25.05.2022 von 12 - 13 Uhr
Aus dem Grundsatz der Datenminimierung ergibt sich:
Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kund*innen unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen.
Grund:
Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich. Für Kund*innen, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist daher regelmäßig ein Gastzugang zu ermöglichen. Ein solcher Zugang verzichtet auf Registrierungs- bzw. Zugangsdaten (z.B. Benutzername/Passwort) für eine erneute Nutzung.
Aus dem Beschluss hierzu:
Nach Art. 6 Abs.1 Satz 1 Buchstabe b) DS-GVO ist nur die Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige
Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich.
Aber:
Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kund*innenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.
Wichtig:
der DSK-Beschluss ist nicht rechtsverbindlich, sondern nur eine Rechtsauffassung.
Wer ihn trotzdem einhalten möchte:
Verträge:
•Mit Customer-Service ausstatten --> rechtfertigt Kundenservice über ein Portal
•Mit als Dauerschuldverhältnis (Miete) gestalten --> dauerhafte Verbindung zum Kunden
Stand: 18.05.2022
Postwerbung ist die einzige Werbung, die nicht im Grundsatz als „unzumutbare Belästigung“ angesehen wird. Postwerbung ist im Grundsatz also nach wie vor zulässig.
Ausnahme:
Hinweis auf dem Briefkasten, dass man keine Werbung erhalten will.
Offensichtliche Postwurfwerbung darf dann nicht eingeworfen werden.
Briefwerbung ist ein datenschutzrechtlicher Vorgang, wenn Name und Anschrift einer natürlichen Person im Empfängerfeld verarbeitet wird
--> Regeln der DSGVO müssen eingehalten werden.
Stand: 18.05.2022
Urteil des ArbG Köln (18. Kammer) vom 23.03.2022 – 18 Ca 6830/21
Konkreter Sachverhalt:
Die Mitarbeiterin arbeitet im Gesundheitssektor. Am 04.10.2021 wurden alle Mitarbeiter - darunter auch die Klägerin - im Rahmen einer Institutskonferenz darüber informiert, dass ab dem 01.11.2021 nur noch vollständig geimpfte Mitarbeiter Kundentermine vor Ort wahrnehmen dürften. Die Beklagte bat darum, dass die Teamleiter im vertrauensvollen Austausch mit ihren Teammitgliedern erkunden, welche Mitarbeiter die Voraussetzungen erfüllen. Am 04. oder 05.10.2021 erklärte die Klägerin gegenüber ihrem Teamleiter ... sie sei „mittlerweile geimpft“ und zum Thema Einsatz beim Kunden in Präsenz wörtlich: „Alles safe“.
Die Klägerin setzte danach ihre Präsenzbesuche in den Kundenunternehmen - darunter auch Pflegeeinrichtungen für Senioren - fort. Nach dem 01.11.2021 absolvierte die Klägerin neun Außentermine, davon vier in Seniorenheimen. Nach Veröffentlichung einer Änderung des Infektionsschutzgesetzes, wonach ab dem 24.11.2021 der Zutritt zum Betrieb nur noch mit gültigem 3-G-Nachweis zulässig war, informierte die Beklagte mit Email vom 22.11.2021 (Anlage …) die Belegschaft über die entsprechende Handhabe im Betrieb. Ein etwaiger Impfnachweis könne durch Screenshot des digitalen Nachweises oder durch Vorlage des Impfausweises erfolgen. Es wurde darauf hingewiesen, dass eine Kopie für die Dokumentation gefertigt werden würde.
Die Klägerin legte am 03.12.2021 ihren Impfausweis bei der Personalabteilung der Beklagten zur Erstellung einer Kopie vor. Auf Nachfrage der Personalreferentin, ob sie auch einen QR-Impfcode habe, erklärte sie, dass sie ein digitales Impfzertifikat nur auf ihrem privaten Mobiltelefon gespeichert habe, welches sie aktuell nicht dabei habe. Da der Beklagten mangels QR-Code eine Gültigkeitsüberprüfung des Impfnachweises mittels der App CovPassCheck nicht möglich war, unterzog die Personalreferentin die Impfausweise von acht Mitarbeitern, die (nur) ihren Impfpass vorgelegt hatten, einer Chargenabfrage.
Aus den Urteilsgründen:
Die außerordentliche fristlose Kündigung der Beklagten vom 13.12.2021 ist durch einen wichtigen Grund im Sinne von § BGB § 626 Abs. BGB § 626 Absatz 1 BGB gerechtfertigt.
Demnach kann das Arbeitsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist (nur) dann gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Arbeitsverhältnisses selbst bis zum Ablauf der Kündigungsfrist nicht zugemutet werden kann. Dabei ist zunächst zu prüfen, ob der Sachverhalt ohne seine besonderen Umstände „an sich“ und damit typischerweise als wichtiger Grund geeignet ist. Alsdann bedarf es der weiteren Prüfung, ob dem Kündigenden die Fortsetzung des Arbeitsverhältnisses unter Berücksichtigung der konkreten Umstände des Falls und unter Abwägung der Interessen beider Vertragsteile - jedenfalls bis zum Ablauf der Kündigungsfrist - zumutbar ist oder nicht (vgl. nur BAG, Urteil vom 16. Juli 2015 - BAG Aktenzeichen 2AZR8515 2 AZR 85/15 -, Rn. BAG Aktenzeichen 2AZR8515 2015-07-16 Randnummer 21, juris).
Vorliegend sind diese Voraussetzungen für die Rechtfertigung der streitgegenständlichen Kündigung erfüllt.
Die Klägerin hat in schwerwiegender Weise ihre gegenüber ihrer Arbeitgeberin bestehenden vertraglichen Nebenpflichten (§ BGB § 241 Abs. BGB § 241 Absatz 2 BGB) verletzt und damit einen „an sich“ als Grund für eine außerordentliche Kündigung geeignete Pflichtverletzung begangen.
Verstöße gegen das Recht auf den durch Art. 8 Absatz 1 GRCh gebotenen Schutz der personenbezogenen Daten bzw. das aus Art. 2 Absatz 1 i. V. m. 1 Abs. 1 GG abzuleitende Recht auf informationelle Selbstbestimmung (vgl. BVerfG, Urteil vom 24. November 2010 - Aktenzeichen 1 BvF 2/05 -, BVerfGE 128, Seite 1 Randnummer 150 ff. mwN) können zu prozessualen Verwertungsverboten führen.
Das ist z.B. der Fall, wenn die dem Sachvortrag einer Partei zugrunde liegende Informations- oder Beweisbeschaffung das allgemeine Persönlichkeitsrecht der anderen Partei verletzt, ohne dass dies durch überwiegende Belange gerechtfertigt ist (= verfassungsrechtliches Verwertungsverbot“).
Vorliegend ist kein Verstoß gegeben, da die zu verwertenden Daten unter Einhaltung der einfachgesetzlichen Datenschutzvorschriften erlangt wurden, vgl. Art. 6 Absatz 1 Satz 1 lit. c DSGVO iVm. § 28b Absatz 3 Satz 3 IfSG in der vom 24.11. bis 11.12.2021 geltenden Fassung (aF).
Konkret aus dem Urteil zur Frage, ob die Erlangung der Informationen durch den Arbeitgeber rechtmäßig war:
„Unabhängig vom Vorliegen einer Einwilligung im Sinne von Artikel 6 Absatz 1 Satz 1 lit. a DSGVO war die Beklagte am 03.12.2021 berechtigt, den Impfstatus der Klägerin zu dokumentieren. Denn nach § 28B Absatz 3 Satz 1 IfSG aF war sie ab dem 24.11.2021 (das Datum der Mitarbeiterinformation hierzu (22.11.2021) ist insoweit ebenso irrelevant wie die von der Klägerin beklagte Uneindeutigkeit des entsprechenden Rund-Schreibens) gesetzlich verpflichtet, die Einhaltung der nach § 28B Absatz 1 Satz 1 IfSG aF geltenden 3-G-Zutrittsbeschränkung zum Betrieb zu überwachen und zu dokumentieren.
Nach § 28B Absatz 3 Satz 3 IfSG aF war ihr zu diesem Zweck die Verarbeitung der personenbezogene Daten der Mitarbeiter einschließlich der Daten zum Impfstatus erlaubt. Es ist nicht ersichtlich, dass die Klägerin den Impfausweis nicht zum Nachweis der Zutrittsvoraussetzungen nach § 28B Absatz 1 Satz 1 IfSG aF vorgelegt hätte. Jedenfalls konnte die Beklagte nicht davon ausgehen, dass sie trotz ihres positiven Impfstatus die Einhaltung der 3-G-Regel durch eine Testung (über-) erfüllen wollte. Dass die Nachweis-Vorlage auch der Kontrolle der Einhaltung der 2-G-Vorgabe für die von der Klägerin weiterhin durchgeführten Kunden-Präsenztermine dienen konnte, würde zusätzlich eine Rechtfertigung nach § 26 Absatz 1 Satz 1 BDSG bedeuten.
In Erfüllung der aus § 28B Absatz 3 Satz 1 IfSG aF folgenden Kontroll-Verpflichtung war die Beklagte nach Abs. 3 Satz 3 auch zur Verarbeitung durch Abgleich mit den öffentlich erhältlichen Daten der Chargenabfrage - welche selbst keine personenbezogenen Daten im Sinne von Artikel 4 Nummer 1 DSGVO bzw. des § 46 Nummer 1 BDSG enthielt - berechtigt. Nur so konnte die Beklagte mangels Vorlage des QR-Codes sicherstellen, dass tatsächlich der behauptete Impfstatus gegeben war.“
Stand: 18.05.2022
Auszug aus der Strafprozessordnung (StPO)
§ 94 Sicherstellung und Beschlagnahme von Gegenständen zu Beweiszwecken
(1) Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen.
