infektionsschutzgesetzes, wonach ab dem 24.11.2021 der Zutritt zum Betrieb nur noch mit gültigem 3-G-Nachweis zulässig war, informierte die Beklagte mit Email vom 22.11.2021 (Anlage …) die Belegschaft über die entsprechende Handhabe im Betrieb. Ein etwaiger Impfnachweis könne durch Screenshot des digitalen Nachweises oder durch Vorlage des Impfausweises erfolgen. Es wurde darauf hingewiesen, dass eine Kopie für die Dokumentation gefertigt werden würde.

Die Klägerin legte am 03.12.2021 ihren Impfausweis bei der Personalabteilung der Beklagten zur Erstellung einer Kopie vor. Auf Nachfrage der Personalreferentin, ob sie auch einen QR-Impfcode habe, erklärte sie, dass sie ein digitales Impfzertifikat nur auf ihrem privaten Mobiltelefon gespeichert habe, welches sie aktuell nicht dabei habe. Da der Beklagten mangels QR-Code eine Gültigkeitsüberprüfung des Impfnachweises mittels der App CovPassCheck nicht möglich war, unterzog die Personalreferentin die Impfausweise von acht Mitarbeitern, die (nur) ihren Impfpass vorgelegt hatten, einer Chargenabfrage.

Aus den Urteilsgründen:

Die außerordentliche fristlose Kündigung der Beklagten vom 13.12.2021 ist durch einen wichtigen Grund im Sinne von § BGB § 626 Abs. BGB § 626 Absatz 1 BGB gerechtfertigt.

Demnach kann das Arbeitsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist (nur) dann gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Arbeitsverhältnisses selbst bis zum Ablauf der Kündigungsfrist nicht zugemutet werden kann. Dabei ist zunächst zu prüfen, ob der Sachverhalt ohne seine besonderen Umstände „an sich“ und damit typischerweise als wichtiger Grund geeignet ist. Alsdann bedarf es der weiteren Prüfung, ob dem Kündigenden die Fortsetzung des Arbeitsverhältnisses unter Berücksichtigung der konkreten Umstände des Falls und unter Abwägung der Interessen beider Vertragsteile - jedenfalls bis zum Ablauf der Kündigungsfrist - zumutbar ist oder nicht (vgl. nur BAG, Urteil vom 16. Juli 2015 - BAG Aktenzeichen 2AZR8515 2 AZR 85/15 -, Rn. BAG Aktenzeichen 2AZR8515 2015-07-16 Randnummer 21, juris).

Vorliegend sind diese Voraussetzungen für die Rechtfertigung der streitgegenständlichen Kündigung erfüllt.

Die Klägerin hat in schwerwiegender Weise ihre gegenüber ihrer Arbeitgeberin bestehenden vertraglichen Nebenpflichten (§ BGB § 241 Abs. BGB § 241 Absatz 2 BGB) verletzt und damit einen „an sich“ als Grund für eine außerordentliche Kündigung geeignete Pflichtverletzung begangen.

Wie ist die Erlangung dieser Informationen datenschutzrechtlich zu sehen?

Verstöße gegen das Recht auf den durch Art. 8 Absatz 1 GRCh gebotenen Schutz der personenbezogenen Daten bzw. das aus Art. 2 Absatz 1 i. V. m. 1 Abs. 1 GG abzuleitende Recht auf informationelle Selbstbestimmung (vgl. BVerfG, Urteil vom 24. November 2010 -  Aktenzeichen 1 BvF 2/05 -, BVerfGE 128, Seite 1 Randnummer 150 ff. mwN) können zu prozessualen Verwertungsverboten führen.

Das ist z.B. der Fall, wenn die dem Sachvortrag einer Partei zugrunde liegende Informations- oder Beweisbeschaffung das allgemeine Persönlichkeitsrecht der anderen Partei verletzt, ohne dass dies durch überwiegende Belange gerechtfertigt ist (= verfassungsrechtliches Verwertungsverbot“).

Vorliegend ist kein Verstoß gegeben, da die zu verwertenden Daten unter Einhaltung der einfachgesetzlichen Datenschutzvorschriften erlangt wurden, vgl. Art. 6 Absatz 1 Satz 1 lit. c DSGVO iVm. § 28b Absatz 3 Satz 3 IfSG in der vom 24.11. bis 11.12.2021 geltenden Fassung (aF).

Konkret aus dem Urteil zur Frage, ob die Erlangung der Informationen durch den Arbeitgeber rechtmäßig war:

„Unabhängig vom Vorliegen einer Einwilligung im Sinne von Artikel 6 Absatz 1 Satz 1 lit. a DSGVO war die Beklagte am 03.12.2021 berechtigt, den Impfstatus der Klägerin zu dokumentieren. Denn nach § 28B Absatz 3 Satz 1 IfSG aF war sie ab dem 24.11.2021 (das Datum der Mitarbeiterinformation hierzu (22.11.2021) ist insoweit ebenso irrelevant wie die von der Klägerin beklagte Uneindeutigkeit des entsprechenden Rund-Schreibens) gesetzlich verpflichtet, die Einhaltung der nach § 28B Absatz 1 Satz 1 IfSG aF geltenden 3-G-Zutrittsbeschränkung zum Betrieb zu überwachen und zu dokumentieren.

Nach § 28B Absatz 3 Satz 3 IfSG aF war ihr zu diesem Zweck die Verarbeitung der personenbezogene Daten der Mitarbeiter einschließlich der Daten zum Impfstatus erlaubt. Es ist nicht ersichtlich, dass die Klägerin den Impfausweis nicht zum Nachweis der Zutrittsvoraussetzungen nach § 28B Absatz 1 Satz 1 IfSG aF vorgelegt hätte. Jedenfalls konnte die Beklagte nicht davon ausgehen, dass sie trotz ihres positiven Impfstatus die Einhaltung der 3-G-Regel durch eine Testung (über-) erfüllen wollte. Dass die Nachweis-Vorlage auch der Kontrolle der Einhaltung der 2-G-Vorgabe für die von der Klägerin weiterhin durchgeführten Kunden-Präsenztermine dienen konnte, würde zusätzlich eine Rechtfertigung nach § 26 Absatz 1 Satz 1 BDSG bedeuten.

In Erfüllung der aus § 28B Absatz 3 Satz 1 IfSG aF folgenden Kontroll-Verpflichtung war die Beklagte nach Abs. 3 Satz 3 auch zur Verarbeitung durch Abgleich mit den öffentlich erhältlichen Daten der Chargenabfrage - welche selbst keine personenbezogenen Daten im Sinne von Artikel 4 Nummer 1 DSGVO bzw. des § 46 Nummer 1 BDSG enthielt - berechtigt. Nur so konnte die Beklagte mangels Vorlage des QR-Codes sicherstellen, dass tatsächlich der behauptete Impfstatus gegeben war.“

Stand: 18.05.2022

Wie geht man mit dieser Einsichtnahme eines Dritten auf möglicherweise personenbezogene Daten um?

Auszug aus der Strafprozessordnung (StPO)

§ 94 Sicherstellung und Beschlagnahme von Gegenständen zu Beweiszwecken

(1) Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen.

(2) Befinden sich die Gegenstände in dem Gewahrsam einer Person und werden sie nicht freiwillig herausgegeben, so bedarf es der Beschlagnahme.

(3) …

(4) Die Herausgabe beweglicher Sachen richtet sich nach den §§ 111n und 111o.

Wie geht man mit dieser Einsichtnahme eines Dritten auf möglicherweise personenbezogene Daten um?

Fall 1:

Strafverfolgungsbehörde (Polizei oder Staatsanwaltschaft) nimmt die Einsicht vor in Daten, die zu anderen Zwecken vorher erhoben wurdenà zulässig nach § 24 BDSG

§ 24 BDSG Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen

Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder

sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.

Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.

Fall 2:

Falls andere Stellen diese personenbezogenen Daten „nutzen“ à dann Vorgehen gemäß den Vorgaben der DSGVO nach „Datenverlust“

Es gibt die Regelung: keine personenbezogenen Daten lokal speichern

Sollte es eine Strafverfolgungshörde sein, die die Daten beschlagnahmt hat, dann wird sie nochmal wiederkommen und den Server zu beschlagnahmen.

Alternativ wird ein Auskunftsverfahren nach §§ 22, 23 TTDSG durchgeführt.

Laptop ist verschlüsselt (ob Kennwörter rausgegeben wurden, ist nicht bekannt)

Die Polizei wird vielleicht versuchen, den Administrator dazu zu bewegen, im Rahmen einer Zeugenaussage die Kennwörter herauszugeben. Alternativ wird auch hier ein Auskunftsverfahren nach §§ 22, 23 TTDSG durchgeführt.

VPN wurde abgedreht

Auch hier ist zu erwarten, dass die Staatsanwaltschaft/Polizei nochmal eventuell wegen des Servers wiederkommt.

Empfehlung:

• mit den Ermittlungsbehörden kooperieren.
• Im Zweifel wird ohnehin ein Auskunftsverfahren geführt werden.

Stand: 18.05.2022

Art. 21 DSGVO Widerspruchsrecht

(1)…

(2)Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

(3)Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

Bei Widerspruch gegen Werbung wird eine diesbezügliche Verarbeitung der Daten unzulässig. Dazu gehören dann alle Arten von Werbung, insbesondere:

• Newsletter,
• Werbe-E-Mails
• Telefonanrufe,
• Briefpost,
• und alle anderen Arten, z.B. auch Tracking

Antwort auf die oben gestellte Frage:

Bei einem Werbewiderspruch muss der Betroffene auch aus dem Newsletterverteiler genommen werden.

Stand: 11.05.2022

Gesetzliche Vorgaben für Werbung per E-Mail:

Werbe E-Mails sind grundsätzlich eine „unzumutbare Belästigung“ nach § 7 Abs. 2 Ziff. 3 UWG  (--> also SPAM!) – und damit unzulässig.

Ausnahme 1: Double-Opt-In

Ausnahme 2: § 7 Abs. 3 UWG

Werbe-E-Mails sind damit ausnahmsweise keine unzumutbare Belästigung, wenn

• E-Mail-Adresse im Zusammenhang mit Verkauf einer Ware/Dienstleistung erhalten und
• Direktwerbung für eigene ähnliche Waren/Dienstleistungen und
• Kein Widerspruch des Kunden gegen Verwendung und
• Hinweis bei Erhebung und jeder Verwendung auf jederzeitige Widerspruchsmöglichkeit

Beim Hinweis „bei Erhebung und jeder Verwendung auf jederzeitige Widerspruchsmöglichkeit“ sind zudem die Vorgaben der DSGVO zu berücksichtigen, v.a. Art. 13 DSGVO.