(2) Befinden sich die Gegenstände in dem Gewahrsam einer Person und werden sie nicht freiwillig herausgegeben, so bedarf es der Beschlagnahme.
(3) …
(4) Die Herausgabe beweglicher Sachen richtet sich nach den §§ 111n und 111o.
Fall 1:
Strafverfolgungsbehörde (Polizei oder Staatsanwaltschaft) nimmt die Einsicht vor in Daten, die zu anderen Zwecken vorher erhoben wurdenà zulässig nach § 24 BDSG
§ 24 BDSG Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder
sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.
Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.
Fall 2:
Falls andere Stellen diese personenbezogenen Daten „nutzen“ à dann Vorgehen gemäß den Vorgaben der DSGVO nach „Datenverlust“
Sollte es eine Strafverfolgungshörde sein, die die Daten beschlagnahmt hat, dann wird sie nochmal wiederkommen und den Server zu beschlagnahmen.
Alternativ wird ein Auskunftsverfahren nach §§ 22, 23 TTDSG durchgeführt.
Laptop ist verschlüsselt (ob Kennwörter rausgegeben wurden, ist nicht bekannt)
Die Polizei wird vielleicht versuchen, den Administrator dazu zu bewegen, im Rahmen einer Zeugenaussage die Kennwörter herauszugeben. Alternativ wird auch hier ein Auskunftsverfahren nach §§ 22, 23 TTDSG durchgeführt.
Auch hier ist zu erwarten, dass die Staatsanwaltschaft/Polizei nochmal eventuell wegen des Servers wiederkommt.
Empfehlung:
Stand: 18.05.2022
Art. 21 DSGVO Widerspruchsrecht
(1)…
(2)Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
(3)Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Bei Widerspruch gegen Werbung wird eine diesbezügliche Verarbeitung der Daten unzulässig. Dazu gehören dann alle Arten von Werbung, insbesondere:
Antwort auf die oben gestellte Frage:
Bei einem Werbewiderspruch muss der Betroffene auch aus dem Newsletterverteiler genommen werden.
Stand: 11.05.2022
Gesetzliche Vorgaben für Werbung per E-Mail:
Werbe E-Mails sind grundsätzlich eine „unzumutbare Belästigung“ nach § 7 Abs. 2 Ziff. 3 UWG (à also SPAM!) – und damit unzulässig.
Ausnahme 1: Double-Opt-In
Ausnahme 2: § 7 Abs. 3 UWG
Werbe-E-Mails sind damit ausnahmsweise keine unzumutbare Belästigung, wenn
•E-Mail-Adresse im Zusammenhang mit Verkauf einer Ware/Dienstleistung erhalten und
•Direktwerbung für eigene ähnliche Waren/Dienstleistungen und
•Kein Widerspruch des Kunden gegen Verwendung und
•Hinweis bei Erhebung und jeder Verwendung auf jederzeitige Widerspruchsmöglichkeit
Beim Hinweis „bei Erhebung und jeder Verwendung auf jederzeitige Widerspruchsmöglichkeit“ sind zudem die Vorgaben der DSGVO zu berücksichtigen, v.a. Art. 13 DSGVO.
Wichtig:
DSGVO verdrängt über das „berechtigte Interesse“ nach Art. 6 Abs. 1 S. 1 lit. f DSGVO nicht die Regelungen aus dem UWG --> Alle Vorgaben des § 7 Abs. 3 UWG müssen trotzdem eingehalten werden.
Ergebnis:
E-Mail-Werbung ist zulässig, wenn entweder ein Double-Opt-In oder die Ausnahme nach § 7 Abs. 3 UWG vorliegt und gleichzeitig alle datenschutzrechtlichen Vorgaben, insbesondere des Art. 13 DSGVO, eingehalten werden.
Stand: 11.05.2022
Sachverhalt:
Die Kläger wenden sich gegen die Beendigung eines Beschwerdeverfahrens durch die Berliner Beauftrage für Datenschutz und Informationsfreiheit.
Mit Schreiben vom Nov. 2019 forderte die Kirchensteuerstelle beim Finanzamt die Kläger auf, Angaben zur Religionszugehörigkeit ihrer beiden minderjährigen Kinder zu machen und übersandte hierzu jeweils einen Fragebogen. Die inhaltlich identisch aufgebauten Fragebögen enthielten Fragen zur Religionszugehörigkeit der Kinder.
Mit Schreiben vom 22. Dezember 2019 forderten die Kläger die Kirchensteuerstelle beim Finanzamt auf, die die Kinder betreffende Datenabfrage zukünftig zu unterlassen. Die Kirchensteuerstelle forderte die Kläger mit Schreiben vom 2. Januar 2020 ihrerseits zur Ausfüllung der Formulare auf.
Daraufhin erhoben die Kläger am 3. August 2020 Beschwerde bei der B. Beauftragten für Datenschutz und Informationsfreiheit. Zur Begründung trugen die Kläger vor, der Inhalt des Fragebogens sei datenschutzrechtlich unzulässig. Es handele sich um eine „anlasslose Rasterfahndung“ nach potentiellen Kirchenmitgliedern.
Mit Bescheid vom 16. September 2020 teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit mit, dass sie für die Überprüfung der Handlungen der Kirchensteuerstelle nicht zuständig sei. Sie begründete die Unzuständigkeit damit, dass die Verwaltung der Kirchensteuer der steuerberechtigten Religionsgemeinschaft obliege. Die Kirchen seien dabei durch sog. Kirchensteuerstellen bei den Finanzämtern beteiligt. Die Kirchensteuerstellen kümmerten sich um die Feststellung der subjektiven Kirchensteuerpflicht. Aufgrund von Art. EWG_DSGVO Artikel 91 Abs. EWG_DSGVO Artikel 91 Absatz 2 Datenschutz-Grundverordnung - DS-GVO - verfügten die Kirchen über spezifische Aufsichtsbehörden, an die die Beschwerde zu richten sei.
Mit Bescheid vom 5. Oktober 2020 wies die Berliner Beauftragte für Datenschutz und Informationsfreiheit die Beschwerde auch im Übrigen zurück. Zur Begründung führte sie aus, sie habe das Finanzamt ... um Stellungnahme gebeten. Das Finanzamt habe mitgeteilt, dass der von den Klägern dargestellte Sachverhalt unzutreffend sei und es keine Daten an die Kirchensteuerstelle weitergeleitet habe. Es könne mithin kein Verstoß gegen datenschutzrechtliche Bestimmungen festgestellt werden.
Mit ihrer Klage vom 12. November 2020 verfolgen die Kläger ihr Begehren weiter.
Aus den Entscheidungsgründen:
Der Bescheid der B. Beauftragten für Datenschutz und Informationsfreiheit vom 16. September 2020, nach dem die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegenüber der Kirchensteuerstelle keine aufsichtsrechtlichen Befugnisse habe, ist nicht zu beanstanden. Die Annahme der eigenen Unzuständigkeit erfolgte ermessensfehlerfrei. Der kirchliche Datenschutz unterliegt insoweit der kirchlichen und nicht einer besonderen staatlichen Aufsicht (1), vor allem ist das kirchliche Datenschutzrecht als umfassende Datenschutzregel im Sinne der DS-GVO zu verstehen (2). Die Kirchensteuerstelle unterliegt der Aufsicht der kirchlichen Aufsichtsbehörden (3) und die Aufsicht betrifft nicht nur Mitglieder der jeweiligen Religionsgemeinschaft (4).
Stand: 11.05.2022
Ursprünglich: Cookie-Wall, bei der der Nutzer die Inhalte einer Seite nur betrachten kann, wenn er der Setzung von Cookies zustimmt, ist unzulässig (BGH-Rechtsprechung zum Opt-Out).
Zulässig ist seit 2020 eine Cookie-Wall, wenn der Nutzer eine Alternative zur Einwilligung von Cookies hat (siehe BBH-Beitrag vom 03.06.2020), auch, wenn diese nur kostenpflichtig ist.
Dies resultiert vor allem aus der Einschätzung des edpd (European Data Protection Board, Leitlinie 05/2020 zur Einwilligung nach DSGVO, dort vor allem Rn. 38-41 und 86).
Damit eine Einwilligung freiwillig erteilt werden kann, darf der Zugang zu Diensten und Funktionen nicht von der Einwilligung eines Nutzers in die Speicherung von Informationen in seinem Gerät oder der Zugang zu bereits darin gespeicherten Informationen abhängig gemacht werden (sogenannte Cookie-Mauern bzw. Cookie-Walls).
Das heißt: ein kostenloses Angebot nur mit Setzung von Cookies ohne eine Alternative, ist wegen Verstoßes gegen das Merkmal der Freiwilligkeit der Einwilligung unzulässig.
Bei Kostenpflichtigkeit gilt: Da es keine gesetzliche Verpflichtung gibt, ein bestimmtes Telemediendiensteangebot kostenfrei anzubieten, ist die kostenpflichtige Alternative ohne Cookies zulässig.
Kostenlose „Cookie-Variante“: hier müssen alle gesetzlichen Vorgaben eingehalten werden. Also: Einwilligung bei nahezu allen Cookies und Tracking-Tools, außer, sie fallen unter die Ausnahme in Art. 25 TTDSG.
Antwort: Grundsätzlich ja, wenn alle Vorgaben eingehalten werden.
Stand: 11.05.2022
Was ist „FontAwesome“?
FontAwesome bietet eine Web Icon Library. Um die Icons anzeigen und laden zu können, werden bei FontAwesome (wie bei der der Verlinkung von GoogleFonts) die IP-Adresse beim Aufruf übertragen. Somit werden personenbezogene Daten im Sinne der DSGVO erfasst.
Für die Verarbeitung personenbezogener Daten, die FontAwesome vornimmt, benötigt man eine Rechtsgrundlage nach Art. 6 DSGVO.