Wichtig:

DSGVO verdrängt über das „berechtigte Interesse“ nach Art. 6 Abs. 1 S. 1 lit. f DSGVO nicht die Regelungen aus dem UWG --> Alle Vorgaben des § 7 Abs. 3 UWG müssen trotzdem eingehalten werden.

Ergebnis:

E-Mail-Werbung ist zulässig, wenn entweder ein Double-Opt-In oder die Ausnahme nach § 7 Abs. 3 UWG vorliegt und gleichzeitig alle datenschutzrechtlichen Vorgaben, insbesondere des Art. 13 DSGVO, eingehalten werden.

Stand: 11.05.2022

Sachverhalt:

Die Kläger wenden sich gegen die Beendigung eines Beschwerdeverfahrens durch die Berliner Beauftrage für Datenschutz und Informationsfreiheit.

Mit Schreiben vom Nov. 2019 forderte die Kirchensteuerstelle beim Finanzamt die Kläger auf, Angaben zur Religionszugehörigkeit ihrer beiden minderjährigen Kinder zu machen und übersandte hierzu jeweils einen Fragebogen. Die inhaltlich identisch aufgebauten Fragebögen enthielten Fragen zur Religionszugehörigkeit der Kinder.

Mit Schreiben vom 22. Dezember 2019 forderten die Kläger die Kirchensteuerstelle beim Finanzamt auf, die die Kinder betreffende Datenabfrage zukünftig zu unterlassen. Die Kirchensteuerstelle forderte die Kläger mit Schreiben vom 2. Januar 2020 ihrerseits zur Ausfüllung der Formulare auf.

Daraufhin erhoben die Kläger am 3. August 2020 Beschwerde bei der B. Beauftragten für Datenschutz und Informationsfreiheit. Zur Begründung trugen die Kläger vor, der Inhalt des Fragebogens sei datenschutzrechtlich unzulässig. Es handele sich um eine „anlasslose Rasterfahndung“ nach potentiellen Kirchenmitgliedern.

Mit Bescheid vom 16. September 2020 teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit mit, dass sie für die Überprüfung der Handlungen der Kirchensteuerstelle nicht zuständig sei. Sie begründete die Unzuständigkeit damit, dass die Verwaltung der Kirchensteuer der steuerberechtigten Religionsgemeinschaft obliege. Die Kirchen seien dabei durch sog. Kirchensteuerstellen bei den Finanzämtern beteiligt. Die Kirchensteuerstellen kümmerten sich um die Feststellung der subjektiven Kirchensteuerpflicht. Aufgrund von Art. EWG_DSGVO Artikel 91 Abs. EWG_DSGVO Artikel 91 Absatz 2 Datenschutz-Grundverordnung - DS-GVO - verfügten die Kirchen über spezifische Aufsichtsbehörden, an die die Beschwerde zu richten sei.

Mit Bescheid vom 5. Oktober 2020 wies die Berliner Beauftragte für Datenschutz und Informationsfreiheit die Beschwerde auch im Übrigen zurück. Zur Begründung führte sie aus, sie habe das Finanzamt ... um Stellungnahme gebeten. Das Finanzamt habe mitgeteilt, dass der von den Klägern dargestellte Sachverhalt unzutreffend sei und es keine Daten an die Kirchensteuerstelle weitergeleitet habe. Es könne mithin kein Verstoß gegen datenschutzrechtliche Bestimmungen festgestellt werden.

Mit ihrer Klage vom 12. November 2020 verfolgen die Kläger ihr Begehren weiter.

Aus den Entscheidungsgründen:

Der Bescheid der B. Beauftragten für Datenschutz und Informationsfreiheit vom 16. September 2020, nach dem die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegenüber der Kirchensteuerstelle keine aufsichtsrechtlichen Befugnisse habe, ist nicht zu beanstanden. Die Annahme der eigenen Unzuständigkeit erfolgte ermessensfehlerfrei. Der kirchliche Datenschutz unterliegt insoweit der kirchlichen und nicht einer besonderen staatlichen Aufsicht (1), vor allem ist das kirchliche Datenschutzrecht als umfassende Datenschutzregel im Sinne der DS-GVO zu verstehen (2). Die Kirchensteuerstelle unterliegt der Aufsicht der kirchlichen Aufsichtsbehörden (3) und die Aufsicht betrifft nicht nur Mitglieder der jeweiligen Religionsgemeinschaft (4).

Stand: 11.05.2022

Ursprünglich: Cookie-Wall, bei der der Nutzer die Inhalte einer Seite nur betrachten kann, wenn er der Setzung von Cookies zustimmt, ist unzulässig (BGH-Rechtsprechung zum Opt-Out).

Zulässig ist seit 2020 eine Cookie-Wall, wenn der Nutzer eine Alternative zur Einwilligung von Cookies hat (siehe BBH-Beitrag vom 03.06.2020), auch, wenn diese nur kostenpflichtig ist.

Dies resultiert vor allem aus der Einschätzung des edpd (European Data Protection Board, Leitlinie 05/2020 zur Einwilligung nach DSGVO, dort vor allem Rn. 38-41 und 86).

Damit eine Einwilligung freiwillig erteilt werden kann, darf der Zugang zu Diensten und Funktionen nicht von der Einwilligung eines Nutzers in die Speicherung von Informationen in seinem Gerät oder der Zugang zu bereits darin gespeicherten Informationen abhängig gemacht werden (sogenannte Cookie-Mauern bzw. Cookie-Walls).

Das heißt: ein kostenloses Angebot nur mit Setzung von Cookies ohne eine Alternative, ist wegen Verstoßes gegen das Merkmal der Freiwilligkeit der Einwilligung unzulässig.

Bei Kostenpflichtigkeit gilt: Da es keine gesetzliche Verpflichtung gibt, ein bestimmtes Telemediendiensteangebot kostenfrei anzubieten, ist die kostenpflichtige Alternative ohne Cookies zulässig.

Kostenlose „Cookie-Variante“: hier müssen alle gesetzlichen Vorgaben eingehalten werden. Also: Einwilligung bei nahezu allen Cookies und Tracking-Tools, außer, sie fallen unter die Ausnahme in Art. 25 TTDSG.

Antwort:

Grundsätzlich ja, wenn alle Vorgaben eingehalten werden.

Stand: 11.05.2022

Was ist „FontAwesome“?

FontAwesome bietet eine Web Icon Library. Um die Icons anzeigen und laden zu können, werden bei FontAwesome (wie bei der der Verlinkung von GoogleFonts) die IP-Adresse beim Aufruf übertragen. Somit werden personenbezogene Daten im Sinne der DSGVO erfasst.

Für die Verarbeitung personenbezogener Daten, die FontAwesome vornimmt, benötigt man eine Rechtsgrundlage nach Art. 6 DSGVO.

--> Einwilligung!

Fällt FontAwesome in die gleiche Kategorie wie Google Fonts?

Antwort:

Ja, wenn Google Fonts dynamisch per Link eingebunden wird, kann man FontAwesome damit vergleichen.

Zum Thema Google-Fonts finden Sie auch in unserem FAQ Bereich auf der Website.

Stand: 04.05.2022

Ausnahmen  für bestimmte Fälle, Art. 49 DSGVO

Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig: 1.die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.

Folgen aus dem Art. 49 Abs. 1 lit.a DSGVO:

1. Ausdrückliche Einwilligung des Nutzers
2. freiwillig, informiert und für den konkreten Fall
3. Einschließlich der vorherigen Unterrichtung über die für den Nutzer bestehenden möglichen Risiken derartiger Datenübermittlungen

Oder muss beispielsweise folgender Hinweis vor der Verarbeitung erfolgen?

Hinweis auf die Verarbeitung Ihrer erhobenen Daten in den USA durch Google, Airtable, Survey Sparrow: Indem Sie auf „Akzeptieren“ klicken, willigen Sie zugleich gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO ein, dass Ihre Daten in den USA verarbeitet werden. Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden, zu Kontroll- und zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können. 

Antwort: Ja, sofern ein solcher Hinweis nicht nur ein Hinweis ist, sondern der Nutzer ausdrücklich für jeden Einzelfall eingewilligt hat. Bei der vorgeschlagenen Formulierung fehlt m.E. ein Hinweis auf das Nichtvorliegen von Betroffenenrechten und dass keine angesessenen Garantien für die USA vorliegen.

Genügt hierbei ein Hinweis in der Datenschutzerklärung (die mit einem „Klick“ erreichbar ist), dass die Verarbeitung in einem Drittland stattfindet?

Antwort:

Nein!

Es braucht nach dem klaren Gesetzeswortlaut eine informierte Einwilligung.

Stand: 04.05.2022

Beschreibung nach Wikipedia:

"Ghostery ist eine Software, die den Anwender beim Surfen auf versteckte Dienste hinweist, die im Hintergrund private Daten an Seitenbetreiber übermitteln, und diese auf Wunsch blockiert. Das Programm ist als Software-Erweiterung für verschiedene Webbrowser Firefox, Safari, Chrome, Edge, Opera und Internet Explorer einsetzbar, sowie als eigenständige Webbrowser-App für Android und Apple iOS"

Anmerkungen:

• Sehr komfortabel anwendbar
• Aber: Es wird nicht auf alle versteckten Dienste hingewiesen
• Eine Weitergabe von Daten erfolgt laut Unternehmen nur, wenn ausdrücklich vom User eingewilligt wird.

Aus datenschutzrechtlicher Sicht nicht perfekt, aber der Einsatz an sich ist aus unserer Sicht unbedenklich.

Stand: 04.05.2022

1. Kritische Infrastrukturbetreiber

2. Digitale Dienste, wie

• Online-Suchmaschinen,
• Cloud-Computing-Dienste und
• Online-Marktplätze

Definition: 
Online-Shops, über die Einzelhändler ihre eigenen Waren vertreiben, sind keine Marktplätze im Sinne des § 2 BSIG.

Ein Online-Marktplatz ist eine Plattform, die als Dienstleistung eines Dritten einer Vielzahl von Verkäufern angeboten wird, um gebündelt ihre Waren an Käufer zu vermitteln. Normzweck ist der Schutz der quasi-infrastrukturellen Bedeutung des Marktplatzes. Fällt er aus, drohen wirtschaftliche Folgen für eine Mehrzahl von Verkäufern und Käufern, nicht nur für einen Einzelanbieter.

Gilt es für alle Unternehmen, auch solche, die keine kritischen Infrastrukturbetreiber sind?

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)

§ 8c Besondere Anforderungen an Anbieter digitaler Dienste (1)Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten. (2)Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

  1. der Sicherheit der Systeme und Anlagen,

  2. der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,

  3. dem Betriebskontinuitätsmanagement,

  4. der Überwachung, Überprüfung und Erprobung,

  5. der Einhaltung internationaler Normen.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden.