--> Einwilligung!
Antwort:
Ja, wenn Google Fonts dynamisch per Link eingebunden wird, kann man FontAwesome damit vergleichen.
Zum Thema Google-Fonts finden Sie auch in unserem FAQ Bereich auf der Website.
Stand: 04.05.2022
Ausnahmen für bestimmte Fälle, Art. 49 DSGVO
Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig: 1.die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.
Folgen aus dem Art. 49 Abs. 1 lit.a DSGVO:
Hinweis auf die Verarbeitung Ihrer erhobenen Daten in den USA durch Google, Airtable, Survey Sparrow: Indem Sie auf „Akzeptieren“ klicken, willigen Sie zugleich gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO ein, dass Ihre Daten in den USA verarbeitet werden. Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden, zu Kontroll- und zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können.
Antwort: Ja, sofern ein solcher Hinweis nicht nur ein Hinweis ist, sondern der Nutzer ausdrücklich für jeden Einzelfall eingewilligt hat. Bei der vorgeschlagenen Formulierung fehlt m.E. ein Hinweis auf das Nichtvorliegen von Betroffenenrechten und dass keine angesessenen Garantien für die USA vorliegen.
Antwort:
Nein!
Es braucht nach dem klaren Gesetzeswortlaut eine informierte Einwilligung.
Stand: 04.05.2022
Beschreibung nach Wikipedia:
Ghostery ist eine Software, die den Anwender beim Surfen auf versteckte Dienste hinweist, die im Hintergrund private Daten an Seitenbetreiber übermitteln, und diese auf Wunsch blockiert. Das Programm ist als Software-Erweiterung für verschiedene Webbrowser Firefox, Safari, Chrome, Edge, Opera und Internet Explorer einsetzbar, sowie als eigenständige Webbrowser-App für Android und Apple iOS.
Anmerkungen:
•Sehr komfortabel anwendbar
•Aber: Es wird nicht auf alle versteckten Dienste hingewiesen
•Eine Weitergabe von Daten erfolgt laut Unternehmen nur, wenn ausdrücklich vom User eingewilligt wird.
Aus datenschutzrechtlicher Sicht nicht perfekt, aber der Einsatz an sich ist aus unserer Sicht unbedenklich.
Stand: 04.05.2022
1. Kritische Infrastrukturbetreiber
2. Digitale Dienste, wie
•Online-Suchmaschinen,
•Cloud-Computing-Dienste und
•Online-Marktplätze
Definition:
Online-Shops, über die Einzelhändler ihre eigenen Waren vertreiben, sind keine Marktplätze im Sinne des § 2 BSIG.
Ein Online-Marktplatz ist eine Plattform, die als Dienstleistung eines Dritten einer Vielzahl von Verkäufern angeboten wird, um gebündelt ihre Waren an Käufer zu vermitteln. Normzweck ist der Schutz der quasi-infrastrukturellen Bedeutung des Marktplatzes. Fällt er aus, drohen wirtschaftliche Folgen für eine Mehrzahl von Verkäufern und Käufern, nicht nur für einen Einzelanbieter.
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)
§ 8c Besondere Anforderungen an Anbieter digitaler Dienste (1)Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten. (2)Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:
1. der Sicherheit der Systeme und Anlagen,
2. der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3. dem Betriebskontinuitätsmanagement,
4. der Überwachung, Überprüfung und Erprobung,
5. der Einhaltung internationaler Normen.
(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden.
Stand: 04.05.2022
BayVGH, Beschluss vom 07.03.2022, Az.: 4 CS 21.2254
Sachverhalt:
Ein Ehepaar wurde im Mai 2021 unter Anordnung des Sofortvollzugs dazu verpflichtet, einem
Beauftragten des kommunalen Wasserversorgungsunternehmens Zugang zu ihrer Wohnung zu
gewähren , um ihm die Überprüfung und erforderlichenfalls den Austausch des bisherigen
analogen Wasserzählers gegen einen digitalen Zähler mit Funkfunktion zu ermöglichen.
Das Paar wandte sich hiergegen mit einem Eilantrag und machten geltend, dass dem Betrieb von
Funkwasserzählern datenschutzrechtliche und gesundheitliche Bedenken entgegenstünden.
Nach Ablehnung des Eilantrags durch das Verwaltungsgericht erhoben die Antragsteller
Beschwerde zum BayVGH.
Der Beschluss des BayVGH
Aus der Begründung
Der vom Gesetzgeber nur unter engen Voraussetzungen zugelassene Einsatz von elektronischen Wasserzählern mit Funkfunktion verstößt nicht gegen höherrangiges Recht. Im fortlaufenden Betrieb solcher Messgeräte liegt weder ein unzulässiger Eingriff in das Recht auf informationelle Selbstbestimmung, noch ergeben sich auch nach derzeitigem Erkenntnisstand Gesundheitsgefahren für die Bewohner.
Der Betrieb eines Funkwasserzählers ist keine Verletzung des Grundrechts auf informationelle Selbstbestimmung. Auch wenn der Betrieb Rückschlüsse auf den Wasserverbrauch einzelner Personen ermöglichen sollte, ist die Verarbeitung der personenbezogenen Daten gerechtfertigt.
Die Versorgung mit Trinkwasser und die Messung des Verbrauchs mittels Wasserzählern sei eine zur Daseinsvorsorge gehörende gemeindliche Pflichtaufgabe und diene dem öffentlichen Interesse. Die Verarbeitung der Daten stelle keinen so schweren Rechtseingriff dar, dass bei einer Gesamtabwägung das Interesse des öffentlichen Wasserversorgers an der Nutzung der Funkwasserzähler zurückstehen müsse. Der Einsatz von Funkwasserzählern könne im Hinblick auf das Grundrecht der Unverletzlichkeit der Wohnung sogar als eine besonders schonende Art der Datenerfassung angesehen werden, weil er das Betreten von privaten Räumen entbehrlich mache.
Nach derzeitigem Erkenntnisstand entstünden durch den Betrieb von Funkwasserzählern auch keine unzumutbaren Gesundheitsgefahren, weil die Strahlenleistung im Vergleich zu einem Handy um ein Vielfaches niedriger sei und die Funkwasserzähler in der Regel nicht in unmittelbarer Nähe zu den Bewohnern, sondern im Keller an der zentralen Hauswasserzuleitung angebracht würden.
Stand: 04.05.2022
Es muss nicht jede E-Mail archiviert werden.
Archiviert werden müssen E-Mails, die für eine ordnungsgemäße Buchführung und/oder steuerrechtlich relevant sind. Gesetzliche Grundlage ist die AO (Abgabenordnung), die GoB (Grundsätze für ordnungsgemäße Buchführung) und GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).
Reine Kommunikation, die genauso mündlich hätte stattfinden können oder die Vertriebs- oder Marketingthemen betrifft, muss nicht aufbewahrt werden.
Hängen hinter den Mailadressen aber ganze Postfächer mit Inhalten, die unter die Aufbewahrungspflichten fallen, dann gelten dafür die echten Aufbewahrungsfristen nach den gesetzlichen Vorgaben (also nach AO, GoB, GOBD, etc.). Im Regelfall muss zwischen 6 und 10 Jahren gespeichert werden, wenn es sich um Inhalte handelt, die für eine ordnungsgemäße Buchführung, für die Steuer usw. notwendig sein könnten.
Bei Unternehmen, die ein eigenes Programm für Buchhaltung, etc. haben und dieses aus den Mailaccounts heraus komplett vervollständigen, ist keine eigene E-Mail-Archivierungspflicht gegeben. Z.B. haben Rechtsanwälte oft eine Schnittstelle zum Datev-Anwaltsprogramm. Damit wird alles, was für die Mandatsbearbeitung wichtig sein könnte und per Mail eingeht, im Datev-System abgespeichert und in den E-Mail-Postfächern verbleibt die reine „Kommunikation“ und die sollte dann regelmäßig gelöscht werden.
E-Mails müssen dann archiviert werden, wenn ihre Inhalte nach den gesetzlichen Vorgaben aufbewahrungspflichtig sind.
Aus dem „Code of Practice“, erstmals veröffentlicht durch den Fachverband der Dokumentenmanagementbranche, Verband Organisations- und Informationssysteme (VOI) im Jahr 1996, gehen außerdem folgende Grundsätze hervor:
Die 10 Grundsätze zur Revisionssicherheit von elektronischen Dokumenten:
Nur, wenn inhaltlich gesetzliche Aufbewahrungspflichten betroffen sind.
Wenn es ein reines Kommunikationstool ist und zusätzlich eine Anwendung verwendet wird, in der alle notwendigen Unterlagen abgespeichert werden, besteht keine zusätzliche Pflicht zur Archivierung von E-Mails.
Anderenfalls schon.
Was ist Exchange online Plan 2?
Enthält E-Mail, Kontakte, Aufgabenverwaltung und Kalender und einen unlimitierten Archivierungsspeicher. Ist also ein weiteres Postfach, mit zeitlich unbegrenzter Speicherung und Wiederherstellungsfunktionen.
Antwort:
M.A. nach werden die wichtigsten Archivierungsvorgaben, nämlich die selektive Zuordnungsmöglichkeit zum jeweiligen Vorgang und die wichtige Vorgabe aus der DSGVO, nämlich regelmäßig löschen zu können, nicht erfüllt.
Stand: 27.04.2022
Im Februar 2022: Gesetzesvorschlag der EU-Kommission des sogenannten Data Acts.
Ziel:
Zugang zu Daten und die Nutzung von Daten soll gefördert werden.
So soll ein „Datenbinnenmarkt“ entstehen, der die Wettbewerbsfähigkeit der EU erhöht.
--> sehr weiter Anwendungsbereich, da nicht nur auf personenbezogene Daten bezogen.