Stand: 04.05.2022

BayVGH, Beschluss vom 07.03.2022, Az.: 4 CS 21.2254

Sachverhalt:

Ein Ehepaar wurde im Mai 2021 unter Anordnung des Sofortvollzugs dazu verpflichtet, einem
Beauftragten des kommunalen Wasserversorgungsunternehmens Zugang zu ihrer Wohnung zu
gewähren , um ihm die Überprüfung und erforderlichenfalls den Austausch des bisherigen
analogen Wasserzählers gegen einen digitalen Zähler mit Funkfunktion zu ermöglichen.
Das Paar wandte sich hiergegen mit einem Eilantrag und machten geltend, dass dem Betrieb von
Funkwasserzählern datenschutzrechtliche und gesundheitliche Bedenken entgegenstünden.
Nach Ablehnung des Eilantrags durch das Verwaltungsgericht erhoben die Antragsteller
Beschwerde zum BayVGH.

Der Beschluss des BayVGH
Aus der Begründung

Der vom Gesetzgeber nur unter engen Voraussetzungen zugelassene Einsatz von elektronischen Wasserzählern mit Funkfunktion verstößt nicht gegen höherrangiges Recht. Im fortlaufenden Betrieb solcher Messgeräte liegt weder ein unzulässiger Eingriff in das Recht auf informationelle Selbstbestimmung, noch ergeben sich auch nach derzeitigem Erkenntnisstand Gesundheitsgefahren für die Bewohner.

Der Betrieb eines Funkwasserzählers ist keine Verletzung des Grundrechts auf informationelle Selbstbestimmung. Auch wenn der Betrieb Rückschlüsse auf den Wasserverbrauch einzelner Personen ermöglichen sollte, ist die Verarbeitung der personenbezogenen Daten gerechtfertigt.

Die Versorgung mit Trinkwasser und die Messung des Verbrauchs mittels Wasserzählern sei eine zur Daseinsvorsorge gehörende gemeindliche Pflichtaufgabe und diene dem öffentlichen Interesse. Die Verarbeitung der Daten stelle keinen so schweren Rechtseingriff dar, dass bei einer Gesamtabwägung das Interesse des öffentlichen Wasserversorgers an der Nutzung der Funkwasserzähler zurückstehen müsse. Der Einsatz von Funkwasserzählern könne im Hinblick auf das Grundrecht der Unverletzlichkeit der Wohnung sogar als eine besonders schonende Art der Datenerfassung angesehen werden, weil er das Betreten von privaten Räumen entbehrlich mache.

Nach derzeitigem Erkenntnisstand entstünden durch den Betrieb von Funkwasserzählern auch keine unzumutbaren Gesundheitsgefahren, weil die Strahlenleistung im Vergleich zu einem Handy um ein Vielfaches niedriger sei und die Funkwasserzähler in der Regel nicht in unmittelbarer Nähe zu den Bewohnern, sondern im Keller an der zentralen Hauswasserzuleitung angebracht würden.

Stand: 04.05.2022

Es muss nicht jede E-Mail archiviert werden.

Archiviert werden müssen E-Mails, die für eine ordnungsgemäße Buchführung und/oder steuerrechtlich relevant sind. Gesetzliche Grundlage ist die AO (Abgabenordnung), die GoB (Grundsätze für ordnungsgemäße Buchführung) und GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).

Reine Kommunikation, die genauso mündlich hätte stattfinden können oder die Vertriebs- oder Marketingthemen betrifft, muss nicht aufbewahrt werden.

Hängen hinter den Mailadressen aber ganze Postfächer mit Inhalten, die unter die Aufbewahrungspflichten fallen, dann gelten dafür die echten Aufbewahrungsfristen nach den gesetzlichen Vorgaben (also nach AO, GoB, GOBD, etc.). Im Regelfall muss zwischen 6 und 10 Jahren gespeichert werden, wenn es sich um Inhalte handelt, die für eine ordnungsgemäße Buchführung, für die Steuer usw. notwendig sein könnten.

Bei Unternehmen, die ein eigenes Programm für Buchhaltung, etc. haben und dieses aus den Mailaccounts heraus komplett vervollständigen, ist keine eigene E-Mail-Archivierungspflicht gegeben. Z.B. haben Rechtsanwälte oft eine Schnittstelle zum Datev-Anwaltsprogramm. Damit wird alles, was für die Mandatsbearbeitung wichtig sein könnte und per Mail eingeht, im Datev-System abgespeichert und in den E-Mail-Postfächern verbleibt die reine „Kommunikation“ und die sollte dann regelmäßig gelöscht werden.

E-Mails müssen dann archiviert werden, wenn ihre Inhalte nach den gesetzlichen Vorgaben aufbewahrungspflichtig sind.

Revisionssichere Archivierung

Aus dem „Code of Practice“, erstmals veröffentlicht durch den Fachverband der Dokumentenmanagementbranche, Verband Organisations- und Informationssysteme (VOI) im Jahr 1996, gehen außerdem folgende Grundsätze hervor:

Die 10 Grundsätze zur Revisionssicherheit von elektronischen Dokumenten:

• Jedes Dokument wird unveränderbar archiviert.
• Kein E-Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
• Jedes Dokument muss mit geeigneten Techniken (z. B. durch das Indexieren mit Metadaten) wieder auffindbar sein.
• Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist.
• Kein Dokument darf während der Dauer der Aufbewahrungsfrist vernichtet werden.
• Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können.
• Alle Dokumente müssen zeitnah wiedergefunden werden können.
• Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist.
• Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist.
• Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB, AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen.

Ist E-Mail-Archivierung beim Einsatz von Microsoft Exchange on premise oder M365 verpflichtend?

Nur, wenn inhaltlich gesetzliche Aufbewahrungspflichten betroffen sind.

Wenn es ein reines Kommunikationstool ist und zusätzlich eine Anwendung verwendet wird, in der alle notwendigen Unterlagen abgespeichert werden, besteht keine zusätzliche Pflicht zur Archivierung von E-Mails.

Anderenfalls schon.

Erfüllt die Funktion „Archiv“ aus Exchange online Plan 2 die rechtlichen Anforderungen an E-Mail-Archivierung?

Was ist Exchange online Plan 2?

Enthält E-Mail, Kontakte, Aufgabenverwaltung und Kalender und einen unlimitierten Archivierungsspeicher. Ist also ein weiteres Postfach, mit zeitlich unbegrenzter Speicherung und Wiederherstellungsfunktionen.

Antwort:

M.A. nach werden die wichtigsten Archivierungsvorgaben, nämlich die selektive Zuordnungsmöglichkeit zum jeweiligen Vorgang und die wichtige Vorgabe aus der DSGVO, nämlich regelmäßig löschen zu können, nicht erfüllt.

Stand: 27.04.2022

EU-Data-Act-Verordnung

Im Februar 2022: Gesetzesvorschlag der EU-Kommission des sogenannten Data Acts.

Ziel:
Zugang zu Daten und die Nutzung von Daten soll gefördert werden.
So soll ein „Datenbinnenmarkt“ entstehen, der die Wettbewerbsfähigkeit der EU erhöht.

5 wichtige Regelungsbereiche des Data-Acts:

• Recht der Nutzer auf Zugang und Nutzung nutzergenerierter Daten
• Verbot unfairer Vertragsklauseln in standardisierten Datenlizenzverträgen
• Recht auf Datenzugang und -nutzung durch öffentliche Stellen
• Bestimmungen, die eine Erleichterung des Wechsels von Datenverarbeitungsdiensten (insb. Cloud- und Edge-Anbieter) ermöglichen sollen
• Anforderungen an die Interoperabilität von Datenverarbeitungsdiensten sowie an die internationale Datenübertragung

--> sehr weiter Anwendungsbereich, da nicht nur auf personenbezogene Daten bezogen.

Mehr Infos

Februar 2022: Gesetzesvorschlag der EU-Kommission des sogenannten Data-Acts.

Weiterer Verlauf des Gesetzgebungsverfahrens:

Verschiedene Lesungen im EU-Parlament und dem Rat der EU, am Ende müssen beide mit Mehrheit zustimmen.

Skizzierter Ablauf

In welchem Verhältnis wird dieses Gesetz bzw. diese Verordnung zur DSGVO stehen?

Parallele Geltung. Grundsätzlich ist der Anwendungsbereich des Data Acts mit der Einbeziehung auch nicht personenbezogener Daten (Maschinendaten) weiter, als der der DSGVO.

Einzelheiten sind noch unklar.

Stand: 27.04.2022

Wann ist die Speicherung von Informationen in der Endeinrichtung nach § 25 Abs. 2 TTDSG „unbedingt erforderlich“, damit der Anbieter eines Telemediendienstes einen vom Nutzer „ausdrücklich gewünschten“ Telemediendienst zur Verfügung stellen kann?

Mit anderen Worten:

Wann brauche ich keine Einwilligung?

Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG:

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

 1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Hamburger Beauftragte für Datenschutz und Informationsfreiheit sagt folgendes:

„Außerhalb der genannten Voraussetzungen ist die Nutzung von Cookies, Web Storage, Browser-Fingerprinting und ähnlichen Technologien nur nach einer den Erfordernissen der DSGVO entsprechenden Einwilligung zulässig. Die Ausnahmen sind bereits dem Wortlaut nach eng auszulegen. So findet sich in Abs. 2 Nr. 2 die Formulierung „unbedingt erforderlich“, was vor dem Hintergrund der Gesetzesbegründung als technische, nicht jedoch wirtschaftliche Notwendigkeit zu verstehen ist. Regelmäßig wird daher die Reichweitenmessung, das Nutzertracking für Werbezwecke usw. für die Zurverfügungstellung eines Telemediendienstes nicht unbedingt erforderlich und daher nach dem TTDSG einwilligungspflichtig sein.“

Mehr Infos

Eine Rechtsanwaltskanzlei vertritt folgende Auffassung:

„Unter die unbedingte Erforderlichkeit des § 25 Abs. 2 Nr. 2 TTDSG kann nicht nur die technische Erforderlichkeit zur Bereitstellung des Dienstes fallen, sondern auch die Erforderlichkeit zur Einhaltung gesetzlicher Pflichten oder zur Erbringung vertraglich geschuldeter Leistungen. Erforderlich bleibt eine konkrete Einzelfallbetrachtung, welche auch den Spielraum des ausdrücklich vom Nutzer gewünschten Telemediendienstes berücksichtigt. Dem mancherorts geäußerten Wunsch, Regelbeispiele für die unbedingte Erforderlichkeit in den Wortlaut der Vorschrift mit aufzunehmen, ist der Gesetzgeber nicht nachgekommen. Auf Cookie-Ebene sind beispielweise Cookies zur dauerhaften Speicherung von Spracheinstellungen oder zum Anbieten einer Warenkorbfunktion typische Beispiele für die unbedingte Erforderlichkeit von Cookies.“

Mehr Infos

Ergebnis:

Die Ausnahme nach § 25 Abs. 2 TTDSG ist für den Fall vorgesehen, dass Speicherung oder Zugriff für Telemedienanbieter unbedingt erforderlich sind, um Nutzer:innen einen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen. Nach konservativer Auffassung sind damit die technisch erforderlichen Cookies gemeint. Sie dienen z.B. dem Betrieb einer Webseite,  der Umsetzung von technischer Sicherheit oder auch der Speicherung von Warenkörben in Onlineshops. Letzteres ist aber eng verbunden mit der vertraglich geschuldeten Leistung, die technisch umgesetzt werden muss.