Februar 2022: Gesetzesvorschlag der EU-Kommission des sogenannten Data-Acts.
Weiterer Verlauf des Gesetzgebungsverfahrens:
Verschiedene Lesungen im EU-Parlament und dem Rat der EU, am Ende müssen beide mit Mehrheit zustimmen.
Parallele Geltung. Grundsätzlich ist der Anwendungsbereich des Data Acts mit der Einbeziehung auch nicht personenbezogener Daten (Maschinendaten) weiter, als der der DSGVO.
Einzelheiten sind noch unklar.
Stand: 27.04.2022
Wann ist die Speicherung von Informationen in der Endeinrichtung nach § 25 Abs. 2 TTDSG „unbedingt erforderlich“, damit der Anbieter eines Telemediendienstes einen vom Nutzer „ausdrücklich gewünschten“ Telemediendienst zur Verfügung stellen kann?
Mit anderen Worten:
Wann brauche ich keine Einwilligung?
Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG:
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Hamburger Beauftragte für Datenschutz und Informationsfreiheit sagt folgendes:
„Außerhalb der genannten Voraussetzungen ist die Nutzung von Cookies, Web Storage, Browser-Fingerprinting und ähnlichen Technologien nur nach einer den Erfordernissen der DSGVO entsprechenden Einwilligung zulässig. Die Ausnahmen sind bereits dem Wortlaut nach eng auszulegen. So findet sich in Abs. 2 Nr. 2 die Formulierung „unbedingt erforderlich“, was vor dem Hintergrund der Gesetzesbegründung als technische, nicht jedoch wirtschaftliche Notwendigkeit zu verstehen ist. Regelmäßig wird daher die Reichweitenmessung, das Nutzertracking für Werbezwecke usw. für die Zurverfügungstellung eines Telemediendienstes nicht unbedingt erforderlich und daher nach dem TTDSG einwilligungspflichtig sein.“
Ein Rechtsanwalt vertritt folgende Auffassung:
„Unter die unbedingte Erforderlichkeit des § 25 Abs. 2 Nr. 2 TTDSG kann nicht nur die technische Erforderlichkeit zur Bereitstellung des Dienstes fallen, sondern auch die Erforderlichkeit zur Einhaltung gesetzlicher Pflichten oder zur Erbringung vertraglich geschuldeter Leistungen. Erforderlich bleibt eine konkrete Einzelfallbetrachtung, welche auch den Spielraum des ausdrücklich vom Nutzer gewünschten Telemediendienstes berücksichtigt. Dem mancherorts geäußerten Wunsch, Regelbeispiele für die unbedingte Erforderlichkeit in den Wortlaut der Vorschrift mit aufzunehmen, ist der Gesetzgeber nicht nachgekommen. Auf Cookie-Ebene sind beispielweise Cookies zur dauerhaften Speicherung von Spracheinstellungen oder zum Anbieten einer Warenkorbfunktion typische Beispiele für die unbedingte Erforderlichkeit von Cookies.“
Ergebnis:
Die Ausnahme nach § 25 Abs. 2 TTDSG ist für den Fall vorgesehen, dass Speicherung oder Zugriff für Telemedienanbieter unbedingt erforderlich sind, um Nutzer:innen einen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen. Nach konservativer Auffassung sind damit die technisch erforderlichen Cookies gemeint. Sie dienen z.B. dem Betrieb einer Webseite, der Umsetzung von technischer Sicherheit oder auch der Speicherung von Warenkörben in Onlineshops. Letzteres ist aber eng verbunden mit der vertraglich geschuldeten Leistung, die technisch umgesetzt werden muss.
Wer also z.B. Browser-Fingerprinting einsetzt, um eine notwendige technische Sicherheit einer Website umzusetzen (und dies auch entsprechend begründen kann), braucht keine Einwilligung des Nutzers, sondern kann von der unbedingten Erforderlichkeit der Anwendung ausgehen, sofern er sie begründen kann.
Stand: 27.04.2022
Folgende Gesetze müssen hier zur Beantwortung hinzugezogen werden:
UrhG: Urheberrecht besteht 70 Jahre bei Fotografien (§ 64 UrhG);
hat mit Löschungspflichten nichts zu tun, sondern nur mit Urheberrechten, v.a. Verwertungsrechten nach §§ 15 ff. UrhG
KUG: bei Bildnissen muss eine Einwilligung vorliegen nach § 22 KUG oder eine Ausnahme nach § 23 KUG. Wenn Einwilligung widerrufen wird --> Löschung!
DSGVO: Löschung bei Zweckerreichung oder Wegfall des Zwecks, oder die anderen Gründe des Art. 17 DSGVO
• Geht DSGVO oder KUG vor, wenn es um die Prüfung der Zulässigkeit einer Veröffentlichung geht?
--> DSGVO gilt neben dem KUG!
• Im BDSG-neu gibt es keine Ausnahme für „Meinungsfreiheit“
• Rechtslage derzeit etwas unklar v.a. für private Fotos, auf denen Menschen als „Beiwerk“ zu sehen sind
• Rechtslage aber für die Mehrzahl der Anwendungsgebiete klar: Fotos mit Menschen drauf bei Schulfeiern, Ausflüge, Veranstaltungen, Websites etc.: Einwilligung einholen!
• Gleiches Ergebnis gilt für Löschfristen: Wenn Einwilligung widerrufen wurde: löschen!
Ansonsten: je nach Vereinbarung.
Stand: 06.04.2022
Ergebnis des Kurzgutachtens der Tascforce Facebook Fanpages vom 18.03.2022:
„Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben.
Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.“
Ergebnis der DSK-Konferenz vom 23.03.2022:
Die DSK nimmt das von der Taskforce Facebook-Fanpages erstellte Kurzgutachten zur Frage der datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vom 18.03.2022 zur Kenntnis und stimmt der Bewertung zu.
Es bildet für die Mitglieder der DSK eine wichtige Grundlage ihrer aufsichtsbehördlichen Tätigkeit gegenüber öffentlichen und nichtöffentlichen Stellen.
Aufgrund ihrer Vorbildfunktion stehen öffentliche Stellen zuvörderst im Fokus. Deshalb werden die Mitglieder der DSK im Rahmen ihrer Zuständigkeit
•die obersten Landes- bzw. Bundesbehörden über den Inhalt des Kurzgutachtens zeitnah informieren,
•überprüfen, ob Landes- bzw. Bundesbehörden Facebook-Fanpages betreiben,
•darauf hinwirken, dass von Landes- bzw. Bundesbehörden betriebene Facebook-Fanpages deaktiviert werden, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können.
Dieser Nachweis betrifft vor allem:
•den Abschluss einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit mit Facebook,
•ausreichende Informationen über die gemeinsamen Datenverarbeitungen gegenüber den die Fanpages Nutzenden gemäß Art. 13 DSGVO,
•die Zulässigkeit zur Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf diese Informationen gemäß § 25 TTDSG sowie
•die Zulässigkeit der Übertragung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten
Hinweis von LiiDU:
Künftig dürfen nur, wenn diese hier genannten Nachweise erbracht werden, Facebook-Fanpages betrieben werden.
Stand: 06.04.2022
Wenn die Proben rein dem Gesundheitsschutz oder wissenschaftlichen Zwecken dienen sollen, greift Art. 9 Abs. 2 lit h. i DSGVO. und Erwägungsgrund 52
--> Verarbeitung sogar in nicht anonymisierter Form zulässig, wenn Voraussetzungen vorliegen.
Sind die Proben anonymisierbar?
Antwort:
•Ja, natürlich, weil derzeit keine Gendatenbank der Bundesbürger existiert. Aber:
• vielleicht gibt es irgendwann eine solche Datenbank, in der alle Bürger „aufgeschlüsselt“ liegen.
• Dann braucht es erst recht ein wirksames Datenschutzrecht, das den Zugriff darauf streng regelt.
• Die Polizei hat bereits über die Strafprozessordnung (v.a. § 483 STPO) die Möglichkeit, entsprechende Datenbanken zu unterhalten.
• Es gibt zudem eine DNA-Analysedatei des BK, über die Identifizierungsmuster gespeichert werden
Stand: 06.04.2022
Ein DSGVO-konformes Kontaktformular sollte folgende Punkte abdecken:
1. Datensparsamkeit: so wenige Daten wie möglich erheben
2. Zweckbindung: Daten nur zu einem bestimmten Zweck verwenden
3. Mit Datenschutzerklärung der Transparenz- und Informationspflicht nachkommen:
• Information, dass personenbezogene Daten erhoben werden,
• Information, welche Daten genau erhoben werden,
• warum diese Daten erhoben werden,
• was mit den Daten gemacht wird und
• wie lange die Daten gespeichert werden.
• Gutes Beispiel (ohne die ReCaptcha-Thematik)
• Man kann vergessen eine Datenschutzerklärung bereitzuhalten
• Keine SSL-Übertragung anzubieten
• Alle möglichen Informationen als Pflichtangaben abzufragen
Man braucht keine gesonderte Einwilligung des Nutzers, weil die Absendung des Kontaktformulars bereits die Einwilligung darstellt!
Vorschläge:
Beispiel - Mehr Informationen finden Sie hier
Nicht tief. Es müssen die gesetzlichen Anforderungen erfüllt sein.
Ziff. 13
Im Verfahrensverzeichnis sollte die Website ein eigenes Verzeichnis haben – außer es ist eine reine Informationsseite.
Dort kann der Punkt „Kontaktformular“ als Unterpunkt aufgenommen werden.
Stand: 30.03.2022
Was ist Matomo?
Matomo hieß vor 2018 Piwik und ist ein Web-Analysetool. Seine Hauptfunktion ist, Bewegungen auf Websites zu analysieren, um aufgrund der gewonnen Erkenntnisse die Website optimieren zu können.
Was ist datenschutzrechtlich zu beachten?
Das Tool kann
• ganz ohne die Erhebung personenbezogener Daten eingesetzt werden (Privacy-Einstellungen), indem, dass die letzten Ziffern der IP-Adresse anonymisiert wird.
• auch komplett ohne Cookies eingesetzt werden (in der Privacy-Einstellung „alle Tracking-Cookies deaktivieren“). (Achtung: Matomo nutzt in der Standardeinstellung Cookies. In diesem Fall muss also in jedem Fall ein Cookie-Banner mit Einwilligungsmöglichkeit verwendet werden.)
Werden diese Punkte eingehalten, braucht man – rein datenschutzrechtlich gesehen – keine Einwilligung (und damit keinen Banner!)
Und: ein Hinweis in der Datenschutzerklärung dürfte optional sein.
Es gibt § 25 TTDSG, wonach die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
--> gilt also vor allem für Cookies! Allerdings soll nach dem Willen des Gesetzgebers und wohl auch nach dem Wortlaut des § 25 TTDSG die Einwilligungspflicht nicht nur für Cookies gelten, sondern für sämtliche Mechanismen, die entweder Informationen auf Nutzerendgeräten speichern oder von diesen auslesen.
Damit wäre eine Einwilligungspflicht für Matomo relevant, da auch bei Deaktivierung von Cookies mit dem sogenannten „Device Fingerprinting“ ein bestimmtes Nutzerverhalten nachvollzogen werden kann.
Device Fingerprinting: Vom Nutzer nicht zu erkennende Technologien, die vom verwendeten Endgerät spezifische Informationen (z.B. Gerätetyp, das Betriebssystem) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.
Es ist fraglich, ob bei diesem Device Fingerprinting so auf Geräte-Informationen zugegriffen wird, dass bereits deswegen von einer eigenständigen Einwilligungspflicht ausgegangen werden kann.
Es gibt keine Urteile dazu! Mehr dazu finden Sie hier.
Stand: 30.03.2022
EU-Kommission und die USA haben am 25.03.2022 durch ihre ranghöchsten Vertreter bekanntgegeben, dass man sich auf ein neues Datenschutzabkommen zwischen den USA und Europa geeinigt hat. Hier ein Textauszug aus der Veröffentlichung:
The European Commission and the United States reached an agreement in principle for a
Trans-Atlantic Data Privacy Framework.
Key principles
• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies
• A new set of rules and binding safeguards to limit access to data by U.S. intelligence authorities to what is necessary and proportionate to protect national security; U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards
• A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court
• Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce
• Specific monitoring and review mechanisms
Hier finden Sie den ganzen Text
Es gibt noch keinen rechtlichen Text, der veröffentlicht wäre.
Nach der (oben verlinkten) Ankündigung, wird nun erst die Vereinbarungen in rechtliche Texte übertragen. Das wird Monate dauern.
Max Schrems hat erklärt, dass jedes neue Abkommen, das die Anforderungen des EU-Rechts nicht erfüllt, innerhalb weniger Monate vor dem EuGH angefochten werden wird, z. B. durch zivilrechtliche Verfahren und einstweilige Verfügungen.
Stand: 30.03.2022
Google Optimize ist ein A/B-Testing-Tool
Grundsätzlich: Auch ohne Cookies ist Google Analytics einwilligungspflichtig, insbesondere wegen der Verarbeitung der Analysedaten immer in den USA.
Im Speziellen: Sofern man Google Optimize zur anonymen Auswertung nutzen kann, dann ist das DSGVO-konform. Wenn Voraussetzung aber die Nutzung von Google-Analytics ist (=Standardfall!), dann nur mit Einwilligung der Nutzer.
Voraussetzungen eines rechtskonformen Einsatzes wären damit:
Hier finden Sie eine gute Übersicht mit Checkliste
Stand: 23.03.2022
Um einen Auftragsverarbeitungsvertrag abschließen zu müssen, muss eine Verarbeitung im Auftrag des Verantwortlichen stattfinden, Art. 28 DSGVO.
Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nach Ansicht des BayLDA nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.
Klassische Beispiele sind Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen), Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten, Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt; Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist, etc.).
Abgrenzung zu einer eigenen Verantwortlichkeit in der Verarbeitung:
• Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, z.B. Tätigkeiten von Steuerberater, Rechtsanwälten und Wirtschaftsprüfer, Bankinstitute für den Geldtransfer, Postdienste für den Brief- oder Pakettransport;
• Im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit, z.B. Bewachungsdienstleistungen, Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen, Transport von Unterlagen und Waren durch Kurierdienste oder Speditionen, etc.;
Sehr schöne Übersicht zur Abgrenzung der Auftragsverarbeitung mit den anderen Formen der Verarbeitung: Link zur pdf-Datei des BayLDA
Stand: 23.03.2022
Ein Verein, dessen Zweck nicht auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist, erlangt Rechtsfähigkeit durch Eintragung in das Vereinsregister des zuständigen Amtsgerichts, vgl. § 21 BGB.
Damit eine Geschäftsstelle eingerichtet werden kann, muss dies in der Vereinssatzung geregelt sein.
Es ist deshalb ratsam, schon bei Vereinsgründung eine Regelung aufzunehmen, die grundsätzlich die Einrichtung einer Geschäftsstelle ermöglicht. Ob, wann und wo diese dann tatsächlich eingerichtet wird, bleibt der Beschlussfassung in der Mitgliederversammlung vorbehalten. Es sollte in der Satzung auch geregelt werden, welche Aufgaben die Geschäftsstelle hat (z.B. Bearbeitung von Anträgen für die Aufnahme neuer Mitglieder, Postbearbeitung, Aktualisierungen der Mitgliederkartei, Einkauf von Büroartikeln, …).
In der Praxis sind Verwaltungssitz und Vereinssitz meist identisch. Es ist jedoch möglich, dass Vereins- und Verwaltungssitz auseinanderfallen.
Das heißt im vorliegenden Fall wäre das Vorliegen von zwei Zuständigkeiten (Bayern und NRW) grundsätzlich möglich.
Konkret zur Zuständigkeit: Art. 55 DSGVO
Art. 56 Zuständigkeit der federführenden Aufsichtsbehörde
Unabhängig von Zuständigkeitsfragen können sich betroffene Personen mit Beschwerden an jede Datenschutzaufsichtsbehörde wenden!
Ergebnis:
Hier ist die Hauptniederlassung der Vereinssitz in NRW. Es kann aber nach Art. 56 Abs. 2 DSGVO jede Aufsichtsbehörde zuständig sein, wenn in ihrem Gebiet eine Datenschutzverletzung begangen wurde.
Das Verfahren zum Ablauf regelt Art. 60 DSGVO.
Stand: 23.03.2022
BETROFFENENRECHTE:
Eine Bürgerin möchte jetzt, dass ihre Daten, die 2015 in einem Amtsblatt einer Gemeinde standen, weil sie Dozentin von Bildungsveranstaltungen der VHS der Gemeinde war, komplett aus dem Internet gelöscht werden. Diesem Wunsch ist die Gemeinde nachgekommen, soweit sie Zugriff hatten.
Allerdings wurde das PDF auch auf Websites wie docplayer.org und kipdf.com hochgeladen, was nicht die Gemeinde gemacht hat.
Die beiden Websites sind britisch bzw. amerikanisch und haben kein Impressum, keine Kontaktdaten bzw. es wird auf eine Mail an info@... nicht reagiert. 1.Wie weit geht die Verantwortung des Verantwortlichen, Daten, die ohne seine Zustimmung im Internet weiterverbreitet wurden, zu löschen bzw. löschen zu lassen?
2.Muss man etwas tun und was kann man tun, wenn sich der Betreiber der betreffenden Websites außerhalb Europas befindet und nicht zu erreichen ist?
3.Wie ist der Sachverhalt, wenn die Dozentin das gewerblich gemacht und dafür Geld erhalten hat und/oder es einen Vertrag darüber gibt?
Wie weit geht die Verantwortung des Verantwortlichen, Daten, die ohne seine Zustimmung
im Internet weiterverbreitet wurden, zu löschen bzw. löschen zu lassen?
Hier muss unterschieden werden:
1. Wurden die Daten bereits ohne rechtliche Grundlage verbreitet, gibt es eine Verpflichtung der verantwortlichen Stelle, einer Löschung auch auf anderen Websites nachzugehen.
2. Wurden die Daten rechtmäßigerweise öffentlich zugänglich gemacht, dann ist es nicht Aufgabe des Verantwortlichen, Löschung dieser Daten auf anderen Websites nachzugehen.
Muss man etwas tun und was kann man tun, wenn sich der Betreiber der betreffenden Websites
außerhalb Europas befindet und nicht zu erreichen ist?
Evtl. Recht auf Vergessenwerden, Art. 17 DSGVO à Antrag bei Google, die Listung der Inhalte zu löschen.
Google entscheidet nach dem Löschungsantrag über die Entfernung. Gute Aussichten auf Löschung haben Grundrechtsverletzungen. Hier ist das informationelle Selbstbestimmungsrecht der betroffenen Dozentin betroffen à Inhalt im Netz ist zu löschen.
Wird Löschungsantrag abgelehnt: betroffene Person kann sich an die zuständige Aufsichtsbehörde der Suchmaschine wenden.
Wie ist die Rechtslage, wenn die Dozentin das gewerblich gemacht und dafür Geld erhalten hat
und/oder es einen Vertrag darüber gibt?
Bei einem Vertrag über die Leistungen der Dozentin, sollte auch die Veröffentlichung eines Fotos, Ihres Namens etc. geregelt werden. Je klarer die diesbezügliche Regelung, desto besser.
Falls das nicht der Fall ist, muss der Vertrag ausgelegt werden.