Wer also z.B. Browser-Fingerprinting einsetzt, um eine notwendige technische Sicherheit einer Website umzusetzen (und dies auch entsprechend begründen kann), braucht keine Einwilligung des Nutzers, sondern kann von der unbedingten Erforderlichkeit der Anwendung ausgehen, sofern er sie begründen kann.

Stand: 27.04.2022

Folgende Gesetze müssen hier zur Beantwortung hinzugezogen werden:

UrhG: Urheberrecht besteht 70 Jahre bei Fotografien (§ 64 UrhG);
hat mit Löschungspflichten nichts zu tun, sondern nur mit Urheberrechten, v.a. Verwertungsrechten nach §§ 15 ff. UrhG

KUG: bei Bildnissen muss eine Einwilligung vorliegen nach § 22 KUG oder eine Ausnahme nach § 23 KUG. Wenn Einwilligung widerrufen wird --> Löschung!

DSGVO: Löschung bei Zweckerreichung oder Wegfall des Zwecks, oder die anderen Gründe des Art. 17 DSGVO

• Geht DSGVO oder KUG vor, wenn es um die Prüfung der Zulässigkeit einer Veröffentlichung geht?
  --> DSGVO gilt neben dem KUG!
• Im BDSG-neu gibt es keine Ausnahme für „Meinungsfreiheit“
• Rechtslage derzeit etwas unklar v.a. für private Fotos, auf denen Menschen als „Beiwerk“ zu sehen sind
• Rechtslage aber für die Mehrzahl der Anwendungsgebiete klar: Fotos mit Menschen drauf bei Schulfeiern, Ausflüge, Veranstaltungen, Websites etc.: Einwilligung einholen!
• Gleiches Ergebnis gilt für Löschfristen: Wenn Einwilligung widerrufen wurde: löschen!
  Ansonsten: je nach Vereinbarung.

Stand: 06.04.2022

Ergebnis des Kurzgutachtens der Tascforce Facebook Fanpages vom 18.03.2022:

„Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben.

Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.“

Ergebnis der DSK-Konferenz vom 23.03.2022:

Die DSK nimmt das von der Taskforce Facebook-Fanpages erstellte Kurzgutachten zur Frage der datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vom 18.03.2022 zur Kenntnis und stimmt der Bewertung zu.

Es bildet für die Mitglieder der DSK eine wichtige Grundlage ihrer aufsichtsbehördlichen Tätigkeit gegenüber öffentlichen und nichtöffentlichen Stellen.

Aufgrund ihrer Vorbildfunktion stehen öffentliche Stellen zuvörderst im Fokus. Deshalb werden die Mitglieder der DSK im Rahmen ihrer Zuständigkeit

• die obersten Landes- bzw. Bundesbehörden über den Inhalt des Kurzgutachtens zeitnah informieren,
• überprüfen, ob Landes- bzw. Bundesbehörden Facebook-Fanpages betreiben,
• darauf hinwirken, dass von Landes- bzw. Bundesbehörden betriebene Facebook-Fanpages deaktiviert werden, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können.

Dieser Nachweis betrifft vor allem:

• den Abschluss einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit mit Facebook,
• ausreichende Informationen über die gemeinsamen Datenverarbeitungen gegenüber den die Fanpages Nutzenden gemäß Art. 13 DSGVO,
• die Zulässigkeit zur Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf diese Informationen gemäß § 25 TTDSG sowie
• die Zulässigkeit der Übertragung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten

Hinweis von LiiDU:
Künftig dürfen nur, wenn diese hier genannten Nachweise erbracht werden, Facebook-Fanpages betrieben werden.

Stand: 06.04.2022

Wenn die Proben rein dem Gesundheitsschutz oder wissenschaftlichen Zwecken dienen sollen, greift Art. 9 Abs. 2 lit h. i DSGVO. und Erwägungsgrund 52

--> Verarbeitung sogar in nicht anonymisierter Form zulässig, wenn Voraussetzungen vorliegen.

Sind die Proben anonymisierbar?

Antwort:

• Ja, natürlich, weil derzeit keine Gendatenbank der Bundesbürger existiert. Aber:
• vielleicht gibt es irgendwann eine solche Datenbank, in der alle Bürger „aufgeschlüsselt“ liegen.
• Dann braucht es erst recht ein wirksames Datenschutzrecht, das den Zugriff darauf streng regelt.
• Die Polizei hat bereits über die Strafprozessordnung (v.a. § 483 STPO) die Möglichkeit, entsprechende Datenbanken zu unterhalten.
• Es gibt zudem eine DNA-Analysedatei des BK, über die Identifizierungsmuster gespeichert werden

Stand: 06.04.2022

Ein DSGVO-konformes Kontaktformular sollte folgende Punkte abdecken:

1. Datensparsamkeit: so wenige Daten wie möglich erheben

2. Zweckbindung: Daten nur zu einem bestimmten Zweck verwenden

3. Mit Datenschutzerklärung der Transparenz- und Informationspflicht nachkommen:

• Information, dass personenbezogene Daten erhoben werden,
• Information, welche Daten genau erhoben werden,
• warum diese Daten erhoben werden,
• was mit den Daten gemacht wird und
• wie lange die Daten gespeichert werden.
• Gutes Beispiel (ohne die ReCaptcha-Thematik)

Was kann man falsch machen beim Kontaktformular?

• Man kann vergessen eine Datenschutzerklärung bereitzuhalten
• Keine SSL-Übertragung anzubieten
• Alle möglichen Informationen als Pflichtangaben abzufragen

Welche Einwilligungen braucht man?

Man braucht keine gesonderte Einwilligung des Nutzers, weil die Absendung des Kontaktformulars bereits die Einwilligung darstellt!

Wie bewerkstelligt man DS-GVO-konforme Spam-Verhinderung beim Anmeldeformular?

Vorschläge:

• Captcha: oft unlesbar und gilt oft als unelegante Lösung

• reCaptcha: datenschutzrechtlich bedenklich, wegen der Analyse ohne Einwilligung

Beispiel - Mehr Informationen finden Sie hier

• Honeypots: Schwierigkeiten bei der Einbindung

• Newslettertools: können auch für die datenschutzkonforme Anbindung der Anmeldeformulare sorgen 

Wie "tief" muss die Verarbeitung der Daten im Kontaktformular in der Datenschutzerklärung erläutert werden?

Nicht tief. Es müssen die gesetzlichen Anforderungen erfüllt sein.

Gutes Beispiel

Ziff. 13

Was ist im Verfahrensverzeichnis zu beachten?

Im Verfahrensverzeichnis sollte die Website ein eigenes Verzeichnis haben – außer es ist eine reine Informationsseite.

Dort kann der Punkt „Kontaktformular“ als Unterpunkt aufgenommen werden.

Stand: 30.03.2022

Was ist Matomo?

Matomo hieß vor 2018 Piwik und ist ein Web-Analysetool. Seine Hauptfunktion ist, Bewegungen auf Websites zu analysieren, um aufgrund der gewonnen Erkenntnisse die Website optimieren zu können.

Was ist datenschutzrechtlich zu beachten?

Das Tool kann

• ganz ohne die Erhebung personenbezogener Daten eingesetzt werden (Privacy-Einstellungen), indem, dass die letzten Ziffern der IP-Adresse anonymisiert wird.
• auch komplett ohne Cookies eingesetzt werden (in der Privacy-Einstellung „alle Tracking-Cookies deaktivieren“). (Achtung: Matomo nutzt in der Standardeinstellung Cookies. In diesem Fall muss also in jedem Fall ein Cookie-Banner mit Einwilligungsmöglichkeit verwendet werden.)

Werden diese Punkte eingehalten, braucht man – rein datenschutzrechtlich gesehen – keine Einwilligung (und damit keinen Banner!)

Und: ein Hinweis in der Datenschutzerklärung dürfte optional sein.

Was aber ist TTDSG-rechtlich zu beachten?

Es gibt § 25 TTDSG, wonach die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.

--> gilt also vor allem für Cookies! Allerdings soll nach dem Willen des Gesetzgebers und wohl auch nach dem Wortlaut des § 25 TTDSG die Einwilligungspflicht nicht nur für Cookies gelten, sondern für sämtliche Mechanismen, die entweder Informationen auf Nutzerendgeräten speichern oder von diesen auslesen.

Damit wäre eine Einwilligungspflicht für Matomo relevant, da auch bei Deaktivierung von Cookies mit dem sogenannten „Device Fingerprinting“ ein bestimmtes Nutzerverhalten nachvollzogen werden kann.

Device Fingerprinting: Vom Nutzer nicht zu erkennende Technologien, die vom verwendeten Endgerät spezifische Informationen (z.B. Gerätetyp, das Betriebssystem) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.

Es ist fraglich, ob bei diesem Device Fingerprinting so auf Geräte-Informationen zugegriffen wird, dass bereits deswegen von einer eigenständigen Einwilligungspflicht ausgegangen werden kann.

Es gibt keine Urteile dazu! Mehr dazu finden Sie hier.

Stand: 30.03.2022

EU-Kommission und die USA haben am 25.03.2022 durch ihre ranghöchsten Vertreter bekanntgegeben, dass man sich auf ein neues Datenschutzabkommen zwischen den USA und Europa geeinigt hat. Hier ein Textauszug aus der Veröffentlichung:

The European Commission and the United States reached an agreement in principle for a

Trans-Atlantic Data Privacy Framework.

Key principles

• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies

• A new set of rules and binding safeguards to limit access to data by U.S. intelligence authorities to what is necessary and proportionate to protect national security; U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards
• A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court
• Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce
• Specific monitoring and review mechanisms

Hier finden Sie den ganzen Text

Es gibt noch keinen rechtlichen Text, der veröffentlicht wäre.