Stand: 23.03.2022
Ein Geschäftsführer wird zur Zahlung von EUR 5.000 Schadensersatz für eine Datenschutzverletzung verurteilt.
OLG Dresden, Urteil vom 30.11.2021, Az. 4 U 1158/21
Sachverhalt:
Ein Verein holte nach einem Mitgliedsantrag umfangreiche Informationen über die Person ein, u.a. über Vorstrafen. Daraufhin wurde der Mitgliedsantrag abgelehnt. Die betroffene Person klagte u.a. auf Schadenersatz gegen die GmbH und gegen des Geschäftsführer.
Zum Urteil:
1. Der Geschäftsführer einer GmbH ist neben der Gesellschaft „Verantwortlicher“ im Sinne der DSGVO.
2. Eine Erhebung von Daten muss zunächst bei der betroffenen Person stattfinden – und erst danach bei Dritten, sofern dies für den Verantwortlichen nicht ausnahmsweise unzumutbar ist.
3. Die Datenerhebung von Vorstrafen des Betroffenen ist nur unter den Voraussetzungen des Art. 10 DSGVO zulässig.
4. EUR 5.000,- als immaterieller Schaden ist angemessen (… Dies bedeutet aber nicht, dass die Geldentschädigung zwingend „Strafcharakter“ haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben.“)
Stand: 16.03.2022
Es gibt Vorlagen verschiedener Bundesländer für die Schulen, um auch dort den Datenschutz DSGVO-konform umzusetzen.
Vorlagen für typische Verarbeitungstätigkeiten in Schulen
Die Auskunft ist gemäß 15 DSGVO zu erteilen. Demnach ist zu prüfen, ob der Antragsteller eine Berechtigung hat, die Auskunft zu verlangen (eine Mutter hat das in aller Regel für sich und ihr Kind). Danach ist binnen Monatsfrist zu antworten.
Hier Templates des BayLDA für die Auskunftserteilung
Hier ein ausführliches Merkblatt des Bayerischen Landesbeauftragten für den Datenschutz zum Thema Auskunft
Stand: 16.03.2022
Mailchimp ist ein in den USA sitzender Anbieter eines Newsletter-Tools.
Aufgrund des Wegfalls des Privacy-Shields sind jetzt Standarddatenschutzklauseln zu verwenden und: --> datenschutzrechtliche Einwilligung ist einzuholen
Voraussetzungen für den datenschutzkonformen Einsatz:
1.Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
2.Standarddatenschutzklauseln vereinbaren
3.Einwilligung bei Newsletter-Registrierung einholen
4.Double-Opt-In (eigentlich eine werberechtliche Voraussetzung)
Stand: 16.03.2022
Grundproblem:
•Microsoft hat seinen Sitz in den USA.
•Datenschutzbestimmungen USA ≠ DSGVO, deshalb braucht man mit Anbietern außerhalb der EU eine gesonderte Rechtsgrundlage. Bis 2020 war das das Privacy Shield, das aber weggefallen ist.
•Microsoft setzt seitdem auf Standarddatenschutzklauseln
•Die DSK hat 2020 in einer Stellungnahme erklärt, dass Office 365 rechtswidrig ist, weil es nicht datenschutzkonform genutzt werden kann.
•Es gibt viele Datenschützer, die das differenziert sehen.
Stellungnahmen verschiedener Länder:
•BayLDA: die DSK hat zu allgemein gearbeitet. Office 365 arbeitet mit vielen verschiedenen Apps, es kommt darauf, was man davon für welche Daten einsetzt. Derzeit verhandelt Microsoft mit den europ. Datenschützern über einen rechtskonformen Einsatz von Office 365.
•Pressemitteilung vom 02.10.2020
•Pressemitteilung LFD Niedersachsen
Fazit: Es ist noch nichts entschieden, v.a. kann der Einsatz von Office 365 nicht als per se rechtswidrig angesehen werden. Empfehlung: nachfolgende Fragen klären und dokumentieren
Office 365 – Folgende Frage klären und dokumentieren:
•Prüfen Sie, ob es evtl. europäische Alternativen für MS 365 gibt
•Zerlegen Sie MS 365 in die relevanten Apps und nehmen Sie nur das, was Sie wirklich brauchen
•Buchen Sie Azure Europe/Deutschland •Sperren Sie „gefährliche Apps“, wie z.B. Delve, Graph, Yammer
•Überprüfen Sie kontinuierlich nach relevanten Änderungen •Deaktivieren Sie Administrator Auswertungsmöglichkeiten der Benutzeraktivitäten
•Stellen Sie die Übermittlung von Telemetriedaten ab (GPO)
•Implementieren Sie Sicherheitsmaßnahmen (v.a. Verschlüsselung)
•Erlassen Sie verbindliche schriftliche Regelungen (DA, BV, Richtlinie …)
•Schulen Sie die Mitarbeiter
•Sorgen Sie für datenschutzkonforme Verträge (AVV, SCC)
•Tragen Sie MS 365 in das VVT ein (Block oder modular)?
•Dokumentieren Sie Ihre Entscheidungen und Maßnahmen
Stand: 16.03.2022
Die lokale Einbindung von Google-Fonts muss gar nicht in die Datenschutzerklärung aufgenommen werden.
Begründung:
Es werden keine personenbezogenen Daten verarbeitet.
Stand: 09.03.2022
Die Beschwerden und die gemeldeten Datenschutzverletzungen nehmen zu!
Im Jahr 2011 gab es beim Bayerischen Landesamt für Datenschutzaufsicht 687 Beschwerden, im Jahr 2018 bereits 3643 Beschwerden und im Jahr 2020 sogar 6185 Beschwerden. Bei den gemeldeten Datenschutzverletzungen haben sich die Zahlen in den letzten 10 Jahren ähnlich entwickelt. 2011 lag der Wert bei 10, 2018 bei 2471 und 2020 wurden 3752 Datenschutzverletzungen gemeldet. Es ist also sowohl bei den Beschwerden als auch bei den Datenschutzverletzungen ein signifkanter Anstieg zu verzeichnen.
Stand: 09.03.2022
Was macht Cloudflare?
Cloudflare ist ein US-amerikanisches Unternehmen, das ein Content Delivery Network, Internetsicherheitsdienste und verteilte DNS-Dienste (Domain Name System) bereitstellt, die sich zwischen dem Besucher und dem Hosting-Anbieter des Cloudflare-Benutzers befinden und als Reverse Proxy für Websites fungieren. Cloudflare legt zudem Kopien von Webseiten auf eigene Server. Diese Server befinden sich verteilt an unterschiedlichen Standorten auf der Welt. Bei Aufruf einer bestimmten Webseite von einem bestimmten Standort aus, wird immer der geeignete Server angesprochen, was den Zugriff auf die Seite beschleunigt. Zudem identifiziert Cloudflare Crawler oder Bots, die möglicherweise Ressourcen und Bandbreite belasten würden.
Problem: US-amerikanischer Dienst!
--> Eigentlich kann der Einsatz nur mit Einwilligung des Nutzers stattfinden
(was aber den Interessen des Berechtigten widersprechend dürfte).
Das schreibt der TÜV-Süd auf seiner Website zur Nutzung Cloudflare:
"Schutz vor Störungen und Missbrauch sowie Verbesserung der Webseite
Personenbezogene Nutzungsdaten, wie Ihre IP-Adresse sowie die Zeiten Ihrer Aufrufe unseres Internettauftritts, werden über die Webseite zur Ermittlung sowie zur Verfolgung von Störungen oder Missbräuchen unserer Online-Angebote oder Telekommunikationsdienste und -anlagen und zur Performanceverbesserung unseres Internetauftrittes, verarbeitet. Diese Website nutzt Dienste von „Cloudflare“ (Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA). Cloudflare betreibt ein Content Delivery Network (CDN) und stellt Schutzfunktionen für die Website (Web Application Firewall) zur Verfügung. Der Datentransfer zwischen Ihrem Browser und unseren Servern fließt über die Infrastruktur von Cloudflare und wird dort analysiert, um Angriffe abzuwehren. Cloudflare setzt dazu Cookies ein, um Ihnen den Zugang zu unserer Webseite zu ermöglichen. Die Nutzung von Cloudflare erfolgt im Interesse einer sicheren Nutzung unserer Internetpräsenz und der Abwehr schädlicher Angriffe von außen. Weitere Informationen finden Sie in der Cloudflare-Datenschutzerklärung"
Unter dem Punkt: technisch-notwendige Cookies!
Stand: 09.03.2022
Urteil des LG Lüneburg vom 14.07.2020 – 9 O 145/19
Sachverhalt:
Der Kläger wurde von seiner Hausbank wegen der Überziehung eines Dispo-Kredits von EUR 20,- an die Schufa gemeldet. Er machte gerichtlich den Widerruf der Meldung und die Zahlung immateriellen Schadensersatzes geltend.
Entscheidung:
Folge:
Verbraucher kann seine Rechte aus BGB mit seinen Rechten aus der DSGVO kombinieren.
Wiederholt ist jetzt bereits ein Anspruch auf Schadensersatz durchgesetzt worden!
Stand: 09.03.2022
Die konkrete Fragestellung lautet:
Eine Firma beauftragt einen externen Dienstleister (z.B. IT-Unternehmen) mit der Wartung des Systems.
Darf von der Tätigkeit des Dienstleisters auf dem Firmenrechner ein Screencast erstellt werden?
Falls ja: welche Voraussetzungen gelten hier? Muss z.B. der Dienstleister über die Aufnahme informiert werden?
Regelfall:
Man kennt die Person, die die Tätigkeiten vornimmt
--> Verarbeitung personenbezogener Daten!
-->Screencast kann erstellt werden, sofern eine Einwilligung vorliegt.
--> Falls keine Einwilligung vorliegt: Stichprobenkontrolle
(gestützt auf Art. 6 Abs. 1 S. 1 lit. f DSGVO) zulässig.
Stand: 09.03.2022
Vorschlag für die nächsten Schritte:
Dr. Korch in der NJW 2021, 978: folgende Fragen müssten an den EuGH gestellt werden:
Stand: 23.02.2022
„Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (…). Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden.“
Bußgeld:
gestaffelt von 2%/10 Mio. EUR bis 4%/20 Mio. EUR, bezogen auf den weltweit erzielten Jahresumsatz des Unternehmens, je nachdem welcher der Beträge höher ist, https://dsgvo-gesetz.de/art-83-dsgvo/
Strafrecht:
jeweiliges nationales Recht
Stand: 23.02.2022
Google Optimize ist ein A/B-Testing-Tool
Grundsätzlich: Auch ohne Cookies ist Google Analytics einwilligungspflichtig, insbesondere wegen der Verarbeitung der Analysedaten immer in den USA.
Im Speziellen: Sofern man Google Optimize zur anonymen Auswertung nutzen kann, dann ist das DSGVO-konform. Wenn Voraussetzung aber die Nutzung von Google-Analytics ist (=Standardfall!), dann nur mit Einwilligung der Nutzer.
Stand: 23.02.2022
Zoom ist datenschutzkonform einsetzbar.
Dienst wurde erheblich nachgebessert, v.a. nach Kritik des LfDI Baden-Württemberg zur fehlenden Verschlüsselung, der unklaren Beteiligung von Unternehmen aus Drittländern und der üblichen Kritik, dass die Server in den USA stehen.
Jetzt: LfDI Baden-Württemberg hat seine Warnung zurückgezogen.
Empfehlungen:
von Zoom in die Datenschutzerklärung aufnehmen
Stand: 23.02.2022
Microsoft-Teams ist – unter Vorbehalt - datenschutzkonform einsetzbar.
Hauptkritikpunkt früher: Microsoft geht intransparent beim Anbieten von datenschutzrechtlich notwendigen Dokumenten (z.B. AV-Verträge) vor. Kritik kam vor allem von der Berliner und der Hessischen Aufsichtsbehörde, die Teams für nicht einsatzfähig erklärte.
Argument nicht valide, da
Bei Übertragung in die USA gibt es Bedingungen, die eingehalten werden müssen:
Stand: 23.02.2022
Ja, aber es heißt jetzt: Verpflichtung zur Vertraulichkeit, § 32 Abs. 4 DSGVO
https://www.lda.bayern.de/media/dsk_kpnr_19_verpflichtungBeschaeftigte.pdf
Stand: 23.02.2022
In Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) steht:
Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
Praxishilfen des BayLDA: https://www.lda.bayern.de/de/muster.html
Beispiel Onlineshop: https://www.lda.bayern.de/media/muster/muster_9_online-shop_verzeichnis.pdf
Stand: 23.02.2022
Antwort für ein kleines Unternehmen:
Für ein mittleres Unternehmen (mehr als 80 Mitarbeiter):
Stand: 23.02.2022
Session-Cookies, die bestimmte Einstellungen des Nutzers speichern, z.B. Sprache, Warenkorb, etc.
Cookies für Logins und
Cookies für Warenkörbe, die keine Daten weitergeben
Cookies zur Wiedergabe von Medieninhalten (Flash-)
Cookies, die zur Vorbereitung und Durchführung eventueller Zahlungen oder der Prüfung einer Zahlungslegitimation dienen
Alle anderen Cookies (v.a. Tracking- und Analysetools, Affiliate-Dienste, Remarketing-Diensten, Social-Media-Plugins, Video-Dienste, Online-Kartendienste, etc.)
Stand: 16.02.2022
Was ist überhaupt eine Datenschutzfolgeabschätzung (DSFA)?
In Art. 35 DSGVO geregelt.
Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte --> Risikoanalyse!
Stand: 16.02.2022
Sachverhalt:
Der Beklagte hatte Google Fonts per Link auf seiner Webseite eingebettet (und nicht lokal auf seinem Server gespeichert).
Der Kläger sah darin einen Anspruch gegen den Beklagten auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog.
Rechtliche Würdigung:
Hier finden Sie das Urteil zum Thema "Google Fonts"
Die Konsequenzen aus diesem Urteil sind ganz klar:
Stand: 16.02.2022
Die Beschwerden nehmen zu. Auch „unbedeutende“ Verstöße gegen die DSGVO werden verfolgt.
Das BayLDA hat hierfür eine Statistik veröffentlicht. In 2020 gab es 6185 Beschwerden und Kontrollanregungen. Dabei wurden 230 Bußgelder verhängt. Das sind nicht mal 5% aller Vorgänge.
Stand: 16.02.2022
Nein. Videokamera-Attrappen brauchen keinen datenschutzrechtlichen Hinweis, da keine personenbezogenen Daten verarbeitet werden.
Insbesondere fehlt die Aufzeichnungsfunktion.
Stand: 16.02.2022
Zur Überprüfung von Webseiten empfiehlt es sich, so viele Browser wie möglich zu nutzen/installieren:
Auf Windows können folgende Browser zur Untersuchung genutzt werden:
- Microsoft Edge
- Firefox
- Chrome
- Brave
- Opera
Auf iOS kann der Browser Safari zur Untersuchung genutzt werden.
Beim Firefox empfiehlt sich die Installation von Plug-Ins, insbesondere:
- NoScript
- Ghostery: Die Software Ghostery weist beim Surfen auf versteckte Anwendungen hin und blockiert sie auf Wunsch.
- Privacy Badger
- Cookies and Headers Analyser
Das Plug-in uMatrix wird leider vom Entwickler nicht mehr gepflegt.
Es gibt noch eine Reihe von Werbeblockern. Damit wird das Browsen aber schnell ungemütlich, weil viele Webseiten die Blocker erkennen und dann nicht funktionieren.
Mit dem Tool von Decareto kann man sich umfassende technische Prüfberichte von Website erstellen lassen.
Darüber hinaus gibt es eine Fingerprinting-Statistik-Studie der Friedrich-Alexander-Universität Erlangen (Fachbereich Informatik der FAU):
Bei der Teilnahme erhält man Detailinformationen und Aussagen zu:
- Ist der Fingerprint einzigartig bezüglich des einzelnen Teilnehmers ?
- Ist der Browser eindeutig über die Zeit verfolgbar ?
Wir danken Hr. Schmid (Dipl.-Ing. (Univ.) Lutz J. Schmid, Schmid Datensicherheit GmbH, Tel.: 0961-4712941. Mobil: 0160-98492962, E-Mail: info@schmid-datensicherheit.de, URL: www.schmid-datensicherheit.de für seinen Beitrag und seine Hinweise.
Stand: 09.02.2022
Der Dienst „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Dabei werden die tatsächlich eingesetzten Cookies kontrolliert und solche Cookies blockiert, für die eine Zustimmung nicht erteilt wurde.
Dabei werden (nach Ansicht des Antragstellers) auch personenbezogene Daten des Nutzers an den Server von „Cookiebot“ übermittelt. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse, sei der Endnutzer eindeutig identifizierbar.
Im Eilverfahren vor dem VG Wiesbaden wollte nun der Antragsteller erreichen, dass es der Hochschule RheinMain untersagt wird, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden.
Das Gericht hat dem Antrag stattgegeben (Az.: 6 L 738/21.WI)
--> Panik bei öffentlichen Einrichtungen und Unternehmen
Aber! Die Entscheidung wurde vom Berufungsgericht (Hessischen Verwaltungsgerichtshof) aufgehoben. Es fehle die Eilbedürftigkeit, die man für einen solchen Antrag im Eilverfahren brauche.
Wir warten also noch auf das Hauptsachverfahren!
Stand: 09.02.2022
Ein rechtskonformer Cookie-Banner sieht so aus:
Stand: 09.02.2022
Nein, man braucht nicht immer einen Cookie-Banner.
Wer keine oder nur technisch notwendige Cookies setzt, braucht keine Einwilligung über einen Banner.
Wenn Cookies gesetzt werden, die technisch nicht notwendig sind, ist eine Einwilligung gemäß § 25 TTDSG erforderlich.
Aber: Aufklärung in der Datenschutzerklärung über die technisch notwendigen Cookies ist aber trotzdem notwendig, vgl. Art. 13 DSGVO.
Stand: 09.02.2022
Seit 01.12.2022 gilt § 25 TTDSG
Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Telemediendienste müssen Datenschutzanforderungen erfüllen, nämlich
1.SSL-Verschlüsselung der Website
2.Datenschutzerklärung auf der Website richtig und vollständig
3.Cookie-Banner richtig gestalten; hier v.a. Einwilligungsmanagement genau prüfen, insbesondere:
Stand: 09.02.2022
Eine Auflistung von Datenschutzverstößen findet man auf dem DSGVO-Portal
Stand: 02.02.2022
Der Einsatz von Paypal als Bezahlmethode ist DSGVO-konform.
PayPal ist in den meisten Fällen verantwortliche Stelle (und kein Auftragsverarbeiter). Sitz ist in Luxemburg, damit gelten die DSGVO-Regelungen unmittelbar – ohne Art. 44 DSGVO bemühen zu müssen.
Als europäische Bank mit Sitz in Luxemburg muss PayPal den Anforderungen des Datenschutzes und der Finanzaufsichtsbehörden nachkommen.
Tipp:
PayPal als Bezahlmethode in die eigene Datenschutzerklärung mitaufnehmen.
Stand: 02.02.2022
Ja, man braucht eine Datenschutzerklärung auf Amazon.
Die gesetzlichen Vorgaben aus DSGVO, BDSG und TTDSG sind immer einzuhalten, sobald der Anwendungsbereich eröffnet ist.