Nach der (oben verlinkten) Ankündigung, wird nun erst die Vereinbarungen in rechtliche Texte übertragen. Das wird Monate dauern.

Max Schrems hat erklärt, dass jedes neue Abkommen, das die Anforderungen des EU-Rechts nicht erfüllt, innerhalb weniger Monate vor dem EuGH angefochten werden wird, z. B. durch zivilrechtliche Verfahren und einstweilige Verfügungen.

Stand: 30.03.2022

Google Optimize ist ein A/B-Testing-Tool

Grundsätzlich: Auch ohne Cookies ist Google Analytics einwilligungspflichtig, insbesondere wegen der Verarbeitung der Analysedaten immer in den USA.

Im Speziellen: Sofern man Google Optimize zur anonymen Auswertung nutzen kann, dann ist das DSGVO-konform. Wenn Voraussetzung aber die Nutzung von Google-Analytics ist (=Standardfall!), dann nur mit Einwilligung der Nutzer.

Voraussetzungen eines rechtskonformen Einsatzes wären damit:

1. Einwilligung der Nutzer
2. Abschluss von Standardvertragsklauseln
3. Aufnahme in die Datenschutzerklärung
4. Daten-Transfer-Folgenabschätzung

Hier finden Sie eine gute Übersicht mit Checkliste

Stand: 23.03.2022

Um einen Auftragsverarbeitungsvertrag abschließen zu müssen, muss eine Verarbeitung im Auftrag des Verantwortlichen stattfinden, Art. 28 DSGVO.

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nach Ansicht des BayLDA nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Klassische Beispiele sind Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen), Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten, Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt; Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist, etc.).

Abgrenzung zu einer eigenen Verantwortlichkeit in der Verarbeitung:

• Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, z.B. Tätigkeiten von Steuerberater, Rechtsanwälten und Wirtschaftsprüfer, Bankinstitute für den Geldtransfer, Postdienste für den Brief- oder Pakettransport;
• Im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit, z.B. Bewachungsdienstleistungen, Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen, Transport von Unterlagen und Waren durch Kurierdienste oder Speditionen, etc.;

Sehr schöne Übersicht zur Abgrenzung der Auftragsverarbeitung mit den anderen Formen der Verarbeitung: Link zur pdf-Datei des BayLDA

Stand: 23.03.2022

Ein Verein, dessen Zweck nicht auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist, erlangt Rechtsfähigkeit durch Eintragung in das Vereinsregister des zuständigen Amtsgerichts, vgl. § 21 BGB.

Damit eine Geschäftsstelle eingerichtet werden kann, muss dies in der Vereinssatzung geregelt sein.
Es ist deshalb ratsam, schon bei Vereinsgründung eine Regelung aufzunehmen, die grundsätzlich die Einrichtung einer Geschäftsstelle ermöglicht. Ob, wann und wo diese dann tatsächlich eingerichtet wird, bleibt der Beschlussfassung in der Mitgliederversammlung vorbehalten. Es sollte in der Satzung auch geregelt werden, welche Aufgaben die Geschäftsstelle hat (z.B. Bearbeitung von Anträgen für die Aufnahme neuer Mitglieder, Postbearbeitung, Aktualisierungen der Mitgliederkartei, Einkauf von Büroartikeln, …).

In der Praxis sind Verwaltungssitz und Vereinssitz meist identisch. Es ist jedoch möglich, dass Vereins- und Verwaltungssitz auseinanderfallen.

Das heißt im vorliegenden Fall wäre das Vorliegen von zwei Zuständigkeiten (Bayern und NRW) grundsätzlich möglich.

Konkret zur Zuständigkeit:  Art. 55 DSGVO

1. Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
2. Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.
3. Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

Art. 56 Zuständigkeit der federführenden Aufsichtsbehörde

1. Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung. (One-Stop-Shop)
2. Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt. (= Lokale Fälle)
3. …. https://dsgvo-gesetz.de/art-56-dsgvo/

Unabhängig von Zuständigkeitsfragen können sich betroffene Personen mit Beschwerden an jede Datenschutzaufsichtsbehörde wenden!

Ergebnis:

Hier ist die Hauptniederlassung der Vereinssitz in NRW. Es kann aber nach Art. 56 Abs. 2 DSGVO jede Aufsichtsbehörde zuständig sein, wenn in ihrem Gebiet eine Datenschutzverletzung begangen  wurde.

Das Verfahren zum Ablauf regelt Art. 60 DSGVO.

Stand: 23.03.2022

BETROFFENENRECHTE:

Eine Bürgerin möchte jetzt, dass ihre Daten, die 2015 in einem Amtsblatt einer Gemeinde standen, weil sie Dozentin von Bildungsveranstaltungen der VHS der Gemeinde war, komplett aus dem Internet gelöscht werden. Diesem Wunsch ist die Gemeinde nachgekommen, soweit sie Zugriff hatten.

Allerdings wurde das PDF auch auf Websites wie docplayer.org und kipdf.com hochgeladen, was nicht die Gemeinde gemacht hat.

Die beiden Websites sind britisch bzw. amerikanisch und haben kein Impressum, keine Kontaktdaten bzw. es wird auf eine Mail an info@... nicht reagiert.

• 1. Wie weit geht die Verantwortung des Verantwortlichen, Daten, die ohne seine Zustimmung im Internet weiterverbreitet wurden, zu löschen bzw. löschen zu lassen?
• 2. Muss man etwas tun und was kann man tun, wenn sich der Betreiber der betreffenden Websites außerhalb Europas befindet und nicht zu erreichen ist?
• 3. Wie ist der Sachverhalt, wenn die Dozentin das gewerblich gemacht und dafür Geld erhalten hat und/oder es einen Vertrag darüber gibt?

Wie weit geht die Verantwortung des Verantwortlichen, Daten, die ohne seine Zustimmung

im Internet weiterverbreitet wurden, zu löschen bzw. löschen zu lassen?

Hier muss unterschieden werden:

• 1. Wurden die Daten bereits ohne rechtliche Grundlage verbreitet, gibt es eine Verpflichtung der verantwortlichen Stelle, einer Löschung auch auf anderen Websites nachzugehen.
• 2. Wurden die Daten rechtmäßigerweise öffentlich zugänglich gemacht, dann ist es nicht Aufgabe des Verantwortlichen, Löschung dieser Daten auf anderen Websites nachzugehen.

Muss man etwas tun und was kann man tun, wenn sich der Betreiber der betreffenden Websites außerhalb Europas befindet und nicht zu erreichen ist?

Evtl. Recht auf Vergessenwerden, Art. 17 DSGVO à Antrag bei Google, die Listung der Inhalte zu löschen.

Google entscheidet nach dem Löschungsantrag über die Entfernung. Gute Aussichten auf Löschung haben Grundrechtsverletzungen. Hier ist das informationelle Selbstbestimmungsrecht der betroffenen Dozentin betroffen à Inhalt im Netz ist zu löschen.

Wird Löschungsantrag abgelehnt: betroffene Person kann sich an die zuständige Aufsichtsbehörde der Suchmaschine wenden.

Wie ist die Rechtslage, wenn die Dozentin das gewerblich gemacht und dafür Geld erhalten hat und/oder es einen Vertrag darüber gibt?

Bei einem Vertrag über die Leistungen der Dozentin, sollte auch die Veröffentlichung eines Fotos, Ihres Namens etc. geregelt werden. Je klarer die diesbezügliche Regelung, desto besser.

Falls das nicht der Fall ist, muss der Vertrag ausgelegt werden.

Stand: 23.03.2022

Ein Geschäftsführer wird zur Zahlung von EUR 5.000 Schadensersatz für eine Datenschutzverletzung verurteilt.

OLG Dresden, Urteil vom 30.11.2021, Az. 4 U 1158/21

Sachverhalt:

Ein Verein holte nach einem Mitgliedsantrag umfangreiche Informationen über die Person ein, u.a. über Vorstrafen. Daraufhin wurde der Mitgliedsantrag abgelehnt. Die betroffene Person klagte u.a. auf Schadenersatz gegen die GmbH und gegen des Geschäftsführer.

Zum Urteil:

1. Der Geschäftsführer einer GmbH ist neben der Gesellschaft „Verantwortlicher“ im Sinne der DSGVO.

2. Eine Erhebung von Daten muss zunächst bei der betroffenen Person stattfinden – und erst danach bei Dritten, sofern dies für den Verantwortlichen nicht ausnahmsweise unzumutbar ist.

3. Die Datenerhebung von Vorstrafen des Betroffenen ist nur unter den Voraussetzungen des Art. 10 DSGVO zulässig.

4. EUR 5.000,- als immaterieller Schaden ist angemessen (… Dies bedeutet aber nicht, dass die Geldentschädigung zwingend „Strafcharakter“ haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben.“)

Stand: 16.03.2022

Es gibt Vorlagen verschiedener Bundesländer für die Schulen, um auch dort den Datenschutz DSGVO-konform umzusetzen.

Vorlagen für typische Verarbeitungstätigkeiten in Schulen

Die Auskunft ist gemäß 15 DSGVO zu erteilen. Demnach ist zu prüfen, ob der Antragsteller eine Berechtigung hat, die Auskunft zu verlangen (eine Mutter hat das in aller Regel für sich und ihr Kind). Danach ist binnen Monatsfrist zu antworten.

Hier Templates des BayLDA für die Auskunftserteilung

Hier ein ausführliches Merkblatt des Bayerischen Landesbeauftragten für den Datenschutz zum Thema Auskunft

Stand: 16.03.2022

Mailchimp ist ein in den USA sitzender Anbieter eines Newsletter-Tools.

Aufgrund des Wegfalls des Privacy-Shields sind jetzt Standarddatenschutzklauseln zu verwenden und: --> datenschutzrechtliche Einwilligung ist einzuholen

Voraussetzungen für den datenschutzkonformen Einsatz:

• 1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
• 2. Standarddatenschutzklauseln vereinbaren
• 3. Einwilligung bei Newsletter-Registrierung einholen
• 4. Double-Opt-In (eigentlich eine werberechtliche Voraussetzung)

Stand: 16.03.2022

Grundproblem:

• Microsoft hat seinen Sitz in den USA.
• Datenschutzbestimmungen USA ≠ DSGVO, deshalb braucht man mit Anbietern außerhalb der EU eine gesonderte Rechtsgrundlage. Bis 2020 war das das Privacy Shield, das aber weggefallen ist.
• Microsoft setzt seitdem auf Standarddatenschutzklauseln
• Die DSK hat 2020 in einer Stellungnahme erklärt, dass Office 365 rechtswidrig ist, weil es nicht datenschutzkonform genutzt werden kann.
• Es gibt viele Datenschützer, die das differenziert sehen.

Stellungnahmen verschiedener Länder:

• BayLDA: die DSK hat zu allgemein gearbeitet. Office 365 arbeitet mit vielen verschiedenen Apps, es kommt darauf, was man davon für welche Daten einsetzt. Derzeit verhandelt Microsoft mit den europ. Datenschützern über einen rechtskonformen Einsatz von Office 365.
• Pressemitteilung vom 02.10.2020
• Pressemitteilung LFD Niedersachsen

Fazit:

Es ist noch nichts entschieden, v.a. kann der Einsatz von Office 365 nicht als per se rechtswidrig angesehen werden. Empfehlung: nachfolgende Fragen klären und dokumentieren

Office 365 – Folgende Frage klären und dokumentieren:

• Prüfen Sie, ob es evtl. europäische Alternativen für MS 365 gibt
• Zerlegen Sie MS 365 in die relevanten Apps und nehmen Sie nur das, was Sie wirklich brauchen
• Buchen Sie Azure Europe/Deutschland •Sperren Sie „gefährliche Apps“, wie z.B. Delve, Graph, Yammer
• Überprüfen Sie kontinuierlich nach relevanten Änderungen •Deaktivieren Sie Administrator Auswertungsmöglichkeiten der Benutzeraktivitäten
• Stellen Sie die Übermittlung von Telemetriedaten ab (GPO)
• Implementieren Sie Sicherheitsmaßnahmen (v.a. Verschlüsselung)
• Erlassen Sie verbindliche schriftliche Regelungen (DA, BV, Richtlinie …)
• Schulen Sie die Mitarbeiter
• Sorgen Sie für datenschutzkonforme Verträge (AVV, SCC)
• Tragen Sie MS 365 in das VVT ein (Block oder modular)?
• Dokumentieren Sie Ihre Entscheidungen und Maßnahmen

Stand: 16.03.2022

Die lokale Einbindung von Google-Fonts muss gar nicht in die Datenschutzerklärung aufgenommen werden.

Begründung:
Es werden keine personenbezogenen Daten verarbeitet.

Stand: 09.03.2022

Die Beschwerden und die gemeldeten Datenschutzverletzungen nehmen zu!

Im Jahr 2011 gab es beim Bayerischen Landesamt für Datenschutzaufsicht 687 Beschwerden, im Jahr 2018 bereits 3643 Beschwerden und im Jahr 2020 sogar 6185 Beschwerden. Bei den gemeldeten Datenschutzverletzungen haben sich die Zahlen in den letzten 10 Jahren ähnlich entwickelt. 2011 lag der Wert bei 10, 2018 bei 2471 und 2020 wurden 3752 Datenschutzverletzungen gemeldet. Es ist also sowohl bei den Beschwerden als auch bei den Datenschutzverletzungen ein signifkanter Anstieg zu verzeichnen.

Stand: 09.03.2022

Was macht Cloudflare?

Cloudflare ist ein US-amerikanisches Unternehmen, das ein Content Delivery Network, Internetsicherheitsdienste und verteilte DNS-Dienste (Domain Name System) bereitstellt, die sich zwischen dem Besucher und dem Hosting-Anbieter des Cloudflare-Benutzers befinden und als Reverse Proxy für Websites fungieren. Cloudflare legt zudem Kopien von Webseiten auf eigene Server. Diese Server befinden sich verteilt an unterschiedlichen Standorten auf der Welt. Bei Aufruf einer bestimmten Webseite von einem bestimmten Standort aus, wird immer der geeignete Server angesprochen, was den Zugriff auf die Seite beschleunigt. Zudem identifiziert Cloudflare Crawler oder Bots, die möglicherweise Ressourcen und Bandbreite belasten würden.

Problem: US-amerikanischer Dienst!
--> Eigentlich kann der Einsatz nur mit Einwilligung des Nutzers stattfinden
(was aber den Interessen des Berechtigten widersprechend dürfte).

Das schreibt der TÜV-Süd auf seiner Website zur Nutzung  Cloudflare:

"Schutz vor Störungen und Missbrauch sowie Verbesserung der Webseite
Personenbezogene Nutzungsdaten, wie Ihre IP-Adresse sowie die Zeiten Ihrer Aufrufe unseres Internettauftritts, werden über die Webseite zur Ermittlung sowie zur Verfolgung von Störungen oder Missbräuchen unserer Online-Angebote oder Telekommunikationsdienste und -anlagen und zur Performanceverbesserung unseres Internetauftrittes, verarbeitet. Diese Website nutzt Dienste von „Cloudflare“ (Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA). Cloudflare betreibt ein Content Delivery Network (CDN) und stellt Schutzfunktionen für die Website (Web Application Firewall) zur Verfügung. Der Datentransfer zwischen Ihrem Browser und unseren Servern fließt über die Infrastruktur von Cloudflare und wird dort analysiert, um Angriffe abzuwehren. Cloudflare setzt dazu Cookies ein, um Ihnen den Zugang zu unserer Webseite zu ermöglichen. Die Nutzung von Cloudflare erfolgt im Interesse einer sicheren Nutzung unserer Internetpräsenz und der Abwehr schädlicher Angriffe von außen. Weitere Informationen finden Sie in der Cloudflare-Datenschutzerklärung"

Unter dem Punkt: technisch-notwendige Cookies!

Stand: 09.03.2022

Urteil des LG Lüneburg vom 14.07.2020 – 9 O 145/19

Sachverhalt:

Der Kläger wurde von seiner Hausbank wegen der Überziehung eines Dispo-Kredits von EUR 20,- an die Schufa gemeldet. Er machte gerichtlich den Widerruf der Meldung und die Zahlung immateriellen Schadensersatzes geltend.

Entscheidung:

1. Anspruch auf Widerruf der von der Beklagten veranlassten Datenübermittlung an die Schufa ist gem. §§ BGB § 1004 Abs. BGB § 1004 Absatz 1, BGB § 823 BGB analog iVm Art. 6 Abs. 1 DSGVO gegeben. Kein überwiegendes Interesse der Bank erkennbar nach Art. 6 Abs.1 S. 1 lit. f) DSGVO. Insbesondere liegt kein Fall des § 32 Abs. 2 DSGVO vor.
2. Der Anspruch auf Schadensersatz von EUR 1000,- ergibt sich aus Art. 82 Abs. 1 DSGVO.

Folge:

Verbraucher kann seine Rechte aus BGB mit seinen Rechten aus der DSGVO kombinieren.

Wiederholt ist jetzt bereits ein Anspruch auf Schadensersatz durchgesetzt worden!

Stand: 09.03.2022

Die konkrete Fragestellung lautet:

Eine Firma beauftragt einen externen Dienstleister (z.B. IT-Unternehmen) mit der Wartung des Systems.

Darf von der Tätigkeit des Dienstleisters auf dem Firmenrechner ein Screencast erstellt werden?

Falls ja: welche Voraussetzungen gelten hier? Muss z.B. der Dienstleister über die Aufnahme informiert werden?

Regelfall:

Man kennt die Person, die die Tätigkeiten vornimmt
 --> Verarbeitung personenbezogener Daten!

-->Screencast kann erstellt werden, sofern eine Einwilligung vorliegt.

--> Falls keine Einwilligung vorliegt: Stichprobenkontrolle
(gestützt auf Art. 6 Abs. 1 S. 1 lit. f DSGVO) zulässig.

Stand: 09.03.2022

Vorschlag für die nächsten Schritte:

1. Kunden informieren über aktuelles Urteil https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/
2. Google Fonts lokal beim Kunden einbinden
3. Verantwortlich nach Außen ist die „Verantwortliche Stelle“ = Impressum der Website
4. Im Innenverhältnis kann evtl. Rückgriff genommen werden. Fragen in diesem Umfeld aber im Einzelnen ungeklärt.

 Dr. Korch in der NJW 2021, 978: folgende Fragen müssten an den EuGH gestellt werden:

1. Ab wann besteht eine Erheblichkeits- oder Bagatellschwelle?
2. Welche Anforderungen sind an die konkrete Darlegung eines Schadenspostens zu stellen, insbesondere, ob auch der Kontrollverlust oder das Gefühl der Ohnmacht genügt.
3. Zur Beweislast hinsichtlich der haftungsausfüllenden Kausalität, insbesondere, wenn entgegen dem Wortlaut Beweiserleichterungen bis hin zur Beweislastumkehr angenommen werden.
4. Ob ein materieller Schaden auch mit der vorgeschlagenen Methode der „dreifachen Schadensberechnung“ bestimmt werden kann.
5. Ob dem Betroffenen ein Mitverschuldenseinwand, wie ihn § BGB § 254 BGB im nationalen Recht vorsieht, entgegengehalten werden kann.

Stand: 23.02.2022

1. Aus Art. 82 Abs. 1 DSGVO; Auszug aus dem Urteil:

„Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (…). Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden.“

2. Theoretische Höhe des Schadensersatzes:

Bußgeld:
gestaffelt von 2%/10 Mio. EUR bis 4%/20 Mio. EUR, bezogen auf den weltweit erzielten Jahresumsatz des Unternehmens, je nachdem welcher der Beträge höher ist, https://dsgvo-gesetz.de/art-83-dsgvo/

Strafrecht:
jeweiliges nationales Recht

Stand: 23.02.2022

Google Optimize ist ein A/B-Testing-Tool

Grundsätzlich: Auch ohne Cookies ist Google Analytics einwilligungspflichtig, insbesondere wegen der Verarbeitung der Analysedaten immer in den USA.

Im Speziellen: Sofern man Google Optimize zur anonymen Auswertung nutzen kann, dann ist das DSGVO-konform. Wenn Voraussetzung aber die Nutzung von Google-Analytics ist (=Standardfall!), dann nur mit Einwilligung der Nutzer.

Stand: 23.02.2022

Zoom ist datenschutzkonform einsetzbar.

Dienst wurde erheblich nachgebessert, v.a. nach Kritik des LfDI Baden-Württemberg zur fehlenden Verschlüsselung, der unklaren Beteiligung von Unternehmen aus Drittländern und der üblichen Kritik, dass die Server in den USA stehen.

Jetzt: LfDI Baden-Württemberg hat seine Warnung zurückgezogen.

Empfehlungen:

• Kostenpflichtige und neuste Version verwenden
• Serverstandort in der EU festlegen
• bei Kommunikation mit Externen: Informationen über die Nutzung

            von Zoom in die Datenschutzerklärung aufnehmen

• Bei Aufzeichnung eines Meetings: Einwilligung einholen
• Warteräume, Stummschaltung, etc. nutzen
• Wenn möglich: Ende-zu-Ende-Verschlüsselung verwenden

Stand: 23.02.2022

Microsoft-Teams ist – unter Vorbehalt - datenschutzkonform einsetzbar.

Hauptkritikpunkt früher: Microsoft geht intransparent beim Anbieten von datenschutzrechtlich notwendigen Dokumenten (z.B. AV-Verträge) vor. Kritik kam vor allem von der Berliner und der Hessischen Aufsichtsbehörde, die Teams für nicht einsatzfähig erklärte.

Argument nicht valide, da

• Änderungen im AV-Vertrag nur für Zukunft gelten
• Verarbeitung nur für vorher festgelegte Zwecke erfolgt, nämlich: Abrechnungs- und Kontoverwaltung
• Interne Berichterstattung
• Bekämpfung von Betrug und Cyberkriminalität;
• Keine Verarbeitung zur Benutzerprofilierung, zur Werbung oder zu ähnlichen kommerziellen Zwecken!

Bei Übertragung in die USA gibt es Bedingungen, die eingehalten werden müssen:

• Die Nutzung von sogenannten EU-Standardverträgen
• Der Aufbau von internen Unternehmensrichtlinien zur Nutzung von Office 365 innerhalb eines Unternehmens
• Die Einwilligung der Betroffenen als Zustimmung zum transatlantischen Datentransfer

Stand: 23.02.2022

Ja, aber es heißt jetzt: Verpflichtung zur Vertraulichkeit, § 32 Abs. 4 DSGVO

https://www.lda.bayern.de/media/dsk_kpnr_19_verpflichtungBeschaeftigte.pdf

https://www.ihk-niederbayern.de/beratung-service/recht/internetrecht/muster-verpflichtung-auf-das-datengeheimnis-4569022

Stand: 23.02.2022

In Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) steht:

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

• den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
• die Zwecke der Verarbeitung;
• eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
• die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
• gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
• wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
• wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

Praxishilfen des BayLDA: https://www.lda.bayern.de/de/muster.html

Beispiel Onlineshop: https://www.lda.bayern.de/media/muster/muster_9_online-shop_verzeichnis.pdf

Stand: 23.02.2022

Antwort für ein kleines Unternehmen:

1. Schulung
2. Bestandsaufnahme

Für ein mittleres Unternehmen (mehr als 80 Mitarbeiter):

1. Schulung
2. Beratung durch einen externen DSB
3. Audit

Stand: 23.02.2022

• Notwendig sind:

Session-Cookies, die bestimmte Einstellungen des Nutzers speichern, z.B. Sprache, Warenkorb, etc.

Cookies für Logins und

Cookies für Warenkörbe, die keine Daten weitergeben

• Wahrscheinlich notwendig sind:

Cookies zur Wiedergabe von Medieninhalten (Flash-)

Cookies, die zur Vorbereitung und Durchführung eventueller Zahlungen oder der Prüfung einer Zahlungslegitimation dienen

• Nicht notwendig sind:

Alle anderen Cookies (v.a. Tracking- und Analysetools, Affiliate-Dienste, Remarketing-Diensten, Social-Media-Plugins, Video-Dienste, Online-Kartendienste, etc.)

Stand: 16.02.2022

Was ist überhaupt eine Datenschutzfolgeabschätzung (DSFA)?

In Art. 35 DSGVO geregelt.

Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung‎ vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte --> Risikoanalyse!

Stand: 16.02.2022

Sachverhalt:

Der Beklagte hatte Google Fonts per Link auf seiner Webseite eingebettet (und nicht lokal auf seinem Server gespeichert).

Der Kläger sah darin einen Anspruch gegen den Beklagten auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog.

Rechtliche Würdigung:

1. IP-Adresse ist ein personenbezogenes Datum
2. Einbindung von Google Fonts ist datenschutzwidrig und kann nicht durch das berechtigte Interesse nach Art. 6 Abs.1 f) DSGVO abgedeckt werden.
3. Unterlassungsanspruch, Auskunftsanspruch und Schadensersatz über EUR 100,- wurde vom Gericht bejaht.

Hier finden Sie das Urteil zum Thema "Google Fonts" 

Die Konsequenzen aus diesem Urteil sind ganz klar:

• Es ist nicht von einem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO auszugehen.
• Google Fonts solle dringend lokal eingebunden werden (und nicht per Link). Hier finden Sie eine Erklärung, wie die Einbindung von Google Fonts auf Ihrer Website funktioniert. 

Stand: 16.02.2022

Die Beschwerden nehmen zu. Auch „unbedeutende“ Verstöße gegen die DSGVO werden verfolgt.

Das BayLDA hat hierfür eine Statistik veröffentlicht. In 2020 gab es 6185 Beschwerden und Kontrollanregungen. Dabei wurden 230 Bußgelder verhängt. Das sind nicht mal 5% aller Vorgänge.

Stand: 16.02.2022

Nein. Videokamera-Attrappen brauchen keinen datenschutzrechtlichen Hinweis, da keine personenbezogenen Daten verarbeitet werden.

Insbesondere fehlt die Aufzeichnungsfunktion.

Stand: 16.02.2022

Zur Überprüfung von Webseiten empfiehlt es sich, so viele Browser wie möglich zu nutzen/installieren:

Auf Windows können folgende Browser zur Untersuchung genutzt werden:

- Microsoft Edge
- Firefox 
- Chrome 
- Brave 
- Opera 

Auf iOS kann der Browser Safari zur Untersuchung genutzt werden.

Beim Firefox empfiehlt sich die Installation von Plug-Ins, insbesondere:
- NoScript
- Ghostery: Die Software Ghostery weist beim Surfen auf versteckte Anwendungen hin und blockiert sie auf Wunsch. 
- Privacy Badger
- Cookies and Headers Analyser
Das Plug-in uMatrix wird leider vom Entwickler nicht mehr gepflegt.
Es gibt noch eine Reihe von Werbeblockern. Damit wird das Browsen aber schnell ungemütlich, weil viele Webseiten die Blocker erkennen und dann nicht funktionieren.

Mit dem Tool von Decareto kann man sich umfassende technische Prüfberichte von Website erstellen lassen. 

Darüber hinaus gibt es eine Fingerprinting-Statistik-Studie der Friedrich-Alexander-Universität Erlangen (Fachbereich Informatik der FAU):
Bei der Teilnahme erhält man Detailinformationen und Aussagen zu:
  - Ist der Fingerprint einzigartig bezüglich des einzelnen Teilnehmers ?
  - Ist der Browser eindeutig über die Zeit verfolgbar ?

Wir danken Hr. Schmid (Dipl.-Ing. (Univ.) Lutz J. Schmid, Schmid Datensicherheit GmbH, Tel.: 0961-4712941. Mobil: 0160-98492962, E-Mail: info@schmid-datensicherheit.de, URL: www.schmid-datensicherheit.de für seinen Beitrag und seine Hinweise.

Stand: 09.02.2022

Der Dienst „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Dabei werden die tatsächlich eingesetzten Cookies kontrolliert und solche Cookies blockiert, für die eine Zustimmung nicht erteilt wurde.

Dabei werden (nach Ansicht des Antragstellers) auch personenbezogene Daten des Nutzers an den Server von „Cookiebot“ übermittelt. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse, sei der Endnutzer eindeutig identifizierbar.

Im Eilverfahren vor dem VG Wiesbaden wollte nun der Antragsteller erreichen, dass es der Hochschule RheinMain untersagt wird, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden.

Das Gericht hat dem Antrag stattgegeben (Az.: 6 L 738/21.WI) 
--> Panik bei öffentlichen Einrichtungen und  Unternehmen

Aber! Die Entscheidung wurde vom Berufungsgericht (Hessischen Verwaltungsgerichtshof) aufgehoben. Es fehle die Eilbedürftigkeit, die man für einen solchen Antrag im Eilverfahren brauche. 

Wir warten also noch auf das Hauptsachverfahren!

Stand: 09.02.2022

Ein rechtskonformer Cookie-Banner sieht so aus:

1. Nutzer muss alle (nicht notwendigen) Cookies ablehnen können? (Nicht ausreichend: „Alle akzeptieren“, „Einstellungen“)
2. Alle Buttons müssen die gleiche Farbe und Größe haben
3. Alle Cookies müssen der richtigen Kategorie zugeordnet sein
4. Cookies müssen erläutert sein und ausreichende Informationen aufweisen
5. Einstellungen im Cookie-Banner müssen nachträglich geändert werden können
6. Problemfall: Cookies von US-amerikanischen Anbietern

Stand: 09.02.2022

Nein, man braucht nicht immer einen Cookie-Banner.

Wer keine oder nur technisch notwendige Cookies setzt, braucht keine Einwilligung über einen Banner.

Wenn Cookies gesetzt werden, die technisch nicht notwendig sind, ist eine Einwilligung gemäß § 25 TTDSG erforderlich.

Aber:

Aufklärung in der Datenschutzerklärung über die technisch notwendigen Cookies ist aber trotzdem notwendig, vgl. Art. 13 DSGVO.

Stand: 09.02.2022

Seit 01.12.2022 gilt § 25 TTDSG

Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Telemediendienste müssen Datenschutzanforderungen erfüllen, nämlich

1.SSL-Verschlüsselung der Website

2.Datenschutzerklärung auf der Website richtig und vollständig

3.Cookie-Banner richtig gestalten; hier v.a. Einwilligungsmanagement genau prüfen, insbesondere:

• Cookies dürfen sich nicht vor Auswahl installieren
• Banner müssen einen „Ablehnen-Button“ haben,
• die Auswahlbuttons müssen farblich korrekt gestaltet sein,
• die einzelnen Cookies müssen richtig eingruppiert sein,
• es muss eine Möglichkeit zum Widerruf geben,
• Keine Voreinstellungen, außer die in § 25 TTDSG erlaubten technisch notwendigen.

Stand: 09.02.2022

Eine Auflistung von Datenschutzverstößen findet man auf dem DSGVO-Portal

Stand: 02.02.2022

Der Einsatz von Paypal als Bezahlmethode ist DSGVO-konform.

PayPal ist in den meisten Fällen verantwortliche Stelle (und kein Auftragsverarbeiter). Sitz ist in Luxemburg, damit gelten die DSGVO-Regelungen unmittelbar – ohne Art. 44 DSGVO bemühen zu müssen.

Als europäische Bank mit Sitz in Luxemburg muss PayPal den Anforderungen des Datenschutzes und der Finanzaufsichtsbehörden nachkommen.

Tipp:
PayPal als Bezahlmethode in die eigene Datenschutzerklärung mitaufnehmen.

Stand: 02.02.2022

Ja, man braucht eine Datenschutzerklärung auf Amazon.

Die gesetzlichen Vorgaben aus DSGVO, BDSG und TTDSG sind immer einzuhalten, sobald der Anwendungsbereich eröffnet ist.

Vorliegend ist es vor allem bereits vor Vertragsschluss der Art. 13 DSGVO, der eingehalten werden muss (Informationspflichten).

AMAZON bietet einen eigenen Speicherort für die Datenschutzerklärung, nämlich den Reiter „Datenschutzrichtlinie“ unter „Ihre Informationen und Richtlinien“.

Stand: 02.02.2022

Zur Erläuterung der Frage:

"Wir spielen jede Woche in einem Verein zusammen Fussball in der Halle. Es gilt 2G+.
Damit nicht jeder vor dem Spiel seinen Nachweis vorzeigen muss, wurde eine Liste mit den Geimpften (samt Datum der Impfung und Namen) erstellt. Am Eingang wird dann überwiegend nur noch abgehakt.
Darf man die Liste an einzelne Spieler schicken, die jeweils abwechselnd die Eingangskontrolle durchführen?"

Um die Fragestellung bzgl. der listenmäßigen Erfassung (und Weitergabe) des Impf-/Genesenenstatus zu konkretisieren, muss vorab die Regelung 2G+ definiert werden. 

Was ist 2G plus?

2G plus bedeutet, dass nur Menschen Zutritt haben, die vollständig geimpft oder von einer COVID-19-Infektion genesen sind und die zusätzlich auch noch aktuell schnellgetestet sind. Das "plus" steht für den Antigen-Schnelltest, dem sich Geimpfte und Genesene unterziehen müssen. Bei 2G plus haben Ungeimpfte keinen Zutritt. Z.B. haben am 7. Januar Bundesregierung und Länderchefs beschlossen, dass in der Gastronomie künftig 2G plus gilt. Dies gilt nicht in Bayern - das beschloss das bayerische Kabinett am 11. Januar.

Impf-/Genesenennachweis und aktueller Schnelltest müssen kontrolliert werden, ansonsten droht Bußgeld.

Sobald die Spieler den Impf-/Genesenennachweis erbringen, kann dieser vom Vorstand oder einem Vertreter dokumentiert werden, sodass nur noch der aktuelle Schnelltest kontrolliert werden muss.

Voraussetzung:

Die Registrierung des Impfstatus zählt zur Verarbeitung von Gesundheitsdaten. Nach Art. 9 Abs. 2 lit. a DSGVO kann eine solche Speicherung zulässig sein, wenn der Betroffene ausdrücklich und freiwillig eingewilligt hat. Wichtig ist hierbei, dass eine echte Wahl besteht.

Ergebnis:

Wenn die Spieler der Verarbeitung zugestimmt haben, kann die Liste auch an Vertreter des Vereinsvorstands weitergegeben werden. Am besten sollten die Spieler auch dieser Weitergabe ausdrücklich und freiwillig zustimmen.

Stand: 02.02.2022

Ja, die DSGVO gilt auch für Selbstständige und kleine Unternehmen.

Die gesetzlichen Vorgaben aus DSGVO, BDSG und TTDSG sind immer einzuhalten, sobald der Anwendungsbereich eröffnet ist.

Der sachliche Anwendungsbereich der DSGVO ist bei automatisierter Verarbeitung von personenbezogenen Daten gemäß Art. 2 Abs. 2 immer eröffnet - und bei nichtautomatisierter Verarbeitung dann, wenn die Daten in einem Dateisystem gespeichert sind.

Nicht zu verwechseln ist dies mit der Notwendigkeit der Bestellung eines Datenschutzbeauftragten nach § 38 BDSG.

• 38 Abs. 1 BDSG

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 679/2016 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 679/2016 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Stand: 02.02.2022

Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit und amtierender Vorsitzender der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) sagt zur Einordnung des Gutachtens:

„Die Ergebnisse des in Auftrag gegebenen, unabhängigen Gutachtens steuern wichtige Aspekte zur Analyse der Rechtsverhältnisse in den USA bei. Die unabhängigen Datenschutzaufsichtsbehörden werden nun darüber beraten, wie die Ergebnisse in die Aufsichts- und Beratungspraxis einfließen.“

Stand: 02.02.2022

Hintergrund:

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte 2021 zusammen mit den anderen deutschen Datenschutz-Aufsichtsbehörden Hr. Prof. Stephen I. Vladeck, University of Texas, Austin, Experte im US-amerikanischen Geheimdienstrecht, mit der Begutachtung von Fragen beauftragt, die in der aufsichtlichen Praxis häufig wiederkehren.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörde des Bundes und der Länder (DSK) hat am 25.01.2022 die Ergebnisse dieses Gutachtens (v.a. zur Reichweite bestimmter Zugriffsrechte von US-amerikanischen Sicherheitsbehörden) veröffentlicht.

Hier finden Sie weiterführende Links.

Inhalt:

Der Begriff „electronic communication service provider“ die Anwendbarkeit von Section 702 des US-amerikanischen Foreign Intelligence Surveillance Act (FISA) ist weit zu verstehen. Er umfasst nicht nur

• klassische IT- und Telekommunikationsunternehmen, sondern auch:
• andere Unternehmen, wie z.B. Banken, Fluggesellschaften, Hotels und Versanddienstleister

Ausreichend: Bereitstellung z.B. eines E-Mail-Dienstes für Mitarbeiter

Rechtsfolgen (Auszüge):

1.Zugriffsmöglichkeit der US-Behörden auf sämtliche Daten des Unternehmens, nicht nur auf Daten des jeweiligen Dienstes (also z.B. nicht nur E-Mails).

2.Daten europäischer Unternehmen, die in den USA aktiv sind, unterfallen dem FISA 702 ebenso. Zumindest dann, wenn die Daten auf US-Servern liegen.

3.Europäische Bürgerinnen und Bürger haben kaum Möglichkeiten, Rechtsschutz in den USA zu erlangen.

Hier finden Sie das Rechtsgutachten

Stand: 02.02.2022

Es gibt noch keine aktuelle Entscheidung des BGH.

Die meisten OLGs treffen folgende Entscheidung: wenn eine wettbewerbsrechtliche Relevanz vorliegt, sind auch DSGVO-Normen abmahnfähig.

Aktuellstes Urteil: OLG Stuttgart - 27.02.2020, Az. 2 U 257/19

Sachverhalt:

Der Beklagte, ein gewerblicher eBay Händler, hielt für potenzielle Kunden keine Erklärung zum Datenschutz vor. Er verstößt damit gegen Art. 13 DSGVO.

Die Klägerin war der IDO-Verband (Interessenverband für das Rechts- und Finanzconsulting deutscher Online-Unternehmen).

Die durch die Klägerin ausgesprochene Abmahnung blieb erfolglos. Das LG Stuttgart hatte die Klage mit der Begründung abgewiesen, dass die DSGVO als abschließende Regelung dem UWG vorgehe mit der Folge, dass Datenschutzverstöße nicht als Wettbewerbsverstöße abgemahnt werden könnten (Urteil v. 20.05.2019, Az. 35 O 68/18).

Entscheidung:  

Die Regelungen des Art. 80 DSGVO sind nicht abschließend.

Verstöße gegen die DSGVO sich nach Wettbewerbsrecht abmahnfähig, wenn sie die Marktverhaltensregeln verletzten.

Die Informationspflichten nach Art. 13 DSGVO stellen laut OLG Stuttgart eine solche Markverhaltensregel da, denn diese Informationen hätten eine verbraucherschützende Funktion und sind damit wettbewerbsrechtlich relevant.

Wettbewerbsverbände sind somit nach § 8 Abs. 3 Nr. 2 UWG i. V. m. § 8 Abs. 1 und § 3 a UWG befugt, Verstöße gegen Bestimmungen der DSGVO wettbewerbsrechtlich geltend zu machen, bei denen es sich um Markverhaltensregelungen handelt.

Stand: 26.01.2022

Es gibt keine gesetzliche Verpflichtung, den DSB auf der Website anzugeben.

Gibt man ihn aber an, muss eine natürliche Person genannt werden.

BayLDA hierzu:

„Die Regelungen zur Benennung, zur Stellung und zu den Aufgaben des Datenschutzbeauftragten nach den Art. 37, 38 und 39 DS-GVO stellen auf eine natürliche Person des Datenschutzbeauftragten ab, so dass auch betroffene Personen (Beschäftigte, Kunden usw.) einen klaren Ansprechpartner für ihre oft sehr vertraulichen Datenschutz-Anliegen haben.“

Stand: 26.01.2022

Das BayLDA gibt folgende Hinweise zum Thema Zertifzierung nach DSGVO: 

Zertifizierung
Datenschutzzertifikate

Datenschutzzertifikate nach Art. 42 DS-GVO sind freiwillig und können entweder von der zuständigen Datenschutzaufsichtsbehörde oder einer dafür akkreditierten Zertifizierungsstelle erteilt werden. Das BayLDA wird mangels personeller Ressourcen als Aufsichtsbehörde selbst nicht zertifizieren, ist jedoch maßgeblich in den Akkreditierungsprozess involviert, so dass zukünftig erfolgreich akkreditierte Stellen diese Aufgabe übernehmen werden. Momentan gibt es noch keine akkreditierten Zertifizierungsstellen und somit auch noch keine Zertifikate.

Das Verzeichnis aller in Deutschland akkreditierter Stellen finden Sie hier

Stand: 26.01.2022

Es gibt schon lange Bedenken hinsichtlich Google-Analytics seitens der Datenschutzaufsichtsbehörden in Deutschland, v.a wegen des nahezu unbeschränkten Zugriffs von US-Behörden auf personenbezogene Daten.

Jetzt:

DSB sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO verletzt, da mit dem Statistikprogramm persönliche Nutzerinformationen an die Google-Konzernzentrale in den USA weitergegeben werden.

Google-Analytics vertößt gegen die Schrems II-Entscheidung des EuGH (= Privacy Shield gewährt kein angemessenes Datenschutzniveau).

Die vollständige Entscheidung finden Sie hier

Stand: 26.01.2022

Das TTDSG regelt:

• Datenschutz für Telekommunikations-Anbieter (§§ 3 bis 18),
• Datenschutz für Telelemediensteanbieter (§§ 19 bis 24)
• Cookies (§§ 25, 26) und
• Straf- und Bußgeldvorschriften (§§ 27, 28)

Zweck des TTDSG:

v.a. Anpassung der TK- und TM-Anbieter an die geänderten Anforderungen der DSGVO und verbindliche gesetzliche Cookie-Regelung.

Stand: 26.01.2022