Vorliegend ist es vor allem bereits vor Vertragsschluss der Art. 13 DSGVO, der eingehalten werden muss (Informationspflichten).
AMAZON bietet einen eigenen Speicherort für die Datenschutzerklärung, nämlich den Reiter „Datenschutzrichtlinie“ unter „Ihre Informationen und Richtlinien“.
Stand: 02.02.2022
Zur Erläuterung der Frage:
"Wir spielen jede Woche in einem Verein zusammen Fussball in der Halle. Es gilt 2G+.
Damit nicht jeder vor dem Spiel seinen Nachweis vorzeigen muss, wurde eine Liste mit den Geimpften (samt Datum der Impfung und Namen) erstellt. Am Eingang wird dann überwiegend nur noch abgehakt.
Darf man die Liste an einzelne Spieler schicken, die jeweils abwechselnd die Eingangskontrolle durchführen?"
Um die Fragestellung bzgl. der listenmäßigen Erfassung (und Weitergabe) des Impf-/Genesenenstatus zu konkretisieren, muss vorab die Regelung 2G+ definiert werden.
Was ist 2G plus?
2G plus bedeutet, dass nur Menschen Zutritt haben, die vollständig geimpft oder von einer COVID-19-Infektion genesen sind und die zusätzlich auch noch aktuell schnellgetestet sind. Das "plus" steht für den Antigen-Schnelltest, dem sich Geimpfte und Genesene unterziehen müssen. Bei 2G plus haben Ungeimpfte keinen Zutritt. Z.B. haben am 7. Januar Bundesregierung und Länderchefs beschlossen, dass in der Gastronomie künftig 2G plus gilt. Dies gilt nicht in Bayern - das beschloss das bayerische Kabinett am 11. Januar.
Impf-/Genesenennachweis und aktueller Schnelltest müssen kontrolliert werden, ansonsten droht Bußgeld.
Sobald die Spieler den Impf-/Genesenennachweis erbringen, kann dieser vom Vorstand oder einem Vertreter dokumentiert werden, sodass nur noch der aktuelle Schnelltest kontrolliert werden muss.
Voraussetzung:
Die Registrierung des Impfstatus zählt zur Verarbeitung von Gesundheitsdaten. Nach Art. 9 Abs. 2 lit. a DSGVO kann eine solche Speicherung zulässig sein, wenn der Betroffene ausdrücklich und freiwillig eingewilligt hat. Wichtig ist hierbei, dass eine echte Wahl besteht.
Ergebnis:
Wenn die Spieler der Verarbeitung zugestimmt haben, kann die Liste auch an Vertreter des Vereinsvorstands weitergegeben werden. Am besten sollten die Spieler auch dieser Weitergabe ausdrücklich und freiwillig zustimmen.
Stand: 02.02.2022
Ja, die DSGVO gilt auch für Selbstständige und kleine Unternehmen.
Die gesetzlichen Vorgaben aus DSGVO, BDSG und TTDSG sind immer einzuhalten, sobald der Anwendungsbereich eröffnet ist.
Der sachliche Anwendungsbereich der DSGVO ist bei automatisierter Verarbeitung von personenbezogenen Daten gemäß Art. 2 Abs. 2 immer eröffnet - und bei nichtautomatisierter Verarbeitung dann, wenn die Daten in einem Dateisystem gespeichert sind.
Nicht zu verwechseln ist dies mit der Notwendigkeit der Bestellung eines Datenschutzbeauftragten nach § 38 BDSG.
Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 679/2016 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 679/2016 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
Stand: 02.02.2022
Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit und amtierender Vorsitzender der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) sagt zur Einordnung des Gutachtens:
„Die Ergebnisse des in Auftrag gegebenen, unabhängigen Gutachtens steuern wichtige Aspekte zur Analyse der Rechtsverhältnisse in den USA bei. Die unabhängigen Datenschutzaufsichtsbehörden werden nun darüber beraten, wie die Ergebnisse in die Aufsichts- und Beratungspraxis einfließen.“
Stand: 02.02.2022
Hintergrund:
Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte 2021 zusammen mit den anderen deutschen Datenschutz-Aufsichtsbehörden Hr. Prof. Stephen I. Vladeck, University of Texas, Austin, Experte im US-amerikanischen Geheimdienstrecht, mit der Begutachtung von Fragen beauftragt, die in der aufsichtlichen Praxis häufig wiederkehren.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörde des Bundes und der Länder (DSK) hat am 25.01.2022 die Ergebnisse dieses Gutachtens (v.a. zur Reichweite bestimmter Zugriffsrechte von US-amerikanischen Sicherheitsbehörden) veröffentlicht.
Hier finden Sie weiterführende Links.
Inhalt:
Der Begriff „electronic communication service provider“ die Anwendbarkeit von Section 702 des US-amerikanischen Foreign Intelligence Surveillance Act (FISA) ist weit zu verstehen. Er umfasst nicht nur
Ausreichend: Bereitstellung z.B. eines E-Mail-Dienstes für Mitarbeiter
Rechtsfolgen (Auszüge):
1.Zugriffsmöglichkeit der US-Behörden auf sämtliche Daten des Unternehmens, nicht nur auf Daten des jeweiligen Dienstes (also z.B. nicht nur E-Mails).
2.Daten europäischer Unternehmen, die in den USA aktiv sind, unterfallen dem FISA 702 ebenso. Zumindest dann, wenn die Daten auf US-Servern liegen.
3.Europäische Bürgerinnen und Bürger haben kaum Möglichkeiten, Rechtsschutz in den USA zu erlangen.
Hier finden Sie das Rechtsgutachten
Stand: 02.02.2022
Es gibt noch keine aktuelle Entscheidung des BGH.
Die meisten OLGs treffen folgende Entscheidung: wenn eine wettbewerbsrechtliche Relevanz vorliegt, sind auch DSGVO-Normen abmahnfähig.
Sachverhalt:
Der Beklagte, ein gewerblicher eBay Händler, hielt für potenzielle Kunden keine Erklärung zum Datenschutz vor. Er verstößt damit gegen Art. 13 DSGVO.
Die Klägerin war der IDO-Verband (Interessenverband für das Rechts- und Finanzconsulting deutscher Online-Unternehmen).
Die durch die Klägerin ausgesprochene Abmahnung blieb erfolglos. Das LG Stuttgart hatte die Klage mit der Begründung abgewiesen, dass die DSGVO als abschließende Regelung dem UWG vorgehe mit der Folge, dass Datenschutzverstöße nicht als Wettbewerbsverstöße abgemahnt werden könnten (Urteil v. 20.05.2019, Az. 35 O 68/18).
Entscheidung:
Die Regelungen des Art. 80 DSGVO sind nicht abschließend.
Verstöße gegen die DSGVO sich nach Wettbewerbsrecht abmahnfähig, wenn sie die Marktverhaltensregeln verletzten.
Die Informationspflichten nach Art. 13 DSGVO stellen laut OLG Stuttgart eine solche Markverhaltensregel da, denn diese Informationen hätten eine verbraucherschützende Funktion und sind damit wettbewerbsrechtlich relevant.
Wettbewerbsverbände sind somit nach § 8 Abs. 3 Nr. 2 UWG i. V. m. § 8 Abs. 1 und § 3 a UWG befugt, Verstöße gegen Bestimmungen der DSGVO wettbewerbsrechtlich geltend zu machen, bei denen es sich um Markverhaltensregelungen handelt.
Stand: 26.01.2022
Es gibt keine gesetzliche Verpflichtung, den DSB auf der Website anzugeben.
Gibt man ihn aber an, muss eine natürliche Person genannt werden.
BayLDA hierzu:
„Die Regelungen zur Benennung, zur Stellung und zu den Aufgaben des Datenschutzbeauftragten nach den Art. 37, 38 und 39 DS-GVO stellen auf eine natürliche Person des Datenschutzbeauftragten ab, so dass auch betroffene Personen (Beschäftigte, Kunden usw.) einen klaren Ansprechpartner für ihre oft sehr vertraulichen Datenschutz-Anliegen haben.“
Stand: 26.01.2022
Das BayLDA gibt folgende Hinweise zum Thema Zertifzierung nach DSGVO:
Zertifizierung
Datenschutzzertifikate
Datenschutzzertifikate nach Art. 42 DS-GVO sind freiwillig und können entweder von der zuständigen Datenschutzaufsichtsbehörde oder einer dafür akkreditierten Zertifizierungsstelle erteilt werden. Das BayLDA wird mangels personeller Ressourcen als Aufsichtsbehörde selbst nicht zertifizieren, ist jedoch maßgeblich in den Akkreditierungsprozess involviert, so dass zukünftig erfolgreich akkreditierte Stellen diese Aufgabe übernehmen werden. Momentan gibt es noch keine akkreditierten Zertifizierungsstellen und somit auch noch keine Zertifikate.
Das Verzeichnis aller in Deutschland akkreditierter Stellen finden Sie hier
Stand: 26.01.2022
Es gibt schon lange Bedenken hinsichtlich Google-Analytics seitens der Datenschutzaufsichtsbehörden in Deutschland, v.a wegen des nahezu unbeschränkten Zugriffs von US-Behörden auf personenbezogene Daten.
Jetzt:
DSB sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO verletzt, da mit dem Statistikprogramm persönliche Nutzerinformationen an die Google-Konzernzentrale in den USA weitergegeben werden.
Google-Analytics vertößt gegen die Schrems II-Entscheidung des EuGH (= Privacy Shield gewährt kein angemessenes Datenschutzniveau).
Die vollständige Entscheidung finden Sie hier
Stand: 26.01.2022
Das TTDSG regelt:
Zweck des TTDSG:
v.a. Anpassung der TK- und TM-Anbieter an die geänderten Anforderungen der DSGVO und verbindliche gesetzliche Cookie-Regelung.
Stand: 26.01.2022
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung