FAQ Datenschutz

Aktuelle Fragen für das nächste Datenschutz-Weekly

  • Aktueller Sicherheitsvorfall 
  • Urteil aus dem Datenschutzrecht
  • Was steht im Digital Services Act? Wer ist betroffen?
  • Was steht in der KI-Verordnung? Wer ist wie betroffen?
  • Wer haftet wie beim Einsatz von KI?

Nächster Termin Datenschutz-Weekly

Mittwoch, 20.03.2024
von 12 - 13 Uhr

Frage einsenden

FAQ Datenschutz 

Ist die gesetzliche Betreuung nach § 1814 BGB eine besondere Kategorie nach Art. 9 DSGVO? 

Die Betreuung wird in § 1814 BGB geregelt

(1)Kann ein Volljähriger seine Angelegenheiten ganz oder teilweise rechtlich nicht besorgen und beruht dies auf einer Krankheit oder Behinderung, so bestellt das Betreuungsgericht für ihn einen rechtlichen Betreuer (Betreuer).

Gesundheitsdaten werden in Art.  4 Absatz 15 DSGVO definiert. Art. 9 DSGVO hält allerdings auch Ausnahmen bereit, unter denen die Verarbeitung erlaubt ist.

„Die Kumulation der Anforderungen in Art. 4 Nr. 15 („beziehen auf“ und „hervorgehen aus“) schränkt ihre Reichweite ein, indem ein Datum, welches sich nicht auf die Gesundheit (sondern etwa auf den Lebensstil) bezieht, aus welchem aber Informationen über den Gesundheitszustand hervorgehen, nicht erfasst wird; ein Bsp.: Die Information, dass eine Person ein größenmäßig bestimmtes Atemzeitvolumen oder ein Lungenkarzinom habe, ist ein Gesundheitsdatum; die isolierte Information, dass eine Person Raucher sei, ist keines. Der Verordnungsgeber hat dies erkannt, als er die Erbringung von Gesundheitsdienstleistungen, also nicht nur das Wie, sondern auch das Ob, als Datum bezeichnet, welches sich auf die Gesundheit bezieht (Besuch eines Arztes, aus welchem Grund auch immer). Auf diese Daten zugeschnitten ist der Ausschlussgrund des Abs. 2 lit. h. 

Gesundheitsdaten können indes durch die Verknüpfung verschiedener Daten, die nichts über den Gesundheitszustand aussagen, entstehen: Ein Bsp. ist die Verknüpfung von Größe, Gewicht und Alter, ggf. noch iVm Informationen über körperliche Aktivitäten: Sportuhren und Fitnesstracker sind je nach Voreinstellung und Nutzung daher geeignet, Gesundheitsdaten zu verarbeiten“ (vgl. Dregelies VuR 2017, 256 (258 f.)).(Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 9 Rn. 15)

LiiDU- Einschätzung:

Die Tatsache einer gesetzlichen Betreuung ist kein gesundheitsbezogenes Datum. Es wir nichts über den Gesundheitszustand ausgesagt, es geht hier lediglich um die Tatsache der gesetzlichen Vertretung durch den gesetzlichen Betreuer an sich. Der Grund für die gesetzliche Betreuung ist nicht transparent. 

Stand: 06.03.2024

Dürfen die Zeiterfassungsdaten genutzt werden, um ggü. Mitarbeitern eine Abmahnung oder Kündigung zu erwirken?  

Ausführliche Infos zum Thema Arbeitszeitbetrug finden Sie in unserem Blog.

Welche Rechtsgrundlage greift bei der Auslagerung der Lohnbuchhaltung an ein externes Unternehmen?  

Eine Rechtsgrundlage braucht die verantwortliche Stelle erstmal nur für die Verarbeitung der personenbezogenen Daten. Das ist hier das Arbeitsverhältnis, Art. 6 Abs. lit.b DSGVO.

Die Weitergabe der Daten an das Lohnbüro ist entweder eine Auftragsverarbeitung nach Art. 28 DSGVO oder die Aufgabe wird in Form eines echten Auftrags /Vertrags zweckgebunden an ein selbständiges eigenes Unternehmen ausgelagert. Oft dürfte Letzteres der Fall sein, siehe auch Auslegungshilfe des BayLDA hierzu.

Hier wären dann vom verantwortlichen Arbeitgeber Zweckbindung und Vertraulichkeit zu den dabei berührten personenbezogenen Daten festzulegen.

Das bearbeitende Lohnbüro hat selbst eine Rechtsgrundlage, nämlich den Vertrag mit dem Arbeitgeber und muss sich vollumfänglich an die Vorgaben der DSGVO halten.

Stand: 28.02.2024

Muss ein Fitessstudio eine DSFA erstellen, wenn es smarte Geräte einsetzt, auf denen auch Gesundheitsdaten verarbeitet werden? 

Was ist überhaupt eine Datenschutzfolgeabschätzung (DSFA)?

Art. 35 DSGVO - Datenschutz-Folgenabschätzung

Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung‎ vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte --> Risikoanalyse!

Bei der Frage, ob ein Fitnessstudio eine eigene Datenschutz-Folgenabschätzung (DSFA) erstellen muss, wenn es Geräte verwendet, die Gesundheitsdaten verarbeiten und mit der Cloud eines Geräte-Anbieters verbunden sind, kommen mehrere Faktoren ins Spiel. Grundsätzlich dient eine DSFA dazu, die Datenschutzrisiken von Verarbeitungstätigkeiten zu identifizieren und zu mindern, insbesondere wenn es um sensible Daten wie Gesundheitsdaten nach Art. 9 DSGVO geht.

Nach der Datenschutz-Grundverordnung (DSGVO) ist eine DSFA insbesondere dann erforderlich, wenn die Art der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Natur, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Wenn der Gerätehersteller als datenschutzrechtlich Verantwortlicher für die Verarbeitung der Daten gilt und bereits eine DSFA erstellt hat, könnte das Fitnessstudio möglicherweise darauf verweisen, vorausgesetzt, die DSFA des Herstellers deckt alle relevanten Aspekte der Verarbeitung im Fitnessstudio ab. Es ist jedoch wichtig zu beachten, dass das Fitnessstudio als Nutzer dieser Geräte und als eigenständiger Verantwortlicher im Rahmen der DSGVO auch eigene Datenschutzpflichten hat. Dies könnte bedeuten, dass eine separate DSFA erforderlich ist, um spezifische Risiken zu bewerten, die durch die Nutzung der Geräte im Fitnessstudio entstehen könnten.

Thema Einwilligung:

Wenn Kunden direkt beim Geräte-Anbieter ihre Einwilligung erteilen und diese Einwilligung auch die Verarbeitung im Kontext des Fitnessstudios abdeckt, könnte eine zusätzliche Einwilligung durch das Fitnessstudio nicht notwendig sein. Allerdings muss sichergestellt sein, dass die Einwilligung alle notwendigen Informationen enthält, einschließlich der Tatsache, dass das Fitnessstudio die Daten im Rahmen seiner Dienste verwendet. Kunden müssen klar über die Verarbeitung ihrer Daten und die Verantwortlichen dafür informiert werden, vgl. Art. 13 DSGVO.

Folgende Voraussetzungen müssten erfüllt sein:

•Die DSFA des Geräte-Anbieters deckt auch die Verarbeitungstätigkeiten und Risiken ab, die sich aus der Nutzung der Geräte im Fitnessstudio ergeben

•Die Nutzer sind vollständig über die Rolle des Fitnessstudios bei der Verarbeitung ihrer Daten informiert

•Die Einwilligung, die beim Geräte-Anbieter erteilt wird, ist ausreichend umfassend und deckt auch die Datenverarbeitung im Fitnessstudio ab

•Bei der Verarbeitung werden die erforderlichen technischen und organisatorischen Maßnahmen ergriffen, sodass eine sichere Datenverarbeitung gewährleistet werden kann

Orientierungshilfe zur DSFA vom BayLDA

Stand: 28.02.2024

Was steht im OVG-Urteil  zur Verarbeitung von Geburtsdaten? 

Aus dem Sachverhalt – OVG Lüneburg – Beschluss vom 23.01.2024 (14 LA 1/24)

Die Klägerin, eine Betreiberin einer Online-Versandapotheke, hat gegen eine datenschutzrechtliche Anordnung geklagt, die es ihr untersagt, bestimmte Daten, einschließlich des Geburtsdatums und der Anrede der Kunden, im Bestellprozess zu erheben und zu verarbeiten. Der Ausgangspunkt dieser Auseinandersetzung war ein Bescheid vom 8. Januar 2019, in dem die Klägerin aufgefordert wurde, die Erhebung dieser Daten zu unterlassen, unabhängig von der Art des bestellten Medikaments.

Das Verwaltungsgericht Hannover wies die Klage am 9. November 2021 ab, gestützt auf Artikel 58 Absatz 2 Buchstabe d) der DSGVO und das Niedersächsische Datenschutzgesetz (NDSG). Das Gericht urteilte, dass die Praxis der Klägerin, das Geburtsdatum aller Kunden zu erfragen, gegen das Prinzip der Rechtmäßigkeit der DSGVO verstößt. Insbesondere sei keine Rechtsgrundlage ersichtlich, insbesondere nicht Art. 6 Abs. 1 lit.b), DSGVO. Es fand, dass weder die Überprüfung der Geschäftsfähigkeit noch die Durchführung einer altersgerechten Beratung die Erhebung des konkreten Geburtsdatums rechtfertigen. Eine einfache Abfrage der Volljährigkeit sei ausreichend für die Überprüfung der Geschäftsfähigkeit, und für eine altersgerechte Beratung müsste das Alter der Person, für die das Produkt bestimmt ist, erfasst werden, die nicht notwendigerweise mit dem Käufer übereinstimmen muss.

Des Weiteren argumentierte das Gericht, dass viele der von der Klägerin angebotenen Produkte altersunabhängig sind und daher keine altersabhängige Beratung erfordern. In Fällen, in denen das Geburtsdatum möglicherweise als Identifizierungskriterium benötigt wird, konnte die Klägerin nicht darlegen, dass sie das Geburtsdatum zu diesem Zweck benötigt.

Schließlich lehnte das Gericht die Argumentation ab, dass die Abfrage des Geburtsdatums auf einer gesetzlichen Verpflichtung beruhen könnte, da die Klägerin auf ihrer Website lediglich rezeptfreie Produkte anbietet, und eine Interessenabwägung nach Artikel 6 Absatz 1 Satz 1 lit. f DSGVO wurde als unnötig erachtet, da die Datenerhebung nicht als erforderlich angesehen wurde. Die Klägerin legte gegen dieses Urteil Berufung ein. Diese wurde nicht zugelassen.

Aus den Urteilsgründen – OVG Lüneburg – Beschluss vom 23.01.2024 (14 LA 1/24)

Die Klägerin argumentierte, dass die Erfassung des Geburtsdatums zur eindeutigen Identifikation der Kunden notwendig sei, um ihre Beratungs- und Informationspflichten gemäß der Apothekenbetriebsordnung zu erfüllen und um Arzneimitteldossiers anzulegen. Das Gericht fand jedoch, dass diese Argumente die angefochtene Entscheidung nicht ernsthaft in Frage stellen.

Das Gericht stellte klar, dass eine Identifikation des Bestellers nicht zwingend für die Erfüllung von Beratungspflichten erforderlich ist, sondern die Kenntnis über die Person, die das Medikament anwenden wird. Es wurde angeführt, dass die Verwendung von Geburtsdaten zur Unterscheidung von Kunden mit gleichem Namen nicht notwendig ist, da auch andere Informationen wie Anschrift und Telefonnummer für eine ausreichende Identifizierung zur Verfügung stehen.

In Bezug auf die Feststellung der Geschäftsfähigkeit der Kunden argumentierte das Gericht, dass die einfache Abfrage der Volljährigkeit ein milderes Mittel darstellt als die Erfassung des Geburtsdatums.

Die Klägerin konnte nicht ausreichend begründen, warum das Geburtsdatum für die Abwicklung von Rückabwicklungs- und Gewährleistungsansprüchen notwendig sein sollte, insbesondere da Name, Anschrift und Telefonnummer bekannt sind.

Die Argumentation, dass die Verarbeitung des Geburtsdatums zur Identifikation von Kunden, die ihre Rechte aus der DSGVO geltend machen, erforderlich sei, wurde ebenfalls zurückgewiesen. Das Gericht erklärte, dass eine routinemäßige Speicherung von Identifizierungsdaten zu diesem Zweck nicht von der DSGVO gedeckt ist.

Zusammenfassend stellte das OVG Lüneburg fest, dass die Einwände der Klägerin die Richtigkeit der angefochtenen Entscheidung nicht ernsthaft in Frage stellen, da die Erfassung des Geburtsdatums nicht als unabdingbare Voraussetzung für die Erfüllung der von ihr angeführten Zwecke gesehen wurde.

Stand: 28.02.2024

Auf welchem Weg muss ein Auskunftsbegehren beantwortet werden? 

Empfehlung des BayLDA:


„Die Auskunft wird grundsätzlich in Papierform oder in elektronischer Form bereitgestellt. Die auskunftsuchende Person kann angeben, welche Form sie bevorzugt. Die Datenschutz-Grundverordnung ist zudem offen für technische Lösungen, bei denen die auskunftssuchende Person die Auskunft in einem Auskunftsportal herunterladen kann (vgl. Erwägungsgrund 63 Satz 4 DSGVO).

Äußert die auskunftsuchende Person keine Wünsche hinsichtlich der Form, bestimmt der Verantwortliche diese nach pflichtgemäßem Ermessen, was § 83 Abs. 2 Satz 3 SGB X für seinen Anwendungsbereich ausdrücklich hervorhebt. Er wird das Ermessen so ausüben, dass verwaltungspragmatische und fiskalische Interessen, jedoch auch Art. 12 Abs. 1 DSGVO berücksichtigt sind. Der Verantwortliche muss durch geeignete technische und organisatorische Maßnahmen gewährleisten, dass die enthaltenen personenbezogenen Daten nicht Unbefugten zur Kenntnis gelangen (vgl. Art. 24, 32 DSGVO). Bei einer Bereitstellung in elektronischer Form ist eine geeignete Verschlüsselung vorzusehen. Der Schüssel muss auf einem gesonderten Weg kommuniziert werden (bei einer Bereitstellung verschlüsselter Dateien beispielsweise Zusendung des Passworts per Post). “ (vgl. BayLDA – Orientierungshilfe S. 46f).

Empfehlung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg:

„Eine Übermittlung personenbezogener Daten per „normaler“ (nicht-Ende-zu-Ende-verschlüsselter) E-Mail ist aus Datenschutzsicht problematisch (aber nicht in allen Fällen verboten). Sensible personenbezogene Daten dürfen hingegen nicht ohne Ende-zu-Ende-Verschlüsselung beauskunftet werden. Falls – was in den meisten Fällen der Fall sein wird – die betroffene Person keinen öffentlichen Schlüssel bereitstellt, mittels dessen die E-Mail vom Verantwortlichen an die betroffene Person verschlüsselt werden könnte, sind andere Wege zu suchen. Denkbar ist etwa die Übermittlung eines verschlüsselten PDF-Dokuments, wobei das zum Öffnen des Dokuments nötige Passwort über einen vertrauenswürdigen Kanal mitgeteilt werden muss. Einfacher gestaltet es sich, wenn das Auskunftsersuchen per De-Mail eingegangen ist. In diesem Fall ist es möglich, ohne zusätzliche Ende-zu-Ende-Verschlüsselung auch sensible personenbezogene Daten per De-Mail zu beauskunften.“ (vgl. Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg)

Best Practice:

•Die beste und sicherste Methode ist die Beantwortung des Auskunftsbegehrens über den Postweg

•E-Mail-Versand mit Ende-zu-Ende-Verschlüsselung (Sicherstellen, dass keine Dritte Zugriff auf das Postfach haben)

Übermittlung eines verschlüsselten PDF-Dokuments per E-Mail (das zum Öffnen des Dokuments benötigte Passwort sollte dabei gesondert über einen vertrauenswürdigen Kanal mitgeteilt werden)

•Versand per De-Mail

Stand: 21.02.2024

Wird mit der Insolvenz eines Unternehmens der DSB von seinen Aufgaben befreit? 

Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.

Ist die Bestellung eines kostenlosen Newsletters ein Vertrag? 

Die Bestellung eines kostenlosen Newsletters stellt in der Regel keine vertragliche Vereinbarung im Sinne des BGB dar, die einen Austausch von Leistungen und Gegenleistungen (wie Geld gegen Waren oder Dienstleistungen) beinhaltet.

Wir halten die Bestellung eines Newsletters für eine einseitige Willenserklärung, in der eine Person ihr Interesse erklärt, Informationen in Form eines Newsletters zu erhalten.

Der Versand eines Newsletters ist aber ein Telemediendienst nach dem Telemediengesetz, der damit auch der Impressumspflicht nach § 5 TMG unterliegt.

Zu denken wäre noch an den § 312 Abs. 1a BGB: demnach sind bestimmte Informationspflichten (auch Widerrufsbelehrung!) des BGB auch auf Verbraucherverträge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies gilt nicht, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet. Hier könnte man glauben, dass schon die Bereitstellung von Daten einen solchen Vertrag begründen. Das ist aber nicht der Fall: es braucht erst das Schuldverhältnis (also z.B. den Dienstleistungsvertrag) und dann die zusätzliche Anforderung, dass der Verbraucher dem Unternehmen personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Z.B. auf die Bereitstellung von White-Papers gegen Erhalt der E-Mail-Adresse dürfte das also zutreffen.

Datenschutzrechtlich ist der Bereitsteller des Newsletters aber natürlich trotzdem nach DSGVO verpflichtet. Die Rechtsgrundlage ist im Falle der Einwilligung Art. 6 Abs. 1 lit. a DSGVO. Alle Regelung zur ordnungsgemäßen Handhabung dieser Daten finden Anwendung.

Das Datenschutzrecht kennt also durchaus die Verarbeitung personenbezogener Daten ohne zugehörigen schuldrechtlichen Vertrag. Die einseitige Willenserklärung reicht aus.

Stand: 07.02.2024

Was versteht man als "Stand der Technik"? 

Ausführliche Informationen zum "Stand der Technik" finden Sie in unserem Blog.

Urteil zur Zahlung von Schadensersatz 

Aus dem Sachverhalt Urteil des ArbG Suhl (AZ: 6 Ca 704/23)

In dem vorliegenden Fall fordert der Kläger von der Beklagten Schadensersatz gemäß Artikel 82 Abs. 1 DSGVO. Der Kläger war vom Oktober 2020 bis Januar 2022 bei der Beklagten beschäftigt. Im Dezember 2021 forderte er Auskunft über die über ihn gespeicherten Daten, die ihm zunächst unverschlüsselt per E-Mail und später postalisch zugesandt wurden. Außerdem wurden seine Daten ohne Zustimmung an den Betriebsrat weitergeleitet.

Der Kläger beschwerte sich beim Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) über diese angeblichen Datenschutzverletzungen. Der TLfDI stellte fest, dass die unverschlüsselte Auskunftserteilung ein Verstoß gegen die DSGVO darstellt. Parallel führte der Kläger Verfahren vor dem Arbeitsgericht Suhl und später vor dem Landesarbeitsgericht Thüringen, in denen es u.a. um Schadenersatzansprüche nach DSGVO ging.

Der Kläger argumentiert, dass ihm aufgrund mehrerer erheblicher Verstöße gegen die DSGVO ein Schadensersatz in Höhe von mindestens 10.000 € zusteht. Er leitet seinen Anspruch aus immateriellen Schäden wie Kontrollverlust und Verletzung des Persönlichkeitsrechts ab. Der Kläger ist der Meinung, dass bereits ein Verstoß gegen die DSGVO für einen Schadensersatzanspruch ausreicht.

Die Beklagte fordert die Abweisung der Klage. Sie argumentiert, dass außer der unverschlüsselten E-Mail-Übermittlung kein weiterer DSGVO-Verstoß vorliege und bestreitet, dass dem Kläger ein kausaler Schaden entstanden sei. Die Beklagte hält den geforderten Schadensersatz für überzogen.

Aus den Urteilsgründen Urteil des ArbG Suhl (AZ: 6 Ca 704/23)

Ergebnis: Der Kläger hat keinen Anspruch auf Schadensersatz, da die erforderlichen gesetzlichen Voraussetzungen nicht erfüllt sind.

Trotz des Verstoßes der Beklagten gegen Art. 5 DSGVO durch den Versand einer unverschlüsselten E-Mail, welcher vom Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit bestätigt wurde, fehlt es an der Darlegung eines tatsächlichen Schadens beim Kläger. Der Europäische Gerichtshof (EuGH) hat entschieden, dass ein bloßer Verstoß gegen die DSGVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es ist erforderlich, dass ein konkreter Schaden entstanden ist und ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden besteht.

Der Kläger hat keinen konkreten immateriellen Schaden dargelegt. Ein bloßer, abstrakter Kontrollverlust stellt keinen konkreten immateriellen Schaden dar.

Stand: 07.02.2024

Schadensersatz wegen verspäteter Auskunft 

Aus dem Sachverhalt Urteil des AG Duisburg vom 03.11.2023 –AZ: 5 Ca 877/23)

Der Kläger bewarb sich am 14. März 2017 bei der Beklagten. Am 18. Mai 2023 forderte er von der Beklagten Auskunft über seine bei ihr gespeicherten Daten gemäß DSGVO und setzte eine Frist bis zum 2. Juni 2023. Nachdem die Beklagte nicht reagierte, erinnerte der Kläger sie am 3. Juni 2023 an sein Anliegen. Am 5. Juni 2023 erteilte die Beklagte eine Negativauskunft, dass keine Daten des Klägers gespeichert seien. Der Kläger hinterfragte die verspätete Auskunft und forderte am 13. Juni 2023 eine Geldentschädigung von 1.000 Euro wegen Verletzung des Artikels 12 DSGVO. Die Beklagte lehnte den Anspruch ab, woraufhin der Kläger am 18. Juni 2023 Klage einreichte.

Argumente des Klägers:

•Die Beklagte habe das Gebot der Unverzüglichkeit gemäß Art. 12 Abs. 3 DSGVO verletzt.

•Ein Zeitraum von mehr als einer Woche ohne besondere Umstände verstoße gegen das Gebot der Unverzüglichkeit.

•Der Kläger erlebte einen Kontrollverlust und emotionales Ungemach, insbesondere wegen seiner Sensibilität im Datenschutz nach einem Hacker-Angriff.

•Er verlangt eine Geldentschädigung mit abschreckender Wirkung, basierend auf den stabilen Umsätzen der Beklagten.

Argumente der Beklagten:

•Die Auskunft sei innerhalb der Monatsfrist des Art 12 Abs. 3 DSGVO erteilt worden.

•Aufgrund zahlreicher Auskunftsverlangen und der Notwendigkeit, sorgfältig zu prüfen, sei eine angemessene Zeit erforderlich.

•Das Auskunftsbegehren sei nicht eilbedürftig gewesen.

•Der Kläger habe keinen Schaden dargelegt.

•Die Beklagte verweist auf ihren „Code of Conduct“ und behauptet Rechtsmissbrauch durch den Kläger.

Aus den Entscheidungsgründen Urteil des AG Duisburg vom 03.11.2023 –AZ: 5 Ca 877/23)

Verstoß gegen DSGVO: Die Beklagte hat durch die späte Antwort auf die Auskunftsanfrage des Klägers vom 18. Mai 2023 gegen Art. 12 Abs. 3 DSGVO verstoßen.

Verzögerung der Auskunftserteilung: Die Beklagte antwortete erst nach 19 Kalendertagen, ohne besondere Umstände, die eine solche Verzögerung rechtfertigen würden.

Immaterieller Schaden: Durch die Verzögerung erlitt der Kläger einen Kontrollverlust über seine Daten, der als immaterieller Schaden anzusehen ist.

Bemessung des Schadensersatzes: Ein Betrag von 750 Euro wird als angemessener Schadensersatz betrachtet. Dabei wurden Art, Schwere und Dauer des Verstoßes, sowie die Finanzkraft der Beklagten berücksichtigt.

Rechtsmissbrauch: Die Klage des Klägers wird nicht als rechtsmissbräuchlich angesehen.

Fazit:
Der Kläger erhält eine Geldentschädigung von 750,- Euro aus Art. 82 DSGVO.

Hinweis: nach der Rechtsprechung des EuGH aus dem Jahr 2023 dürfte hier zu wenig zum Schaden vorgetragen sein. In der nächsten Instanz wird das Urteil dann aufgehoben werden.

Stand: 31.01.2024

Darf beim Newsletter-Versand ein Pixel zur anonymisierten Messung der Öffnungs- und Klickraten eingebunden werden? 

Nach § 25 TTDSG ist es im Grundsatz erforderlich, dass die Endnutzer ihre Einwilligung zur Speicherung von Informationen oder zum Zugriff auf Informationen, die bereits im Endgerät des Endnutzers gespeichert sind, geben müssen. Dies betrifft in der Regel Cookies und ähnliche Technologien, z.B. Fingerprinting.

Im beschriebenen Fall wird der Link zu einem Tracking-Pixel beim Öffnen des Newsletters genutzt, um das Pixel auf dem Server zu aktivieren. Es erfolgt keine direkte Speicherung auf dem Gerät des Nutzers. Allerdings:

„Web-Beacons und Links zu Trackingzwecken in E-Mails stellen ebenfalls Informationen („Übermittlung von Wissen“) dar, die auf Endgeräten der Empfänger gespeichert werden, sobald die Newsletter-E-Mail an sich auf einem Laptop, Smartphone, etc. gespeichert wird. Selbst wenn die E-Mail anfangs nur auf einem externen Server gespeichert und über einen Internet-Browser geöffnet wird, liegen die Voraussetzungen des § 25 Abs. 1 TTDSG vor. Denn auch von hier aus werden die Trackingmaßnahmen in Gang gesetzt.“, vgl. IT-Recht Kanzlei

Fazit

Bei der Verwendung eines Tracking-Pixels in Newslettern geht es um die Sammlung von personenbezogenen Daten darüber, ob eine E-Mail geöffnet wurde und ob auf darin enthaltene Links geklickt wurde.

Entsprechend muss gem. § 25 TTDSG die betroffene Person über die Verwendung von Tracking-Pixeln informiert werden und ihre Einwilligung dazu geben, es sei denn, es gibt eine andere rechtliche Grundlage für die Verarbeitung dieser Daten.

Mehr Infos

Wann muss ich als Vermieter die Selbstauskünfte von Mietern löschen? 

Personenbezogene Daten dürfen so lange aufbewahrt werden wie es nach Art. 5 Abs. 1 lit. b DSGVO erlaubt ist. Entfallen diese Gründe, ist die Zweckbindung nicht mehr gegeben und Unternehmen müssen die Daten entsprechend löschen. Dieser Pflicht zur Löschung stehen gesetzliche Aufbewahrungsfristen für personenbezogene Daten und anderen Daten gegenüber. Die Daten, die den Aufbewahrungsfristen unterliegen, werden nach den dafür festgelegten Fristen gelöscht bzw. vernichtet.

Vorliegend sind wir der Ansicht, dass während des Mietverhältnisses die Selbstauskunft nicht gelöscht werden muss, denn der ursprüngliche Zweck (Prüfung der Solvenz des Mieters) ist noch nicht entfallen. Nach dem Ende des Mietverhältnisses aber (sofern kein Rechtsstreit droht) wären diese Daten unverzüglich zu löschen.

Viele Infos dazu vom BayLDA

Stand: 24.01.2024

Darf man eine Weiterleitung der E-Mails eines ausgeschiedenen Mitarbeiters einrichten lassen? 

Unternehmen müssen im Umgang mit E-Mail-Accounts ausscheidender oder temporär abwesender Beschäftigter die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) beachten. Diese Regelungen erlauben die Verarbeitung personenbezogener Daten für Beschäftigungsverhältnisse unter bestimmten Bedingungen. Vor dem Ausscheiden sollten Beschäftigte private E-Mails aus ihrem Account entfernen. Betriebliche E-Mails können an eine Vertretung weitergeleitet oder gelöscht werden.

Die Weiterleitung von E-Mails nach dem Ausscheiden eines Mitarbeiters ist zulässig, wenn die Nutzung des E-Mail-Accounts ausschließlich betrieblichen Zwecken dient und die private Nutzung untersagt wurde.

Achtung: es gibt die Ansicht, dass man bei unerwartetem Eingang privater E-Mails auf betrieblichen Accounts eine Person bestimmen soll, die betriebliche von privaten E-Mails trennt und letztere unverzüglich löscht, um das Fernmeldegeheimnis zu wahren, so z.B. der Landesbeauftragte für Datenschutz in Bremen.

Im Ergebnis wird hier dann auch von einer Weiterleitung der E-Mails abgeraten, damit man nicht versehentlich als Arbeitgeber durch das Eingehen privater Mails das Fernmeldegeheimnis verletzt. Wir halten das für eine absolut falsche Rechtsansicht.

Wir vertreten folgende, in der juristischen Literatur vertretene Meinung:

„Hat der Arbeitgeber die Privatnutzung der betrieblichen Kommunikationsmittel ausdrücklich untersagt, greift § 3 nicht ein. Wie oben dargelegt, liegt bereits kein TK-Dienst iSv § 3 Nr. 61 TKG vor (→ Rn. 43). Eine Verpflichtung nach Abs. 2 S. 1 Nr. 1 und Nr. 3 scheidet auch deshalb aus, weil der Arbeitgeber keinen öffentlich zugänglichen TK-Dienst anbietet und kein öffentliches Telekommunikationsnetz betreibt, indem er seinen Mitarbeitern betriebliche Telekommunikationssysteme als Arbeitsmittel zur Verfügung stellt. Auf diese haben lediglich autorisierte Mitarbeiter und damit ein eindeutig abgrenzbarer Personenkreis Zugriff, sodass kein Angebot an die Öffentlichkeit vorliegt“, vgl. Gierschmann/Baumgartner/Baumgartner, 1. Aufl. 2023, TTDSG § 3 Rn. 46).

Stand: 24.01.2024

Urteil zum Thema Schadensersatz wegen rechtsgrundloser Datenübermittlung an die Schufa 

Aus dem Sachverhalt – Urteil des Hanseatischen Oberlandesgerichts vom 10.01.2024 (AZ: 13 U 70/23)

Ein Betroffener hatte ein Kreditkartenkonto bei der Barclays Bank. Nach Kontoauflösung forderte die Bank 1.472,54 €, was der Betroffene bestritt. Die Bank meldete die Forderung als Negativeintrag bei der Schufa, was zu einer Sperrung der Kreditkarte des Betroffenen und Ablehnung eines Kredits führte. Trotz Löschung des Eintrags durch die Schufa meldete die Bank die Forderung erneut.

Negativeinträge bei Auskunfteien wie der Schufa können erhebliche Beeinträchtigungen für betroffene Personen nach sich ziehen, indem sie die Kreditwürdigkeit negativ beeinflussen. Dies wurde auch durch den EuGH in einem Urteil vom 07.12.2023 (verb. Rs. C-26/22 und C-64/22) anerkannt.

Aus den Urteilsgründen – Urteil des Hanseatischen Oberlandesgerichts vom 10.01.2024 (AZ: 13 U 70/23)

Landgericht Hamburg:

Das Landgericht sprach dem Betroffenen 2.000,00 € immateriellen Schadensersatz gegen die Bank zu, da die Negativeinträge ohne Rechtsgrundlage, insbesondere auch ohne berechtigtes Interesse erfolgten.

Oberlandesgericht Hamburg:

Der Betroffene legte Berufung ein, da er den Schaden höher einschätzte. Das OLG erhöhte den Schadensersatz auf 4.000,00 €, da der Betroffene durch die Negativeinträge in seinem sozialen Ansehen beeinträchtigt wurde und weitere negative Konsequenzen erlitt.

Fazit:

Die Entscheidung ist ein echter Schritt im Verbraucherschutz. Die Entscheidung klärt, dass das Bestreiten einer Forderung ausreichend ist, um eine Meldung an die Schufa als vorsätzlichen Verstoß gegen die DSGVO zu werten.

Das OLG Hamburg stärkt mit der Entscheidung die Rechte Betroffener nach der DSGVO. Betroffene sollten umstrittene Forderungen bestreiten, um einen Schufa-Eintrag zu verhindern oder zumindest einen Schadensersatzprozess vorzubereiten. Negative Konsequenzen wie Kreditkündigungen sollten gut dokumentiert werden.

Stand: 24.01.2024

Sind die Datenschutzakkreditierungen der iapp ausreichend, um damit als Datenschutzbeauftragter arbeiten zu können? 

Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.

Welche Kontrollen bei Joint Controller Vereinbarungen sind zwingend notwendig? 

Unter Joint Controllership ist nach Art. 26 DSGVO die gemeinsame Verantwortlichkeit zu verstehen.

•„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche

Der der Website des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg gibt es eine gute Vorlage für ein Joint Controllership --> Vorlage

Die DSK hat ebenfalls ein Papier zum Thema Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DSGVOveröffentlicht.

Eine Besonderheit, die bei gemeinsamer Verantwortlichkeit berücksichtigen ist, ist das Thema Haftung:

Darüber hinaus sind im Falle gemeinsamer Verantwortlichkeit noch Besonderheiten in einigen weiteren Regelungsbereichen der DS-GVO zu beachten:  Jeder der gemeinsam Verantwortlichen haftet nach Art. 82 Abs. 4 in Verbindung mit Abs. 2 Satz 1 im Falle rechtswidriger Verarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann (Art. 82 Abs. 3). Die Verantwortlichen haften auch ohne eine Vereinbarung nach Art. 26 Abs. 1 gemeinschaftlich. Diese hilft aber beim Haftungsausgleich im Innenverhältnis nach Art. 82 Abs. 5. Fälle gemeinsamer Verantwortlichkeit können nicht selten zu einer Erhöhung der Risiken für die Rechte und Freiheiten betroffener Personen führen, so dass u. U. die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 geboten ist.“ (S. 4)

--> Um sicherzugehen, dass keine Haftungsthematik auftritt, ist vor Abschluss eines Vertrags mit gemeinsamer Verantwortlichkeit von jedem Verantwortlichen zu prüfen, ob alle erforderlichen Sicherheitsmaßnahmen zum Schutz der Verarbeitung der personenbezogenen Daten auf beiden Seiten getroffen sind (vergleichbar mit der Auswahl eines  kompetenten Auftragsverarbeiters)

Zusammenfassend gilt damit:

-Gemeinsam verantwortlich ist, wer zusammen mit einem anderen die Zwecke der und die Mittel zur Verarbeitung festlegt.

-Jeder der Beteiligtem ist der sog. „Herr der Daten“, jedoch muss die Mitverantwortlichkeit der Beteiligten nicht gleichwertig sein.

-Die Verantwortlichen haften auch ohne eine Vereinbarung nach Art. 26 Abs. 1 DSGVO gemeinschaftlich und gesamtschuldnerisch.

-Jeder der gemeinsam Verantwortlichen haftet nach Art. 82 Abs. 4 i.V.m. Abs. 2  Satz 1 DSGVO im Falle einer rechtswidrigen Verarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann Art. 82 Abs. 3.

-Das Gesetz schreibt keine Kontrollpflichten der Vertragspartner untereinander vor, jedoch sollten die Parteien im eigenen Interesse Kontrollmaßnahmen vereinbaren und vornehmen.

-Zudem sollte die Vereinbarung eine möglichst genaue Beschreibung der jeweiligen Verpflichtungen enthalten, um im Zweifelsfall das fehlende Verschulden für einen bestimmten Schaden nachweisen zu können.

Stand: 17.01.2024

EuGH-Entscheidung zur Verarbeitung von Gesundheitsdaten 

Mehr Informationen zum EuGH-Urteil zur Verarbeitung von Gesundheitsdaten am Arbeitsplatz in unserem Blog.

Der AI-Act 

Der Artificial Intelligence-Act wird von der Europäischen Kommission und dem Parlament verabschiedet werden. Mit dem AI-Act wird der Einsatz von Künstlicher Intelligenz europaweit geregelt. Das weltweit erste KI-Gesetz soll die Grundrechte sowie die Sicherheit von Menschen und Unternehmen schützen.

Ein wichtiger Beweggrund für die getroffenen Regelungen im KI-Gesetz ist die Sicherstellung von Urheberrechten. Außerdem werden Anwender von KI dazu verpflichtet, kenntlich zu machen, wenn Bilder, Texte oder Töne KI-generierten Inhalt darstellen.

Scharfe Regelungen gelten für „risikoreiche“ Anwendungen bei kritischen Infrastrukturbetreibern. Hier wird z.B.  vorgeschrieben, dass etwa für Sicherheitsbehörden, Personalverwaltungen und KRITIS-Betreibern eine menschliche Kontrollstelle eingerichtet sein muss und entsprechende Dokumentation und Risikomanagementmaßnahmen vorgehalten werden müssen.

Der Artificial Intelligence-Act betrifft Anwendungen und Entwicklung von KI-Systemen.

Die private Anwendung von KI-Systemen fällt nicht in den Anwendungsbereich des AI-Acts.

KI-Systeme werden durch den AI-Act in unterschiedliche Risikogruppen eingeteilt:  

• unannehmbares Risiko

• hohes Risiko

• begrenztes Risiko

• minimales und/oder kein Risiko

Ähnlich wie bei der DSGVO sollen bei Verstößen gegen die KI-Verordnung hohe Bußgelder verhängt werden können. Die maximale Grenze liegen hier bei 35 Millionen Euro bzw. 7 % des gesamten weltweiten Jahresumsatzes des Unternehmens.

Wichtig:

Alle Entwickler von KI-Basismodellen müssen v.a. „technische Dokumentationen“ erstellen, die Aufschluss  über Trainings- und Testverfahren geben. Sie müssen zudem nachweisen, dass sie urheberrechtliche Bestimmungen einhalten.

Entwicklern großer KI-Modelle mit sog. „systemischen Risiken“ werden weitere Verpflichtungen auferlegt, u.a. zum Risikomanagement und der IT-Sicherheit. Maßgeblich für die Einstufung ist die Rechenleistung, die zum Training der Modelle genutzt wird. Sie wird in sogenannten FLOPs (Floating Point Operations beziehungsweise „Gleitkommaoperationen“) gemessen.

Zur Gerichtserkennung: die KI-basierte biometrische Identifizierung von Personen im öffentlichen Raum wird möglich sein, allerdings unter engen Vorgaben: bei der gezielten Suche nach einzelnen Personen und dann, wenn Gefahr für Leib und Leben besteht oder ein Terroranschlag droht.

Stand: 10.01.2024

Umgang mit personenbezogenen Daten zur testweisen Neu-Berechnung von Gehältern 

Zum Sachverhalt:

Ein Unternehmen der IG Metall-Gruppe möchte gerne intern die Gehaltsstrukturen vereinheitlichen. Um die Auswirkungen der Verhandlungsforderungen zwischen dem Arbeitgeber und der IG-Metall genau zu sehen, möchte das Unternehmen die vorhandene HR-Abrechnungen mit allen Personaldaten komplett in eine gesicherte, virtuelle Maschine klonen.

Im kopierten System sollen die HR-Mitarbeiter Änderungen einpflegen können (andere Eingruppierung, Lohnerhöhung usw.) und dadurch eine testweise Abrechnung erzeugen, um diese mit der bisherigen Abrechnung zu vergleichen, um einen Erkenntnisgewinn über die Auswirkungen auf die Liquidität des Unternehmens zu erhalten.   

Nach der Auswertung der Ergebnisse soll das kopierte System gelöscht werden.
Ist das geplante Vorgehen datenschutzrechtlich zulässig?

Bei Personaldaten handelt es sich um personenbezogene Daten. Personenbezogene Daten dürfen nach Art. 5 DSGVO nur nach dem Prinzip Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz verarbeitet werden. Die Verarbeitung der Daten muss „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“. Außerdem ist stets sicherzustellen, dass „ eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“ gegeben ist.

Werden die personenbezogenen Daten nun für die interne Ergebnisberechnung geklont, sind aus unserer Sicht folgende Voraussetzungen sicherzustellen, um ein angemessenes Datenschutzniveau zu gewährleisten:

• der Zugriff darf nur für dedizierte HR-Mitarbeiter gegeben sein

• geeignete technische u. organisatorische Maßnahmen für die Datenumgebung sicherstellen

• die Zweckänderung der Datenverarbeitung für das Kopieren der Daten muss detailliert festgelegt werden, Art. 9 DSGVO (Religionszugehörigkeit auf Lohnabrechnung) muss berücksichtigt werden

• falls die Daten auf externen Rechnern/Servern (nicht unternehmensintern) verarbeitet werden, muss ein entsprechender Auftragsverarbeitungsvertrag geschlossen werden

• nach der Auswertung müssen die Daten unverzüglich gelöscht werden (auch in Back-ups/Archiven)

• (Vorübergehende) Aufnahme ins Verfahrensverzeichnis

Stand: 10.01.2024

EuGH-Urteil zur Bußgeldhaftung 

Im Dezember 2023 hat der EuGH grundlegende Rechtsfragen im Zusammenhang mit der Bußgeldhaftung für Datenschutzverstöße beantwortet. (Rechtssachen C-683/21 und C-807/21).

Die Deutsche Wohnen Immobiliengesellschaft ist ein Konzern, der mittels Tochterunternehmen Wohn- und Gewerbeeinheiten vermietet. Im Zuge der Vermietungen verarbeitet die Deutsche Wohnen zahlreiche personenbezogene Daten von Mietern, u.a. Identitätsnachweise, Steuer‑, Sozial- und Krankenversicherungsdaten dieser Mieter sowie Angaben zu Vormietverhältnissen. Im Rahmen einer Überprüfung durch die zuständige Aufsichtsbehörde forderte diese die Deutsche Wohnen Immobiliengesellschaft auf, diese Daten aus den elektronischen Archiven zu löschen, da diese nicht mehr nachvollziehbar benötigt wurden. Deutsche Wohnen verneinte jedoch diese Löschaufforderung, da dies technisch nicht möglich sei. Die Daten wurden von der Deutsche Wohnen auf ein neues Archivsystem migriert. Eine Löschung fand nicht statt. Daraufhin wurde von der Aufsichtsbehörde ein Bußgeld in Höhe von 14.385.000,- Euro an. Die Deutsche Wohnen ging gegen diesen Bußgeldbescheid vor, da dieser aus ihrer Sicht gravierende Mängel aufwies und legte dagegen Einspruch beim LG Berlin ein.

Das LG Berlin hob den Bußgeldbescheid auf. Die Staatsanwaltschaft hat diesen Beschluss dann angefochten. Das Kammergericht Berlin legte dem EuGH Vorlagefragen zur Klärung vor.

1. Muss bei Bußgeldverfahren immer festgestellt werden, dass es eine natürliche oder juristische Person war, die eine Ordnungswidrigkeit begangen hat, oder kann ein Bußgeldverfahren auch direkt gegen ein Unternehmen geführt werden?

2. Falls direkt gegen Unternehmen möglich: Muss das Unternehmen den durch einen Mitarbeitenden vermittelten Verstoß schuldhaft begangen haben, oder reicht für eine Bestrafung per Bußgeld des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß gegen die DSGVO aus („strict liability“)?

Aus den Urteilsgründen
Zur Vorlagefrage 1:

Eine Geldbuße gem. Art. 83 Abs. 4 bis 6 DSGVO kann auch unmittelbar gegen ein Unternehmen verhängt werden. Hauptgrund:  Der Begriff des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO sei weit definiert. Er umfasst auch juristische Personen (vgl. Rz. 39 des Urteils). Das bedeutet, „dass diese nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (vgl. Rz. 44 des Urteils). 

Zur Vorlagefrage 2:

Art. 83 DSGVO ist so auszulegen, dass „nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.“ Die Anforderungen hieran sind aber nicht zu hoch anzusetzen. Es reicht, wenn der Verantwortliche über die „Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte“. Hierbei sei es irrelevant, ob ihm der Verstoß gegen die DSGVO bewusst war oder ist (vgl. Rz. 76 des Urteils). Handlung oder Kenntnis eines Leitungsorgans ist nicht erforderlich!

Schlussfolgerung:

Die Hürde für die Verhängung von Bußgeldern wird angehoben. Der EuGH stellt klar, dass nachgewiesen werden muss, dass ein Fehlverhalten der verantwortlichen Person vorgelegen hat, um ein entsprechendes Bußgeld verhängen zu können. Ist sich der Verantwortliche nachweislich nicht über den Rechtsverstoß bewusst, kann keine Geldbuße verhängt werden.

Das Urteil wird dazu führen, das sich die Rechtsprechung zukünftig intensiv mit den Anforderungen an das Verschulden auseinandersetzen muss. Vor allem werden aber die Datenschutzbehörden vor Erlass eines Bußgeldbescheides nachzuweisen haben, dass ein fahrlässiges oder vorsätzliches Handeln vorliegt. Allein ein Verstoß gegen die DSGVO genügt demnach nicht.

Stand: 10.07.2024

Ist die Copilot-Funktion von Microsoft 365 datenschutzkonform einsetzbar? 

Ausführliche Informationen über Microsoft Copilot finden Sie in unserem Blog.

Können Betroffene immateriellen Schadensersatz bei Datenverlust geltend machen? 

Alle Infos zum EuGH-Urteil finden Sie in unserem Blog.

Welche Speicherdauer von Schufa-Stichproben-Anfragen ist gerechtfertigt?  

Stellt die  Schufa bei einer Firma eine Anfrage zu den Vermögensverhältnisse eines Kunden, da sie selbst wiederum eine Anfrage von dritter Stelle erhalten hat, dann  dürfen die von der Firma an die Schufa weitergeleiteten Daten (Name, Adresse, Geburtsdatum) im Rahmen der Stichproben-Anfrage nur so lange gespeichert werden, wie sie für den vorliegenden Zwecke benötigt werden.

Ist die Anfrage demnach abgeschlossen, kann eine Speicherung (wohl) nicht länger begründet werden.
Die Daten sind somit unverzüglich zu löschen, nach Art. 17 DGSVO.

Stand: 20.12.2023

40 Jahre Volkszählurteil  

Im Dezember 1983 hat das Bundesverfassungsgericht das Volkszählurteil zur informationellen Selbstbestimmung gefällt. Das nunmehr 40 Jahre alte Urteil ist heute nach wie vor von großer Wichtigkeit und bahnbrechend für die Entwicklung des Datenschutzrechts in den letzten Jahrzehnten.

Beweggrund für das Urteil war die zunehmende automatisierte Datenverarbeitung. Diese erforderte den Schutz des des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten.

Das Gericht stellte fest: Jedes Individuum hat das Recht, eigenständig über die Verwendung und Preisgabe seiner persönlichen Daten zu bestimmen. Diese informationelle Selbstbestimmung ist als Teil des allgemeinen Persönlichkeitsrechts ein Grundrecht.

Mehr Infos

Aus heutiger Sicht war die damalige Entscheidung des Gerichts durchaus visionär, da bereits damals Regelungen getroffen wurden für die automatisierte Datenverarbeitung, wie sie heute – auch im Hinblick auf KI-Anwendungen – stattfindet:

„Diese Befugnis bedarf unter den heutigen und künftigen Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes. Sie ist vor allem deshalb gefährdet, weil bei Entscheidungsprozessen nicht mehr wie früher auf manuell zusammengetragene Karteien und Akten zurückgegriffen werden muß, vielmehr heute mit Hilfe der automatischen Datenverarbeitung Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (personenbezogene Daten [vgl. § 2 Abs. 1 BDSG]) technisch gesehen unbegrenzt speicherbar und jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abrufbar sind. Sie können darüber hinaus - vor allem beim Aufbau integrierter Informationssysteme - mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne daß der Betroffene dessen Richtigkeit und Verwendung zureichend kontrollieren kann. Damit haben sich in einer bisher unbekannten Weise die Möglichkeiten einer Einsicht- und Einflußnahme erweitert, welche auf das Verhalten des Einzelnen schon durch den psychischen Druck öffentlicher Anteilnahme einzuwirken vermögen.“ (Vgl.  Volkszählurteil, RN 145 )

Stand: 20.12.2023

Muss ein Antrag auf Löschung von Mitarbeiterfotos im Social Media Unternehmens-Account schriftlich eingereicht werden? 

Alle Informationen zum Thema Einwilligung, Löschung von Fotos und Bildern und zum Thema Model-Release-Vertrag finden Sie in unserem Blog.

Was steht im EuGH-Urteil zum Schufa-Scoring? 

Der EuGH hatte am 07. Dezember 2023 über zwei Vorlagefragen bzgl. des Scorings bei der Schufa entschieden. Grund für die Entscheidung war eine Klage einer Betroffenen, die aufgrund ihres automatisiert berechneten Schufa-Scores keinen Kredit bei ihrer Bank erhielt. Auch auf Nachfrage wurde der Kundin keine eindeutige Auskunft erteilt, wie ihr Schufa-Score genau berechnet wurde. Auch ihre anschließende Beschwerde bei dem Hessischen Datenschutzbeauftragten über die eingeschränkt mitgeteilten Informationen seitens der Schufa blieben erfolglos. Daraufhin wurde das Verwaltungsgericht eingeschaltet. Das Verwaltungsgericht hat die Entscheidung dem EuGH vorgelegt mit der Bitte um Überprüfung, ob das Vorgehen der Schufa datenschutzkonform sei.

Der EuGH ist nun zu dem Schluss gekommen, dass das Schufa-Scoring unter bestimmten Umständen gegen Art. 22 DSGVO verstößt, da nicht allein aufgrund von automatisiert verarbeiteten Daten wichtige Entscheidungen getroffen werden dürften, ob jemand beispielsweise einen Kredit erhält oder nicht. Erlaubt sei ein solches Verfahren nur, wenn nationale Gesetze dieses ausdrücklich mit einer Ausnahmevorschrift erlauben. Nun ist zu prüfen, ob die Ausnahmevorschrift, dass Unternehmen wichtige Vertragsentscheidungen allein auf automatisierte – und nicht durch Menschen begleitete – Verfahren stützen dürfen,  so wie sie derzeit im BDSG geregelt ist, überhaupt zulässig ist.

Die Urteile des EuGH zeigen nicht nur, dass sich die SCHUFA an die gesetzlichen Regelungen zur (rechtzeitigen!) Löschung halten muss. Sie zeigen auch, dass die Entscheidungen der Datenschutz-Aufsichtsbehörden vollumfänglich einer gerichtlichen Prüfung unterzogen werden können. In den zwei Rechtsstreitigkeiten (Rechtssache C‑26/22 und C‑64/22) hatte sich nämlich der Hessische Beauftragten für Datenschutz und Informationsfreiheit geweigert, bei der SCHUFA auf Löschung von bei ihm gespeicherten Daten betreffend Restschuldbefreiungen zugunsten von zwei Bürgern hinzuwirken.

Der EuGH sagt hierzu: Rechtsverbindliche Beschlüsse von Aufsichtsbehörde unterliegen einer vollständigen inhaltlichen Überprüfung durch ein Gericht. 

Stand: 13.12.2023

Braucht man die Einwilligung von Mitarbeitern, wenn das Werkstor per automatischer Videoüberwachung geöffnet wird? 

Wird der Zutritts- bzw. Zufahrtsbereich eines Werkgeländes zur Öffnung des Tores überwacht, kann die Videoüberwachung auf die Rechtsgrundlage nach Art. 6 Abs. 1 lit. f) DSGVO gestützt werden, da es sich hier um ein berechtigtes Interesse handeln kann.

Demnach ist eine Videoüberwachung zulässig, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht die Interessen oder Grundreche und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Kann man all das bejahen, ist eine gesonderte Einwilligung der Mitarbeiter hierfür nicht einzuholen.

Dennoch sind die Informationspflichten nach Art. 13 DSGVO einzuhalten, d.h. ein entsprechendes Schild mit den Eckdaten zur Videoüberwachung ist gut sichtbar an der Einfahrt zum Werksgelände auf Augenhöhe anzubringen, sodass sowohl Mitarbeiter als auch externe Besucher über die Videoüberwachung zum Zwecke der Einlasskontrolle informiert werden.

Beispiel für ein Hinweisschild nach Art. 13 DSGVO vom BayLDA

Weitere Orientierung von der DSK hier und hier 

Stand: 06.12.2023

Darf bei einer Videobesprechung eine Text-Protokollierung stattfinden? 

Zum Sachverhalt:

Person P nutzt bei einer Video-Besprechung eine Anwendung, die die Tonaufnahmen „mitschneidet“ und daraus ein Protokoll erstellt. P informiert die weiteren, an der Besprechung teilnehmenden Personen nicht über den Mitschnitt bzw. den Einsatz der Software. Die „Mitschnitt“ ist nicht abhörbar, sondern nur als Text im Protokoll lesbar. 

•Ist das erlaubt?

Eine Aufzeichnung eines Gesprächs, ohne alle Gesprächspartner davon in Kenntnis zu setzen, könnte eine Straftat sein, weil vielleicht eine Verletzung der Vertraulichkeit des Wortes stattfindet.

Strafgesetzbuch (StGB) - § 201 Verletzung der Vertraulichkeit des Wortes

(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer unbefugt

1. das nichtöffentlich gesprochene Wort eines anderen auf einen Tonträger aufnimmt oder

2. eine so hergestellte Aufnahme gebraucht oder einem Dritten zugänglich macht.

Aber: liegen durch die automatisierte Protokollierung eine „Aufnahme“ und „ein Tonträger“ iSd. § 201 StGB gegeben?

„Das Schutzgut aller Tatbestände des § 201 StGB ist das nicht öffentlich gesprochene Wort eines Menschen. Nicht öffentlich ist das Wort, wenn es nach dem Willen des Sprechers nicht an eine nach Zahl und Individualität unbestimmten Kreis von Personen gerichtet und auch objektiv für einen solchen verstehenden Mithörens wahrnehmbar ist. Auf die Öffentlichkeit des Ortes, an dem gesprochen wird, oder auf den dienstlichen oder privaten Charakter der Äußerung kommt es nicht an.“ Aus: Kramer IT-ArbR, § 5 IT-Arbeitsstrafrecht Rn. 83, beck-online

Achtung:

„Aufgenommen ist das gesprochene Wort, wenn eine akustische Wiedergabe möglich ist.“ (Kramer IT-ArbR, § 5 IT-Arbeitsstrafrecht Rn. 85, beck-online) à  Das heißt: § 201 StGB ist tatbestandlich nur erfüllt, wenn die Aufnahme nochmal akustisch abgespielt werden kann.

Es gibt aber auch eine andere Ansicht:

„Der Einsatz von KI-Sprachassistenzsystemen kann uU eine Strafbarkeit nach § 201 StGB (Verletzung der Vertraulichkeit des Wortes) begründen. Bei Sprachassistenzsystemen wird das gesprochene Wort aufgezeichnet und mittels KI-Texterkennung analysiert. Hierfür werden teilweise die Audio-Datei und der transkribierte Text gespeichert. Mitarbeiter der Unternehmen, die das jeweilige Sprachassistenzsystem anbieten, haben uU Zugriff auf die anonymisierten Tonaufnahmen.“(Hoeren/Sieber/Holznagel MMR-HdB, Teil 29 Rn. 23, beck-online)

Wie auch immer: Einwilligung der Teilnehmer ist einzuholen!

Werden die Teilnehmer der Videobesprechung vorab über die Aufzeichnung und automatische Textprotokollierung des Gesprächs informiert und willigen diese ausdrücklich ein, ist die Aufzeichnung erlaubt.

Die automatisierte Verarbeitung über eine entsprechend zertifizierte Software muss dahingehend geprüft werden, dass die Verarbeitung  personenbezogener Daten den Grundsätzen der DSGVO entsprechen und die technischen und organisatorischen Maßnahmen entsprechend berücksichtigt werden.

Stand: 06.12.2023

Was ist das "Nikolaus-Urteil"? 

Am Nikolaustag 2005 hatte das Bundesverfassungsgericht über eine Verfassungsbeschwerde entschieden, die seitdem als Nikolausurteil bezeichnet wird. Im Rahmen der Verfassungsbeschwerde hat der Beschwerdeführer erfolgreich für die Übernahme seiner Behandlungskosten für eine neue Behandlungsmethode geklagt.

Der Beschwerdeführer litt an der Duchenne´schen Muskeldystrophie. Im Rahmen seiner Behandlung erhielt der Versicherte  homöopathische Mittel, Zytoplasma und Thymuspeptide und eine Therapie mit hochfrequenten Schwingungen. Die Krankenhasse verweigerte die Übernahme der Kosten, da keine wissenschaftlich nachgewiesenen Erfolge der Behandlungsmethode nachgewiesen waren. Die Klage beim Sozialgericht und Bundesozialgericht blieb erfolglos, weshalb Verfassungsbeschwerde beim Bundesverfassungsgericht eingelegt wurde. Das Bundesverfassungsgericht bestätigte dem Kläger, dass die Kosten für seine Behandlungsmethode von der gesetzlichen Krankenversicherung übernommen werden musste, da hier eine mögliche Aussicht auf Heilung bzw. spürbar positive Wirkung auf den Krankheitsverlauf bestanden habe.

Der sog. „Nikolaus-Beschluss“ ist bis heute wegweisend. Zahlreiche Entscheidungen sind seitdem aufgrund der Voraussetzungen des Nikolaus-Beschlusses ergangen --> Übersicht der Entscheidungen
Mehr Infos zum Nikolausurteil vom 06.12.2005 - Az.: 1 BvR 347/98

Stand: 06.12.2023

Wir setzen Mitarbeiter auch bei Kunden ein. Wann ist das datenschutzrechtlich zulässig?  

Wenn es sich um ein Arbeitsverhältnis handelt, in dem aus dem Vertrag klar hervorgeht, dass die Vermittlung der Arbeitskraft Bestandteil ist der Arbeit, dann ist es sowieso schon Teil des Arbeitsvertrags und man braucht keine zusätzliche Einwilligung. 

Für den Fall, dass es ein ganz normales Arbeitsverhältnis ist und es im Arbeitsvertrag nicht geregelt ist, dass die Mitarbeiter auch vermittelt werden sollen (Zweck der Datenverarbeitung!), dann muss die Einwilligung eingeholt werden, dass die Vermittlung stattfindet und die Klarnamen des Mitarbeiters auf den jeweiligen Vermittlungsplattformen veröffentlicht werden.

Egal welche Variante: Die Informationspflichten nach Art. 13 DSGVO müssen immer erfüllt werden, d.h. die Mitarbeiter-Datenschutzerklärung nach Art. 13 DSGVO muss die entsprechenden Informationen hinsichtlich der Weitergabe der Daten an die Plattformen enthalten.

Stand: 29.11.2023

Auf welcher Rechtsgrundlage können Ermittlungsbehörden von Banken die Herausgabe personenbezogener Daten verlangen? 

Zum Sachverhalt:

Der */die Beschuldigte hat einen Einkauf mit Karte getätigt, aber gemäß Videoüberwachung nicht alles aufs Band gelegt und wird nun wegen Diebstahls bezichtigt. Man erkennt aufgrund der Buchungsbelege, um welche Bank es sich handelt. Der Kaufmann stellt Strafanzeige wegen Diebstahls. Nun ermittelt die Kripo.

• Auf welcher Rechtsgrundlage darf die Bank die Daten an die ermittelnde Polizei übermitteln?

• Muss bzw. darf die Bank die Betroffene vor Übermittlung informieren?

Ist hier die DSGVO überhaupt anwendbar?

Gem. Art. 2 Abs. 2 Buchst. d DGSVO findet die DSGVO keine Anwendung auf Verarbeitungen von personenbezogenen Daten, die durch „die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“ verarbeitet werden.

Stattdessen gelten u.a. die §§ 45 ff. des BDSG.

Aber: diese regeln den Umgang mit den Daten durch die Behörde selbst (in ihrer Funktion als eigener Verantwortlicher).

Die §§ 45 ff. des BDSG regeln nicht, ob und wie ein Unternehmen in diesem Zusammenhang Daten verarbeiten darf. Hier bleibt das Unternehmen selbst Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.

Daher ist der Anwendungsbereich der DSGVO eröffnet.

Art. 6 Abs. 1 lit. c DSGVO:

Es braucht also eine Rechtspflicht aus gesetzlichen Vorgaben; Der DSGVO-Kommentar Gola/Heckmann, 3. Auflage 2022, Rz. 46 sagt dazu: „Auskunftsersuchen von Ermittlungsbehörden muss nur Folge geleistet werden, wenn ein Fall des § 163 Abs. 3 StPO vorliegt“.

Wie ist ein Ermittlungsverfahren aufgebaut? --> Mehr Infos hier

Ist für die Aufklärung einer Straftat die  Übermittlung von Daten relevant, kommt als Rechtsgrundlage der Tatbestand des § 24 Abs. 1 Nr. 1 Bundesdatenschutzgesetz (BDSG) in Betracht. 

Muss die Bank einen strafrechtlich Verdächtigen gem. Art. 13 DSGVO von der Weitergabe der personenbezogenen Daten informieren?

Die DSGVO stellt immer die Rechte der Betroffenen in den Vordergrund.

Aber: Datenschutz ist kein Täterschutz! (siehe z.B. Urteil des LAG Niedersachsen vom 6. Juli 2022 (Az. 8 Sa 1148/20)

Im Zuge einer Strafermittlung müssen die betroffenen Personen nicht über die Datenübermittlung an die Polizei informiert werden. Gem. Art. 2 Abs. 2 Buchst. d DGSVO findet die DSGVO keine Anwendung auf Verarbeitungen von personenbezogenen Daten, die durch „die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“ verarbeitet werden.

Normalerweise ist gem. Art. 14 DSGVO die Verantwortliche Stelle dazu verpflichtet, Betroffene über die Weitergabe ihrer personenbezogener Daten informieren. Es gibt jedoch Ausnahmen. Unter bestimmten Voraussetzungen ist der Verantwortliche von der Informationspflicht befreit, bspw. wenn es sich um ein laufendes Strafverfahren handelt, im Zuge dessen die Polizei die Weitergabe von personenbezogenen Daten fordert. Hier findet folgende gesetzliche Regelung Anwendung:

Fazit:

Im Falle eines Strafverfahrens muss die Information zur Weitergabe der personenbezogenen Daten nach Art. 14 DSGVO nicht an die betroffene Person erfolgen, vgl. § 33 Abs. 1 Ziff. 2b) BDSG.

Stand: 13.12.2023

Wann können Unternehmen und Behörden eine Auskunft nach Art. 15 DSGVO verweigern? 

Dem Grundsatz nach hat jede betroffene Person eine Recht auf Auskunft nach Art. 15 DSGVO.

Unter bestimmten Voraussetzungen können jedoch andere Vorschriften überwiegen, sodass das Recht auf Auskunft unter bestimmten Voraussetzungen auch verweigert werden kann.

Der Bayerische Landesbeauftragte für den Datenschutz vertritt in der Orientierungshilfe „Das Recht auf Auskunft nach der Datenschutz-Grundverordnung“ folgende Position:

„(2) Vertraulichkeitsgrund: Gefährdung der öffentlichen Sicherheit

Ein weiterer Vertraulichkeitsgrund besteht, soweit die Erteilung der Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde (§ 83 Abs. 1 Nr. 1, § 82a Abs. 1 Nr. 1 Buchst. b SGB X, Parallelregelung: § 34 Abs. 1 Nr. 1, § 33 Abs. 1 Nr. 1 Buchst. b BDSG)."

Hier muss die Prognose für den Fall der Beauskunftung eine hinreichende Wahrscheinlichkeit ergeben, dass es zu einem Schaden hinsichtlich eines Schutzguts der öffentlichen Sicherheit oder Ordnung kommen oder ein Nachteil für das Wohl des Bundes oder eines Landes eintreten wird. Der Begriff der öffentlichen Sicherheit oder Ordnung ist unionsrechtlich zu verstehen.

Der Ausschluss eines Zugangsanspruchs zielt darauf, Informationsflüsse zu verhindern, welche die innere oder äußere Sicherheit des Bundes oder eines Landes gefährden können. Auch bei diesem Vertraulichkeitsgrund dürfte es insbesondere auf das Verhalten ankommen, das die betroffene Person oder ein von ihr informierter Dritter voraussichtlich an den Tag legen wird. Im Unterschied zu § 82a Abs. 1 Nr. 1 Buchst. a SGB X muss sich dieses Verhalten aber nicht gegen den Verantwortlichen richten.“ (vgl. S. 28)

In einer Veröffentlichung des Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg wird folgende Auffassung vertreten:

Rechtsmissbräuchliche Auskunftsverlangen

Exzessiv im Sinne von Artikel 12 Absatz 5 Satz 2 DS-GVO ist ein Auskunftsantrag nach Artikel 15 DS-GVO, wenn diesem ein rechtsmissbräuchliches Verhalten des Antragsstellers zu Grunde liegt. Dies kann insbesondere bei häufigen Wiederholungen des Auskunftsersuchens innerhalb eines kurzen Zeitraums der Fall sein. Rechtsmissbräuchlich kann zudem ein Antrag sein, wenn ein Antragsteller vorrangig das Ziel verfolgt, eine Gemeinde zu schädigen oder bei der Wahrnehmung ihrer Aufgaben zu behindern.“ (vgl. S.57)

Welche Kriterien müssen erfüllt sein, damit Auskunft nach Art. 15 DSGVO verweigert werden?

Laut der Veröffentlichung des Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg kann die Auskunft verweigert werden, wenn bspw. folgende Fälle vorliegen:

•Beschränkungsgründe (z.B. Gefährdung der Sicherheit, Straftatverfolgung etc.)

•Präzisierung des Auskunftsverlangens

•Große Menge an Informationen

•Unzumutbarer Aufwand

Wird ein Auskunftsersuchen abgelehnt, muss diese auch entsprechend begründet werden.

 (vgl. S.58f.)

Fazit

Liegt demnach ein Verdacht nahe, dass die betroffene Person, die Auskunft verlangt z.B. aktuell in Strafverfahren verwickelt ist oder z.B. der Reichsbürgerszene angehört (die in Deutschland als verfassungswidrig gilt), kann der betroffenen Person das Recht auf Auskunft verwehrt werden, wenn zu befürchten ist, dass dadurch die öffentliche Sicherheit gefährdet werden könnte.

Eine Abwägung ist in jedem Falle durchzuführen.
Stand: 13.12.2023

Wie hoch sind die von den Gerichten angesetzten Streitwerte bei Auskunftsklagen nach Art. 15 DSGVO? 

Das Recht auf Auskunft steht jedem Betroffenen zu. Inwiefern bei nicht vollständiger oder falscher Auskunft ein Schadensersatzanspruch abgeleitet werden kann, ist allerdings fraglich, die Gerichte entscheiden hier sehr unterschiedlich. 

Die von Gerichten angesetzten Streitwerte bei Auskunftsklagen nach Art. 15 DSGVO variieren stark.

Der höchste Betrag liegt bei 358.466 Euro (LG München I, Endurteil v. 06.04.2020 – 3 O 909/19 - Anspruch auf Kopien personenbezogener Daten im Zusammenhang mit einer Anlagevermittlung), der geringste Betrag bei 100,- Euro.

--> Die meisten werden jedoch v.a. im Jahr 2023 mit einem relativ geringen Streitwert von 500,- Euro angesetzt.

Stand: 29.11.2023

Kartellbehörde in U.K. prüft Pläne zur IP-Verschleierung in Chrome 

Google plant Online-Marketer durch die Anonymisierung von IP-Adressen daran zu hindern, Chrome-Nutzer über verschiedene Websites hinweg verfolgen zu können.

Das Movement for an Open Web (MOW) ist eine Organisation, die sich gegen Googles Privacy-Sandbox-Initiative eingesetzt hat. MOW behauptet, die IP-Verschleierung sei schädlich für konkurrierende Internet-Werbeunternehmen. MOW hat demnach bei der britischen Wettbewerbs- und Marktaufsichtsbehörde (CMA) eine Beschwerde über Googles IP-Schutz-Vorschlag eingereicht.

IP Protection, oder auch als "ip-blindness" oder "Gnatcatcher" bezeichnet, ist ein Proxy-System, das Apples Privacy Relay ähnelt. Es soll die Verbindungen des Chrome-Browsers über zwei Proxys laufen lassen, einen von Google und einen von einem Drittanbieter, so dass die wahre öffentliche IP-Adresse des Nutzers verschleiert wird.

Der IP-Schutz wird voraussichtlich in einer zukünftigen Version von Chrome erscheinen, möglicherweise schon im Januar 2024 mit dem Debüt von Chrome 122.

Funktionsweise:

Der von Google betriebene Proxy kann die IP-Adresse des Nutzers beobachten, nicht aber die besuchten Websites. Der Proxy eines Drittanbieters kann die besuchten Webserver sehen, nicht aber die IP-Adresse des Besuchers.

Durch die Trennung der IP-Adresse des Nutzers vom Zielort des Nutzers durch den Google-Dienst können Websites und Vermittler (ohne zusätzliche Informationen) die IP-Adressen von Personen nicht mit ihren Surfgewohnheiten verknüpfen, um Marketingprofile zu erstellen.

Anfänglich wird der IP-Schutz auf freiwilliger Basis erfolgen, aber Google beabsichtigt, ihn zur Standardeinstellung für den Chrome-Browser zu machen.

Stand: 15.11.2023

Wie ist die Lage der IT-Sicherheit in Deutschland 2023? 

Ende Oktober wurde der BSI-Bericht für das Jahr 2023 veröffentlicht. Die Cybersicherheitsbehörde kommt ganz klar zu dem Schluss: Die Bedrohung durch Cybercrime ist extrem gestiegen und so hoch wie noch nie.

„Die anhaltende Digitalisierung und zunehmende Vernetzung vergrößert die Angriffsflächen – und diese werden genutzt. Im Bericht verzeichnen wir einen Anstieg der Bedrohung im Bereich Schwachstellen. So werden täglich knapp 70 neue Schwachstellen in Softwareprodukten entdeckt – rund 25 Prozent mehr als im vorherigen Berichtszeitraum. Auch die rasante Weiterentwicklung neuer und angepasster Angriffsmethoden und der zunehmende Dienstleistungscharakter (Cybercrime-as-a-Service) sind besorgniserregend. Dabei bleibt Ransomware die Hauptbedrohung(vgl. BSI-Bericht, S. 5)

Meist werden Cyberangriffe mithilfe von Schadprogrammen ausgeführt, u.a. durch E-Mail-Anhang, maliziöse Webserver, Exploit usw.). Täglich kommen mehrere neue Schadprogramm dazu.

Stand: 15.11.2023

Dürfen Dopingergebnisse von Profisportlern veröffentlicht werden? 

Rechtssache C‑115/22

Aus dem Sachverhalt:

Einer österreichische Mittelstreckenlauf-Profisportlerin wurden wegen eines begangenen Dopingverstoßes für schuldig befunden. Daraufhin wurden ihr Preisgelder aberkannt und ihre Ergebnisse für ungültig erklärt, die in den Zeitraum der positiv getesteten Ergebnisse fielen. Zudem wurde eine Wettbewerbs- und Teilnahmesperre von 4 Jahren verhängt.

Die Ergebnisse des Doping-Verstoßes, welche Mittel die Sportlerin eingenommen bzw. besessen hatte, wurden von der NADA (= Unabhängige Dopingkontrolleinrichtung) in Zusammenhang mit dem Klarnamen der Sportlerin auf der Website der NADA veröffentlicht. Die Sportlerin stelle daraufhin den Antrag, dass ihre personenbezogenen Daten von der Website entfernt werden sollen. Daraufhin hatte die Unabhängigen Schiedskommission (USK) dem Gerichtshof Vorabentscheidungsfragen vorgelegt:

Fragen zur Vorabentscheidung - Rechtssache C‑115/22

"1. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um „Gesundheitsdaten“ im Sinne von Art. 9 DS-GVO?

2.      Steht die DS-GVO – insbesondere im Hinblick auf Art. 6 Abs. 3 zweiter Unterabsatz DS-GVO – einer nationalen Regelung entgegen, welche die Veröffentlichung des Namens der von der Entscheidung der USK betroffenen Personen, der Dauer der Sperre und Gründe hierfür vorsieht, ohne dass auf Gesundheitsdaten der betroffenen Person rückgeschlossen werden kann? Spielt es dabei eine Rolle, dass eine Veröffentlichung dieser Informationen gegenüber der Allgemeinheit laut der nationalen Regelung nur dann unterbleiben kann, wenn es sich beim Betroffenen um einen Freizeitsportler, eine minderjährige Person oder eine Person handelt, die durch die Bekanntgabe von Informationen oder sonstigen Hinweisen wesentlich zu der Aufdeckung von potenziellen Anti-Doping-Verstößen beigetragen hat?

3.      Verlangt die DS-GVO – insbesondere im Hinblick auf die Grundsätze des Art. 5 Abs. 1 Buchst. a und c DS-GVO – vor der Veröffentlichung in jedem Fall eine Interessenabwägung der mit einer Veröffentlichung für den Betroffenen berührten Persönlichkeitsinteressen einerseits und dem Interesse der Allgemeinheit an der Information über den von einem Sportler begangenen Anti-Doping-Verstoß andererseits?

4.      Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um eine Verarbeitung persönlicher Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DS-GVO?

5.      Bei Bejahung der Frage 4: Handelt es sich bei der gemäß § 8 des ADBG 2021 eingerichteten USK um eine Behörde im Sinne von Art. 10 DS-GVO?“

Aus den Urteilsgründen

Zur Vorlagefrage 1:

"1. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um „Gesundheitsdaten“ im Sinne von Art. 9 DS-GVO?“

Die Einnahme von verbotenen Dopingsubstanzen sagt per se nichts über den Gesundheitszustand im Sinne von Art. 9 DSGVO aus, da hierbei weder auf den geistigen oder körperlichen Gesundheitszustand Rückschlüsse gezogen werden können. Bei der Veröffentlichung des Verstoßes gegen die Anti-Doping-Regeln findet Art. 9 DSGVO demnach keine Anwendung.

Zur Vorlagefrage 3:

"Verlangt die DS-GVO – insbesondere im Hinblick auf die Grundsätze des Art. 5 Abs. 1 Buchst. a und c DS-GVO – vor der Veröffentlichung in jedem Fall eine Interessenabwägung der mit einer Veröffentlichung für den Betroffenen berührten Persönlichkeitsinteressen einerseits und dem Interesse der Allgemeinheit an der Information über den von einem Sportler begangenen Anti-Doping-Verstoß andererseits?“

Aufgabe der NADA ist es, gesperrte Sportler zu listen und die Gründe und Dauer der Sperrung darzulegen. Eine Interessensabwägung ist in diesem Fall nicht notwendig, da es bei der Veröffentlichung auch um eine präventive Maßnahme handle, andere Sportler vor Doping-Missbrauch zu warnen und abzuschrecken. Eine anonyme Veröffentlichung und kürzere Dauer von Sperren hätten für andere Sportler keine derart abschreckende Wirkung.

Zur Vorlagefrage 4:

"Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um eine Verarbeitung persönlicher Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DS-GVO?“

Die Einnahme von verbotenen Dopingmitteln und insbesondere der Besitz von verbotenen Mitteln stellt in Kombination mit der Sperre und der Aberkennung von Preisgeldern und Titeln eine Straftat dar. Neben der Sanktion der Sportlerin soll das Verfahren auch für andere Sportler eine abschreckende Wirkung haben. Die Datenverarbeitung fällt somit unter Art. 10 DSGVO.

Stand: 15.11.2023

Fahrtauglichkeits-Check für alle ab 70: Datenschutzrechtliche Gegenargumente 

Derzeit wird in der EU diskutiert, ob Menschen ab einem Alter von 70 Jahren regelmäßig einem Fahrtauglichkeits-Check unterziehen müssen, um die Fahrtüchtigkeit zu überprüfen. Sollte der Check negativ ausfallen, könnte somit ein Entzug des Führerscheins einhergehen. In einigen  europäischen Ländern ist eine solche Vorgehensweise derzeit bereits üblich.


Der deutsche Verkehrsminister sowie der ADAC sieht verpflichtende Fahrtauglichkeits-Checks jedoch kritisch, zumal keine signifikanten Unfallstatistiken vorhanden seien, die älteren Fahrern zuzuschreiben wären.

Auch aus datenschutzrechtlicher Sicht sind solche verpflichtenden Tests oder auch die Pflicht von Ärzten, Auffälligkeiten zu melden kritisch zu sehen, da es sich hier um die Verarbeitung von besonders schützenswerten Daten nach Art. 9 DSGVO handle.

Mehr Infos dazu vom ADAC

Der Plan der EU für Führerscheintests für Menschen ab 70 ist statistisch nicht gerechtfertigt, denn 14,5 % aller an Verkehrsunfällen Beteiligten im Jahr 2021 waren 65 Jahre und älter, der Anteil dieser Altersgruppe an der Gesamtbevölkerung lag aber bei 22,1 %
Statistik

Datenschutzrechtliche Gegenargumente:

1.Alle Führerscheininhaber werden bezüglich ihres Geburtsdatums erfasst und kategorisiert. Bisher nur grundsätzliche Erfassung der Daten, ohne Kategorisierung.

2.Eine riesige Bevölkerungsgruppe wird dann aufgrund ihres Alters standardmäßig hinsichtlich ihres Gesundheitszustandes erfasst (vgl. Vorgaben zur Nicht-Diskriminierung, § 1 AGG).

3.In den Führerscheinstellen werden diese gesundheitsbezogenen Daten dauerhaft hinterlegt à Verarbeitung von Art. 9 DSGVO-Daten in der Exekutive sollten genau abgewogen werden.

Stand: 15.11.2023

Welche Auswirkungen hat der Entwurf zur Gesetzesänderung des BDSG? 

Anfang August 2023 hat das Bundesministerium des Innern und für Heimat (BMI) einen Referentenentwurf für ein Erstes Gesetz zur Änderung des Bundesdatenschutzgesetzes vorgelegt. 

Ziel des Gesetzentwurfs ist, dass die Vereinbarungen aus dem aktuellen Koalitionsvertrag aufgegriffen und die Ergebnisse der

Evaluierung des Bundesdatenschutzgesetzes (BDSG) eingearbeitet werden.

Ein wichtiger Punkt ist, dass das Thema Datenschutz vereinheitlicht und somit Rechtsunsicherheiten aus dem Weg geschafft werden sollten durch klar definierte Ansprechpartner. Unterschiedliche Auffassungen der einzelnen Aufsichtsbehörden der jeweiligen Bundesländer sollten damit der Vergangenheit angehören. Auch der Beschäftigtendatenschutz soll in einem speziellen Gesetz geregelt werden, die einer nationalen Datenstrategie folgt.

Mehr Infos von der GDD

•Interessant: § 16 a BDSG-neu à Institutionalisierung der Datenschutzkonferenz von Bund und Ländern (DSK), die DSK würde sich hier eine Geschäftsordnung geben.

•Ziel: v.a. Erreichung und Fortentwicklung der einheitlichen Anwendung des europäischen und nationales Datenschutzrechts.

•Jedoch: keine Regelungen zur rechtlichen Verbindlichkeit von DSK-Beschlüssen, da diese die Kompetenzen von Bundes- und Landesbehörden betrifft und damit verfassungsrechtliche Grenzen betreffen würde (Mischverwaltung nicht beim Datenschutz möglich).

•Weiterhin keine Regelungen zur Zusammenarbeit der verschiedenen Aufsichtsbehörden und der DSK.

•Interessant zudem der angedachte neue § 40a BDSG à Unternehmen sind gemeinsam in einem Projekt datenschutzrechtlich verantwortlich.

•Zuständig: Aufsichtsbehörde desjenigen Unternehmens, das im vorangegangenen Geschäftsjahr den höchsten Umsatz erzielt halt.

•Gilt auch für länderübergreifende Forschungsprojekte: Zuständigkeit der Aufsichtsbehörde des Forschungspartners, der die meisten Personen beschäftigt, die kontinuierlich personenbezogene Daten verarbeiten.

•Ziel: Vermeidung von Rechtunsicherheit beim Auftreten unterschiedlicher Rechtsauffassungen bei länderübergreifenden Vorhaben.

Der Referentenentwurf wird der Änderungsbedarf im BDSG  im Zuge der Evaluierung des BMI wie folgt zusammengefasst:

In § 1 bedarf es einer Klarstellung, um eindeutig auszudrücken, dass das BDSG nur anwendbar ist, wenn die Datenverarbeitung einen Inlandsbezug aufweist. Auch wird § 1 Absatz 4 Satz 3 so umformuliert, dass deutlich wird, dass die Norm nur nichtöffentliche Stellen adressiert.

Die Regelung zur Videoüberwachung öffentlich zugänglicher Räume (§ 4) muss mit Blick auf nichtöffentliche Stellen überarbeitet werden.

§ 17 bedarf einer Ergänzung, um Vakanzen in der Stellvertretung des Gemeinsamen Vertreters im Europäischen Datenschutzausschuss (EDSA) zu vermeiden.

Die §§ 19 und 40 werden um Klarstellungen zur zuständigen federführenden Datenschutzaufsichtsbehörde ergänzt.

In den §§ 27 und 29 müssen redaktionelle Änderungen vorgenommen werden

In § 34 ist klarzustellen, dass das Auskunftsrecht nach Artikel 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) nicht aufgrund privater, sondern nur aufgrund öffentlich-rechtlicher Satzungen eingeschränkt werden kann. Auch sollte in § 34 das Auskunftsrecht nach Artikel 15 der Verordnung (EU) 2016/679 im Hinblick auf Geheimhaltungsinteressen eingeschränkt und zudem eine Pflicht von Bundesbehörden geregelt werden, betroffene Personen über die Möglichkeit nach § 34 Absatz 3 zu informieren, dass eine Auskunftserteilung an die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) verlangt werden kann. In der Regelung zur automatisierten Entscheidung im Einzelfall (§ 37) ist eine Streichung erforderlich.“

Ergebnis: wenig Änderungen für die Unternehmen zu erwarten.

Wir werden uns aber den ersten offiziellen kompletten Gesetzesentwurf genau ansehen, wenn er veröffentlicht ist.

Stand: 15.11.2023

Weitergabe von Daten bei einem Forderungskauf:  Datenschutzrechtliche Information notwendig? 

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vertritt folgende Auffassung:

„Die Zulässigkeit der Übermittlung personenbezogener Daten an ein Inkassounternehmen richtet sich nach Art. 6 Abs. 1 Satz 1 lit. f Datenschutz-Grundverordnung (DS-GVO). Nach dieser Vorschrift ist das Übermitteln personenbezogener Daten rechtmäßig, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Das berechtigte Interesse des übermittelnden Unternehmens besteht darin, dass die (vermeintlich) offene Forderung vom Schuldner beglichen wird. Hierzu kann es sich der Hilfe Dritter, nämlich eines Inkassounternehmens bedienen. Dann ist es aber auch erforderlich, dass das Inkassounternehmen die Informationen erhält, die die Forderung begründen und die einen Einzug durch das Inkassounternehmen ermöglichen. Dies gilt auch dann, wenn das Bestehen oder die Höhe der Forderung zwischen den Parteien strittig ist.“

Diese Argumentation kann man weiterführen:

1.Forderungsverkäufe oder Hilfsmaßnahmen zur Durchsetzung von Forderungen können bei der Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 Satz 1 lit. f DSGVO gestützt werden.

2.Bei Bürgschaftsverträgen ist zudem zu beachten, dass der Bürge vor jedem Forderungsverkauf zu informieren ist.

3.Datenschutzrechtlich ist dann an den Schuldner bzw. Bürgen eine Information nach Art. 14 DSGVO zu geben.

Stand: 15.11.2023

Was steht im Urteil des OLG Düsseldorf zum "Recht auf Vergessenwerden"? 

Aus dem Sachverhalt - OLG Düsseldorf, Urteil vom 05.10.2023 - 16 U 127/22

Kläger ist ein Diplomingenieur, der als Immobiliensachverständiger tätig ist. Der Kläger hatte vor dieser Tätigkeit verschiedene kommunale Spitzenpositionen inne, von denen er aufgrund des Verdachts von Vorteilsnahme jedoch suspendiert wurde. Von einem Strafgericht wurde er rechtskräftig wegen Vorteilsannahme zu einer Geldstrafe verurteilt.  Beklagte Partei ist der Betreiber einer Suchmaschine, die auf den journalistischen Bereich auf ein Fachpublikum spezialisiert ist.

In der besagten Suchmaschine erscheinen beim Suchen des Namens des Klägers Verlinkungen auf diese (und eine andere) Gerichtsentscheidung in der  verurteilt wurde. Unter den Entscheidungen wird zudem der ganze Name des Klägers genannt. Der Kläger verlangte daraufhin von der Beklagten, dass die Einträge bzw. sein Klarname aus den Einträgen gelöscht werden müsse, sodass er nicht mehr persönlich mit dem Strafverfahren identifiziert werden könne, da er sich in seinem Persönlichkeitsrecht verletzt fühle.

Der Kläger hat sich hierbei auf das Recht auf Vergessenwerden nach Art. 17 Abs. 1 Buchst. d) DSGVO gestützt. Der Beklagte lehnte das ab, weil die Taten im Rahmen einer öffentlichen amtlichen Tätigkeit stattgefunden hätten und nicht als Privatperson. Als Kompromiss wurde jedoch der Klarname durch die Initialen des Klägers ersetzt. Das erstinstanzliche Landgericht gab dem Kläger Recht und verurteilte den Beklagten auf Auslistung der Sucherergebnisse. Der Beklagte hat dagegen Berufung eingelegt. Diese wurde vom Gericht zugelassen.

Aus den Urteilsgründen

Das OLG hat entschieden, dass der Kläger keinen Anspruch auf Auslistung der streitgegenständlichen Ergebnislinks habe und ein Anspruch nicht mit Art. 17 Abs. 1 DSGVO begründet werden könne, obwohl die DSGVO grundsätzlich hier anwendbar sei. „Sie ist als automatisierte "Verarbeitung personenbezogener Daten" im Sinne von Art. 4 Abs. 1 und 2 DSGVO einzustufen. Als verantwortliche Stelle für die Verarbeitung von Daten in dem Index des Internet-Suchdienstes ist die Beklagte "Verantwortlicher" im Sinne von Art. 4 Nr. 7 DS-GVO“ (OLG Urteil, RN42 ).

Ein Auslistungsanspruch des Klägers ist ausgeschlossen, da die von der Beklagten vorgenommene Datenverarbeitung nach den relevanten Umständen des Einzelfalls gemäß Art. 17 Abs. 3 Buchst. a) i.V.m. Art. 6 Abs. 1 Buchst. f), Art. 21 Abs. 1 Satz 2 DSGVO zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich war. Das Gericht nahm hier eine Gesamtabwägung aller Umstände des Einzelfalls vor (Suchmaschinen dienen dem Informationsinteresse, zeitliche Komponente der Verurteilung, keine Breitenwirkung des konkreten Falls, Sozialsphäre, nicht Privatsphäre betroffen).

Stand: 15.11.2023

Ist der neue Nutzungsvertrag von Microsoft mit dem Data Privacy Framework vereinbar? 

Mehr Informationen zum neuen Servicevertrag von MS finden Sie in unserem Blog.

Was ist bei der Aufbewahrungspflicht von Log-Daten zu berücksichtigen? 

Was sind Log Daten?

Log Daten sind Datensätze, die alle Vorgänge in System protokollieren. Neben den Aktivitäten von IT-Systemen und Administratoren werden auch die Aktivitäten von Anwendern protokolliert. So können die Systeme überwacht werden und Installationen oder Änderungen von Software und Hardware nachvollzogen werden und so ggf. auch Unregelmäßigkeiten und Schadsoftware entdeckt werden.

Die Protokollierung ist aus IT-sicherheitsrechtlichen Gründen durchaus sinnvoll und auch vorgegeben. Aus datenschutzrechtlicher Sicht sind v.a. die technischen und organisatorischen Maßnahmen zu beachten, dass die Protokolldaten sicher gespeichert und vor unberechtigtem Zugriff geschützt sind und ggf. geeignete Verschlüsselungstechniken angewendet werden.

Da es sich hierbei um große Datensätze der Mitarbeiter handelt, werden hier auch personenbezogene Daten verarbeitet. In Hinblick auf die Datenminimierung muss also immer die Erforderlichkeit der Aufzeichnung hinterfragt werden und der Zweck der Protokollierung klar definiert werden.

Was ist hinsichtlich der Protokollierung gesetzlich geregelt?

§ 76 BDSG - Protokollierung

(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:

1.Erhebung,

2.Veränderung,

3.Abfrage,

4.Offenlegung einschließlich Übermittlung,

5.Kombination und

6.Löschung.

(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.

(3) Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten, die Bundesbeauftragte oder den Bundesbeauftragten und die betroffene Person sowie für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Strafverfahren verwendet werden.

(4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.

(5) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Bundesbeauftragten auf Anforderung zur Verfügung zu stellen.

Aufbewahrungspflicht von Log-Daten

LOG-Daten im Fall des § 76 BDSG genau nach gesetzlicher Vorschrift speichern, verarbeiten und löschen.

In allen anderen Fällen gibt es dazu keine (uns bekannten) Aufbewahrungspflichten. Z.B. sind LOG-Daten bei Webseiten in vielen Fällen sofort nach Nutzung zu löschen.

Zudem muss unterschieden werden: beinhalten die LOG-Daten personenbezogene Daten?

Falls ja, sollten für die einzelnen Systeme gesetzliche Grundlagen zur Aufbewahrungsverpflichtung gesucht werden und danach gelöscht werden.Falls nein: so schnell wie möglich löschen (Ausnahme: es bestehen IT-sicherheitsrechtliche Anforderungen!)

Stand: 08.11.2023

Wann tritt bei privater Internet- und E-Mail-Nutzung eine "Betriebliche Übung" ein? 

Was ist eine „Betriebliche Übung“?

"Eine betriebliche Übung entsteht aus einem fortgesetzten, die Arbeitnehmer begünstigenden Verhalten des Arbeitgebers, das bei den begünstigten Arbeitnehmern unter Berücksichtigung von Treu und Glauben (§ 242 BGB) den verständlichen Eindruck vermittelt, der Arbeitgeber wolle sich durch diese günstigere und vorbehaltlose Verhaltensweise oder Leistung auch in Zukunft an ein derartiges Verhalten binden.“ Quelle: Haufe

Ist in Unternehmen keine ausdrückliche Regelung zur privaten Internet- und E-Mailnutzung am Arbeitsplatz getroffen, kann laut BAG grundsätzlich davon ausgegangen werden, dass die private Nutzung der Betriebsmittel untersagt ist.

In vielen Unternehmen ist dem Arbeitgeber jedoch die private Nutzung stillschweigend bekannt und wird oftmals auch geduldet. In der Literatur wird kontrovers diskutiert, ob eine wissentliche Duldung zu einer betrieblichen Übung übergehen kann, wenn der Arbeitgeber nicht aktiv dagegen vorgeht und dadurch einen Vertrauenstatbestand schaffen würde. In diesem Fall wäre der Arbeitnehmer im Streitfall jedoch dazu verpflichtet, die Kenntnis der privaten IT-Nutzung beweispflichtig vorweisen zu können, was sich in der Praxis als durchaus schwierig gestalten würde. Daher ist die gemeine Auffassung, dass ein Anspruch auf Privatnutzung aus betrieblicher Übung zu verneinen ist.

Gründe für Auffassung, dass ein Anspruch auf Privatnutzung aus betrieblicher Übung zu verneinen ist:

Kenntnis über die Nutzung kann nicht genau definiert bzw. abgegrenzt werden (einmalige private Nutzung der IT-Betriebsmittel oder mehrfache und andauernde Nutzung)

keine abgrenzbare Leistung der Privatnutzung der IT–Betriebsmittel (Zeitpunkt der Entstehung lässt sich nicht klar feststellen - im Gegensatz zur Gewährung von Sonderzahlungen)

Passives Dulden der privaten Nutzung stellt keine aktive Leistung des Arbeitgebers dar (im Gegensatz zu geleisteten Gratifikationen)

•BAG verneint wiederholt eine Rechtsbindung durch betriebliche Übung bei bloßen Annehmlichkeiten

•Duldung der privaten Nutzung geht mit Reduzierung der Arbeitszeit einher (falls diese nicht nur in Pausenzeiten erfolgt) --> kann nicht im Sinne des Arbeitgebers sein --> Rechtsmissbrauch/Verstoß gegen den Arbeitsvertrag

Tipp: Ausdrückliches arbeitsvertragliches oder kollektivrechtliches Verbot aussprechen, um die Privatnutzung der firmeninternen IT–Betriebsmittel rechtssicher auszuschließen

Quelle: Kramer, IT-Arbeitsrecht, 3. Auflage 2023, § 2, Rn. 155-163

Stand: 25.10.2023

Darf ich bei Kunden ohne ihre Einwilligung Phishing-Tests durchführen?  

Mögliches Szenario:

In Unternehmen werden immer wieder Tests zu Phishing-Angriffen bei Mitarbeitern durchgeführt.


Beispiel: Man sendet allen Mitarbeitenden eine Mail, in der ein Tag im Legoland zu gewinnen ist, wenn man auf eine Link . Natürlich wird nichts verlost, sondern man möchte nur schauen, ob der Mitarbeiter einfach und ohne zu überlegen einen Link klickt, der (bei einer realen Attacke)  ggf. Malware runter lädt.

Wäre so etwas auch bei Endkunden möglich, um auf mögliche Missstände hinweisen zu können und daraufhin eine Beratung anzubieten?

Um Phishing-Tests nicht nur bei unternehmensinternen Mitarbeitern, sondern auch bei Kunden durchzuführen, bedarf es einer datenschutzrechtlichen Rechtsgrundlage.

Art. 6 Absatz 1 lit. f DSGVO - Rechtmäßigkeit der Verarbeitung
--> ein Phishing-Test rechtfertigt kein berechtigtes Interesse

Des Weiteren ist § 7 UWG zu berücksichtigen:
--> Ansprache per Mail grundsätzlich unzulässig, außer es liegt das Bestandskundenprivileg nach § 7 Abs. 3 UWG vor.

Fazit: Auch wenn ein Phishing-Test für Unternehmen durchaus sinnvoll sein könnte, um die Mitarbeiter zu schulen und die Wachsamkeit zu fördern, ist ein Versand von Phishing-Test-Mails an Kunden ohne Einwilligung nicht rechtmäßig und kann auf keine Rechtsgrundlage gestützt werden, zumal auch für die Auswertung personenbezogene Daten (personalisierte E-Mail-Adresse) verarbeitet werden müssten.

Stand: 25.10.2023

Darf man Mitarbeiter abmahnen, wenn diese sich nicht an interne Datenschutzvorschriften halten?  

Arbeitgeber sind laut der DSGVO dazu verpflichtet, organisatorische Maßnahmen im Unternehmen zu etablieren, um sensible Daten vor unbefugtem Zugriff Dritter zu schützen (sowohl vor externen Dritten, als auch vor unberechtigten Dritten innerhalb des Unternehmens). In der Regel haftet für Datenschutzverstöße nicht ein Mitarbeiter selbst, sondern die Verantwortliche Stelle (vgl. Art. 4 Nr. 7 DSGVO) – also der Arbeitgeber.

Denn der Verantwortliche entscheidet über die Mittel und Zwecke der Datenverarbeitung und hat damit auch technische und organisatorische Maßnahmen zu ergreifen, damit diese Verarbeitung rechtmäßig ist. Werden Datenschutzverstöße begangen, haftet i.d.R. also der Verantwortliche (=Arbeitgeber) für entstandene Schäden.

Werden von Arbeitnehmern Verstöße gegen die vorgegeben internen Datenschutzvorschriften begangen, können diese abgemahnt werden, z.B. bei unberechtigtem Zugriff oder Löschen von Daten. Hier ist immer eine Einzelfallprüfung notwendig.

Wichtig für den Arbeitgeber ist, dass die Mitarbeiter regelmäßig (z.B. in Form von Schulungen) über die internen Datenschutzvorgaben aufgeklärt werden und diese Aufklärung auch von den Mitarbeitern schriftlich bestätigt wird, um im Zweifel einen Nachweis über die Belehrung nachweisen zu können.

Sächsisches LAG, Urteil vom 7.4.2022 – 9 Sa 250/21

Im vorliegenden Fall wurde einer Mitarbeiterin - nach mehrmaligen Abmahnungen – das Arbeitsverhältnis  gekündigt, da sie sich wiederholt und nachweislich nicht an die vorgegebenen Datenschutzvorschriften hielt, u.a. an die Clean-Desk-Policy und das Wegsperren von sensiblen Unterlagen. Durch das wiederholte Fehlverhalten der Mitarbeiterin sei der Betriebsablauf des Unternehmens nachweislich beeinträchtigt gewesen, was die Abmahnungen und somit die Kündigung legitimiert hätten.

Die Kündigung war somit laut dem LAG wirksam und rechtmäßig.

Ergebnis: Arbeitsrechtliche Abmahnungen wegen Verstößen gegen Vorgaben aus dem Datenschutzbereich sind zulässig und können bei Wiederholung auch eine Kündigung rechtfertigen.

Stand: 25.10.2023

Kann der Betreiber eines Webshops neben der Rechnungsadresse auch die Lieferadresse bezüglich der Bonität prüfen lassen? 

Eine Bonitätsprüfung von Geschäftspartnern kann immer dann durchgeführt werden, wenn der Verdacht besteht, dass der Vertragspartner nicht kreditwürdig ist. Sollte sich beim Bonitäts-Check herausstellen, dass der Vertragspartner die Bonitätsprüfung nicht besteht, können Aufträge oder Bestellungen abgelehnt werden.

Bonitätsprüfungen können grundsätzlich von allen Unternehmen vornehmen werden. Voraussetzung für eine Durchführung ist entweder die Einwilligung oder das Vorliegen eines berechtigten Interesses.

Bei Bonitätsauskünften von Unternehmen, werden u.a. folgende Informationen herangezogen:

•Branche

•Geschäftsführung und Firmenhistorie

•Bilanz

•Muttergesellschaft und Beteiligungen Inkassoinformationen und Insolvenzverfahren

Wird bei einem Kaufabschluss lediglich die Rechnungsadresse auf Bonität geprüft, kann nicht sichergestellt werden, ob die Lieferadresse auch den Bonitätsanforderungen genügen würde und ob der Käufer überhaupt dazu berechtigt ist, die angegebene Rechnungsadresse zu verwenden. Wird also eine abweichende Lieferadresse angegeben, kann auch diese auf Bonität geprüft werden, da hier ein berechtigtes Interesse Art. 6 Abs. 1 lit. f) DSGVO seitens des Verkäufers vorliegt.

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Stand: 17.10.2023

Wie stellt man als Gründer sicher, dass die Vertraulichkeitserklärung auch nach der GmbH-Gründung ihre Gültigkeit behält? 

Befindet sich eine GmbH noch in der Gründung und ist noch nicht notariell beurkundet bzw. im Handelsregister eingetragen, kann mit dem Zusatz „in Gründung (i.G.)“ agiert werden. 

Werden Rechtsgeschäfte abgeschlossen, die sich auf die sich in Gründung befindende GmbH beziehen, werden diese zum Zeitpunkt der offiziellen Gründung (Eintragung ins Handelsregister) rechtsgültig und das damit verbundene Haftungsrisiko auf die GmbH verlagert, vgl. Urteil des BGH

Wichtig ist beim Abschluss von Verträgen oder auch NDA in der Vorgründungsphase, dass diese bereits in Namen der GmbH „i. Gr.“ abgeschlossen werden.

Wenn das nicht geht, sondern noch Privatpersonen agieren, die später in einer GmbH organisiert sein werden, dann sollte die Präambel der Vertraulichkeitserklärung ganz konkret beschreiben, in welcher gesellschaftlichen Situation man sich gerade befindet, insbesondere,

•dass man eine GmbH gründen möchte („Die x GmbH ist derzeit noch nicht gegründet.“)

•dass man deshalb den Vertrag noch als Privatpersonen zeichnet („Derzeit soll der Vertrag in der vorliegenden Fassung zunächst mit den Einzelpersonen A und B abgeschlossen werden.“)

•dass nach Gründung der x GmbH diese durch die Personen A und B vertreten werden wird/als Gesellschafter von X fungieren werden.

•dass sämtliche hier getroffenen Vereinbarungen hinsichtlich Geheimhaltung (weitere Punkte aufzählen, die hier wichtig sind) auch für die neu zu gründende x GmbH gelten werden.

•„Die y GmbH erklärt ihr ausdrückliches Einverständnis mit der Geltung aller hier getroffenen Vereinbarungen, insbesondere der Geheimhaltung (und der weiteren aufzuzählender Punkte von oben) auch zugunsten der neu zu gründenden x-GmbH“.

Dringende Empfehlung: wenn es um Assets eines Unternehmens geht:  Einzelfall im Rahmen eines Mandats anwaltlich prüfen lassen!

Stand: 17.10.2023

Ist das Anfertigen einer Kopie von Personalausweisen datenschutzrechtlich erlaubt? 

Gesetz über Personalausweise und den elektronischen Identitätsnachweis (Personalausweisgesetz - PAuswG)
§ 20 Verwendung durch öffentliche und nichtöffentliche Stellen

(2) Der Ausweis darf nur vom Ausweisinhaber oder von anderen Personen mit Zustimmung des Ausweisinhabers in der Weise abgelichtet werden, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Andere Personen als der Ausweisinhaber dürfen die Kopie nicht an Dritte weitergeben. Werden durch Ablichtung personenbezogene Daten aus dem Personalausweis erhoben oder verarbeitet, so darf die datenerhebende oder -verarbeitende Stelle dies nur mit Einwilligung des Ausweisinhabers tun. Die Vorschriften des allgemeinen Datenschutzrechts über die Erhebung und Verwendung personenbezogener Daten bleiben unberührt.

Neben der Einwilligung ist die Speicherung der gekennzeichneten Ausweiskopie nur für den benötigten Zeitraum und den vorliegenden Zweck zulässig, vgl. Art. 5 DSGVO

Eine Speicherung von Personalausweisekopien ist nach der DSGVO dem Grundsatz nach hinsichtlich der Datenminimierung meist nicht angemessen und damit meist unzulässig. Für Finanzdienstleister und andere Akteure bestehen jedoch Ausnahmen aufgrund der Geldwäschegesetzes (§8 GwG).

Nach dem Geldwäschegesetz haben diese sogar die Pflicht, eine Kopie des Personalausweises anzufertigen und diese auch zu speichern, um im Falle von Straftaten die Personen identifizieren zu können.

§8 Abs. 5 - GwG

 „… haben die Verpflichteten das Recht und die Pflicht, Kopien dieser Dokumente oder Unterlagen anzufertigen oder sie optisch digitalisiert zu erfassen oder, bei einem Vor-Ort-Auslesen nach § 18a des Personalausweisgesetzes, nach § 78 Absatz 5 Satz 2 des Aufenthaltsgesetzes oder nach § 13 des eID-Karte-Gesetzes, das dienste- und kartenspezifische Kennzeichen sowie die Tatsache aufzuzeichnen, dass die Daten im Wege des Vor-Ort-Auslesens übernommen wurden….“

㤠8 Abs. 2 S. 2 GwG geht als lex specialis insoweit entgegenstehenden Normen (Personalausweisgesetz,

Datenschutz) vor.“

Vgl. u.a. Auslegungs- und Anwendungshinweise zum Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten (Geldwäschegesetz – GwG) der Bundesrechtsanwaltkammer, Seite 24

Stand: 17.10.2023

Kann Schmerzensgeld bei Datenschutzverletzung gefordert werden? 

BGH Pressemitteilung vom 26.09.2023

Zum Sachverhalt
Kläger ist ein Bewerber. Der Bewerber hat sich bei einer Bank für eine offene Stelle beworben und in seiner Bewerbung auch seine Gehaltsvorstellungen angegeben. Im Zuge des Bewerbungsprozesses wurde dem Kläger mitgeteilt, dass seine Gehaltsvorstellungen nicht angemessen seien. Jedoch ging diese Nachricht über den Messenger-Dienst nicht nur an den Bewerber selbst, sondern auch an eine unbeteiligte Person, die den Bewerber wiederum aus einem ehemaligen Arbeitsverhältnis kannte. Der Kläger forderte daraufhin eine Unterlassungsklage aufgrund der unerlaubten Weitergabe seiner personenbezogenen Daten sowie einen immateriellen Schadensanspruch. Der Kläger berief sich darauf, dass er nun an einem Kontrollverlust leide, dass seine Bewerbung und seine Gehaltsvorstellungen augenscheinlich nicht mehr der Diskretion unterlägen und somit Dritte in der Branche davon erfahren könnten und er in weiteren Bewerbungsprozessen dadurch einen Nachteil erfahren könnte.

Prozessverlauf
Dem Kläger wurde vom LG ein immaterieller Schadensersatz von 1000,- EUR zuerkannt. Die Beklagte hat dagegen Berufung eingelegt. Daraufhin hat das OLG das Urteil abgeändert und die Klage abgewiesen. Der Kläger ging in Revision. Nun liegt die Sache dem BGH vor. Dieser hat an den Gerichtshof der Europäischen Union zur Auslegung der Datenschutz-Grundverordnung (DSGVO) folgende Fragen zur Vorabentscheidung vorgelegt:

Unter anderem, ob Art. 82 Abs. 1 DSGVO dahingehend auszulegen ist, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?

Stand: 11.10.2023

Was sind Daten anonym? 

Mehr Infos zur Anoymisierung und Pseudonymisierung finden Sie in unserem Blog.

Welche Rechtsgrundlage gilt bei der Pflicht zur Protokollierung für die Verarbeitung personenbezogener Daten? 

Die Notwendigkeit zur Protokollierung nach § 76 BDSG ergibt sich direkt aus dem Gesetz für die öffentlichen Stellen.

Mit § 76 Absatz 3 BDSG legt der Gesetzgeber abschließend und streng die Verwendungszwecke der Protokolle fest. Genutzt werden dürfen sie demnach nur zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung, der Sicherstellung der Integrität und Sicherheit der personenbezogenen Daten sowie für Strafverfahren. Die Verwendung für andere Zwecke ist dadurch ausgeschlossen.

Aus: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Auflage 2022, § 76 BDSG, Rn 10 und 11:

„Die Überprüfung der Rechtmäßigkeit der Datenverarbeitung umfasst sowohl die Eigenüberwachung durch den Verantwortlichen oder den Auftragsverarbeiter selbst als auch die Fremdüberwachung, bei der die interne Fremdüberwachung durch den Datenschutzbeauftragten und die externe Fremdüberwachung durch den Bundesbeauftragten zu unterscheiden sind.

Zu beachten ist, dass Abs. 3 zwar die Verwendung für die dort genannten Zwecke erlaubt, aber keinen Anspruch darauf gibt, die Daten für diesen Zweck zu erhalten. Ein solcher Anspruch kann sich nur aus anderen Vorschriften ergeben, etwa aus Regelungen der Informationsfreiheit.“

Stand: 04.10.2023

Wie dokumentiert man Verarbeitungstätigkeiten, die als Maßnahme aus der Informationssicherheit eingeführt werden? 

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

(1)Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a)…

b)…

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d)…

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Beachte auch Maßnahmen zur Gewährleistung der „Netz- und Informationssicherheit“ in Erwg. 49 der DSGVO:

Folge dieses Erwägungsgrundes à eigentlich kommt nur Art. 6 Abs. 1 lit. f) DSGVO als Rechtsgrundlage in Frage.

Warum nicht Art. 6 Abs. 1 lit. c) DSGVO?

„Gegebenenfalls können Verantwortliche datenverarbeitende Maßnahmen zur Netz- und Informationssicherheit auf Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO stützen. Danach ist die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist. Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO stellt insofern keine „vollständige“ Erlaubnisvorschrift dar, sondern sie bedarf der Ergänzung durch eine weitere Verpflichtung durch oder aufgrund von Rechtsvorschriften. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zur Gewährleistung von IT-Sicherheitsmaßnahmen kann sich somit aus Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO iVm den Vorschriften des IT-Sicherheitsrecht ergeben, die derartige Maßnahmen verpflichtend anordnen. Für das BSIG gilt in Bezug auf Bundesbehörden somit Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO iVm § 5 ff. BSIG, für Betreiber kritischer Infrastrukturen Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO iVm § 8 a Abs. 1 BSIG sowie für Betreiber digitaler Dienste § 8 c Abs. 1 BSIG. Für öffentliche Stellen der Länder kann sich die datenschutzrechtliche Erlaubnis entsprechend aus § 6 Abs. 1 lit. c DS-GVO iVm mit landesrechtlichen IT-Sicherheitsgesetzen ergeben. Für alle weiteren Verantwortlichen nicht-öffentlicher Stellen – und dies dürfte der Regelfall sein – verbleibt damit tatsächlich Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO als mögliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten zur Gewährleistung der Netz- und Informationssicherheit.“ aus: Hornung/Schallbruch, IT-Sicherheitsrecht, 1. Auflage 2021, § 17, Rn. 61

Weiter: „Erwg. 49 besagt nicht, dass die Netz- und Informationssicherheit grundsätzlich als berechtigtes Interesse des Verantwortlichen iSv Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO zu werten ist. Er ist sehr komplex und unübersichtlich gefasst, so dass er bei der praktischen Anwendung auf erhebliche Schwierigkeiten stößt. Es erfolgt eine starke Einschränkung in Bezug auf die Stellen, die die Datenverarbeitungen zur Gewährleistung der Netz- und Informationssicherheit vornehmen. Die Netz- und Informationssicherheit wird allenfalls als berechtigtes Interesse gewertet, wenn die Verarbeitung von Behörden, Computer-Notdiensten (Computer Emergency Response Teams – CERT, beziehungsweise Computer Security Incident Response Teams – CSIRT), Betreibern von elektronischen Kommunikationsnetzen und -diensten sowie Anbietern von Sicherheitstechnologien und -diensten vorgenommen wird. Ungeachtet der Frage, ob es sich hierbei um eine abschließende Aufzählung handeln soll oder nicht, wird deutlich, dass es sich um fachlich qualifizierte Verantwortliche handelt.“

Notwendig außerdem: Maßnahme unbedingt erforderlich und verhältnismäßig. Aus: Hornung/Schallbruch, IT-Sicherheitsrecht, 1. Auflage 2021, § 17, Rn. 63

Stand: 04.10.2023

Ist es Auftragsverarbeitern erlaubt, Daten zu anonymisieren bzw. zu pseudonymisieren? 

Art. 28 DSGVO – Auftragsverarbeiter

(1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

a)die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;

Der Auftragsverarbeiter darf Daten nur auf dokumentierte Weisung des Verantwortlichen bearbeiten, Art. 28 Abs. 3 lit. a) DSGVO. Daher müssen Verantwortliche ihren Auftragsverarbeitern Weisungen zu jeder Verarbeitungstätigkeit erteilen. Der Auftragsverarbeiter darf nicht über die Weisungen des Verantwortlichen hinausgehen.

Begründung: Der BfDI vertritt die Auffassung, dass es sich bei der Anonymisierung um eine Verarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO handelt, denn die Daten verlieren durch die Anonymisierung ihren Personenbezug und somit tritt eine tatsächliche „Veränderung“ ein.

Eine Anonymisierung der Kundendaten bedarf einer Anweisung des Auftraggebers. Sie muss schriftlich im AV-Vertrag vereinbart werden.

Agiert AWS als Unterauftragsverarbeiter, wenn die Daten auf der Plattform pseudonymisiert, aber nicht anonymisiert werden?

Sachverhalt:

Bei kundenspezifischen KI-Modellen, die jeweils nur auf den Daten eines einzelnen Kunden basieren und auch nur für diesen Kunden Ergebnisse liefern, stellt sich die Frage der Rolle von Public-Cloud-Anbietern wie AWS oder Microsoft. Wenn die Daten auf deren Plattform pseudonymisiert, aber nicht anonymisiert werden, agieren diese Anbieter dann als Unterauftragsverarbeiter? Aus der Perspektive des Public-Cloud-Anbieters sind die Daten relativ anonym; nur für mich als Auftragsverarbeiter ist eine Zuordnung möglich.

Public-Cloud-Anbieter wie AWS oder Microsoft sind meistens Auftragsverarbeiter oder Unterauftragsverarbeiter (hier kommt es darauf an, ob sie der Verantwortliche direkt nutzt, oder über einen Vertragspartner).

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle

von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing,

ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist, ist regelmäßig Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO.

Mehr Infos vom BayLDA

Stand: 04.10.2023

Ist die Akzeptanz der Nutzungsbedingungen bei einem Gewinnspiel als Rechtsgrundlage nach Art. 6 Abs. 1 b DSGVO zu werten? 

Art. 6 Abs. 1 DSGVO - Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) …

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c)…

Nutzungsbedingungen bei einem Gewinnspiel können und sollten auf Grundlage des Art. 6 Abs. 1 lit. b) DGSVO gestaltet werden.

Warum nicht auf Basis der Einwilligung nach Art. 6 Abs. 1 lit.a) DSGVO?

„Allerdings ist die datenschutzrechtliche Zulässigkeit der Verarbeitung von über ein Gewinnspiel erhobenen Daten zu werblichen Zwecken nach hM vom Vorliegen einer wirksamen (datenschutzrechtlichen) Einwilligung unabhängig, da die Datenerhebung wie auch die nachgelagerte Datenverarbeitung auf gesetzlicher Grundlage erfolgt, vgl. Art. 6 Abs. 1 lit. b DS-GVO. Stellt die betroffene Personen bspw. im Rahmen von Gewinnspielen (Auslobung) oder bei Anforderung eines Kataloges Daten zur Verfügung, kann dies als vertragliche bzw. vorvertragliche Maßnahme gewertet werden mit der Folge, dass diese möglicherweise wie Bestandskunden behandelt und entsprechend werblich angesprochen werden können. Die Datenverarbeitung ergeht hier nicht einwilligungsbasiert „neben dem Vertrag“, sondern synallagmatisch zur Erfüllung des Vertrages. Auch die DSK hatte die Möglichkeit dieses „Abhängigmachens“ anerkannt, umfassende Transparenz vorausgesetzt. In dem Kurzpapier Nr. 3 der DSK heißt es dazu: „Bei „kostenlosen“ Dienstleistungsangeboten, die die Nutzer mit der Zustimmung für eine werbliche Nutzung ihrer Daten „bezahlen“, muss diese vertraglich ausbedungene Gegenleistung des Nutzers bei Vertragsabschluss klar und verständlich dargestellt werden. Nur dann besteht keine Notwendigkeit mehr für eine Einwilligung“. Zu beachten ist daneben die Wertung von Art. 5 Abs. 2 RL 2005/29/EG, der wettbewerbsrechtlich einem generellen Verbot der Kopplung von Gewinnspielen und einem Kaufvertrag entgegensteht.“

Aus: Conrad Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Auflage 2019, Rn. 823-825

Stand: 20.09.2023

Wie geht man mit alten Betriebsvereinbarungen um, die noch vor der DSGVO abgeschlossen wurden? 

Was sind Betriebsvereinbarungen?

Betriebsvereinbarungen werden rechtsverbindlich zwischen dem Arbeitgeber und dem Betriebsrat geschlossen. In Betriebsvereinbarungen werden Pflichten und Rechte von Arbeitnehmern, Betriebsrat und Arbeitgebern definiert. Auch datenschutzrechtliche Themen können in den Betriebsvereinbarungen integriert werden.

Bestehen noch Vereinbarungen, die auf dem alten BDSG (vor 2018) basieren und nicht mehr dem aktuellen Stand entsprechen, können folgende Optionen in Betracht bezogen werden:

•Möglichkeit 1:
Zusatz zur bestehenden Betriebsvereinbarung aufsetzen, in dem vereinbart wird, dass die Formulierungen mit Bezug auf das alte BDSG, durch die neuen Regelungen der DSGVO ersetzt werden.

•Möglichkeit 2:
Betriebsvereinbarungen neu schließen und bei der Gelegenheit sie auch inhaltlich überarbeiten, damit evtl. überalterte Regelungen auf Basis des aktuellen datenschutzrechtlichen Stands der DSGVO ersetzt werden können.

Stand: 20.09.2023

Was ist geplant bzgl. des Beschäftigtendatenschutzgesetzes? 

Bislang ist das Thema Beschäftigtendatenschutz im BDSG geregelt. Das Thema Beschäftigtendatenschutz ist ein wichtiger Bestandteil des Datenschutzes, da im Beschäftigungsverhältnis Unmengen an personenbezogenen Daten verarbeitet werden. Auf europäischer Ebene gibt es jedoch viele Unterschiede, wie der Beschäftigtendatenschutz geregelt wird, da die DSGVO den einzelnen Mitgliedsstaaten mit der Öffnungsklausel des Art. 88 großen Freiraum in der Auslegung gibt. Daher ist die Überarbeitung des Beschäftigtendatenschutzgesetzes eigentlich längst überfällig.

Ein neuer Anstoß für die Überarbeitung des Beschäftigungsdatenschutzes war nun das EuGH Urteil vom 30.03.2023 zum Hessischen Datenschutzgesetz (wir haben im Datenschutz-Weekly darüber berichtet).

Vordergründig für die Überarbeitung ist laut Bundesregierung die fortschreitende Digitalisierung. Im neuen Beschäftigtendatenschutzgesetz sei es wichtig zu verankern, dass Beschäftigtendaten einem besonderen Schutzbedürfnis unterliegen. Auch der Aspekt der Künstlichen Intelligenz und zunehmenden Möglichkeiten der Überwachung soll genauer betrachtet und im Gesetz integriert werden.

Im Fokus steht auch die Bewerbungsphase, da hier eine große Anzahl an personenbezogenen Daten an den potenziellen Arbeitgeber übermittelt wird. Auch das Thema Einwilligung soll im Gesetzgebungsprozess noch einmal kritisch hinterfragt werden, um die Rechte und Freiheiten der Arbeitnehmer zu schützen.

Quelle: Düwell/Brink: Auf dem Weg zu einem NZA 2023, 1097 Beschäftigtendatenschutzgesetz

Stand: 13.09.2023

Welche Sicherheitsvorkehrungen sind beim Versand von E-Mails im geschäftlichen Verkehr einzuhalten? 

Aus dem Sachverhalt - OLG Karlsruhe: Urteil vom 27.07.2023 – 19 U 83/22

Klägerin ist Verkäuferin eines PKW. Die Beklagte wollte von der Klägerin einen Gebrauchtwagen im Wert von 13.500,- Euro kaufen. Die Absprache zum Kauf erfolgte telefonisch. Hier wurde vereinbart, dass die Käuferin eine Rechnung per Mail mit den Zahlungsinformationen erhält. Die Rechnung zum Kaufvertrag wurde am Tag des Kaufes per Mail an die Käuferin geschickt. Zwei Minuten später wurde erneut eine Rechnung an die Käuferin geschickt mit einem geänderten Empfängerkonto. Die Beklagte ging davon aus, dass es bei der ersten Rechnung um einen Fehler handelte und überwies den Kaufpreis an das angegebene Bankkonto aus der zweiten Mail mit der angehängten Rechnung. Später stellte sich heraus, dass die zweite Mail durch einen Hackerangriff manipuliert wurde und der Kaufbetrag dadurch nie beim Käufer ankam. Daraufhin wurde Strafanzeige erstattet. Die Käuferin weigerte sich, den Kaufbetrag erneut an das korrekte Konto zu überweisen. Das Landgericht gab der Käuferin dahingehend Recht, dass seitens der Verkäuferin keine ausreichenden Schutzmaßnahmen getroffen wurden, um den E-Mail-Verkehr ausreichend vor Hackerangriffen abzusichern und somit mit unerlaubten Zugriff Dritten gerechnet werden hätte müssen. Die Verkäuferin legte Berufung ein.

Aus den Urteilsgründen - OLG Karlsruhe: Urteil vom 27.07.2023 – 19 U 83/22

Das Landgericht sieht durch die Zahlung des vereinbarten Kaufpreises die Zahlung erfüllt, auch wenn sich in der zweiten manipulierten E-Mail kleinere Schreibfehler befunden hätten. Die Klägerin hätte ausreichende Sicherheitsmaßnahmen treffen müssen, damit ein solcher Hackerangriff und in Folge die Falschüberweisung an Dritte nicht hätte stattfinden können. Beispielsweise war keine „Zwei-Faktor- Authentifizierung“ für den E-Mail-Account eingerichtet. Eine Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung wurde für den Mailversand von der Verkäuferin ebenfalls nicht verwendet. Es ist festzuhalten, dass keine pauschalen konkreten gesetzlichen Vorgaben für die Sicherheitsvorkehrungen im E-Mail-Versand existieren.

OLG trifft aber genau gegenteilige Entscheidung:

„Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht“.

Aus Sicht des OLG sei die Argumentation des Landgerichts nicht schlüssig, da die für die Begründung herangezogene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen“ in diesem konkreten Fall nicht anwendbar sei und auch die Verwendung eines Sender Policy Frameworks, der PDF-Verschlüsselung oder auch eine Ende-zu-Ende-Verschlüsselung bzw. Transportverschlüsselung hier keine notwendigen Sicherheitsvorkehrungen darstellen würden und daher von keiner kausalen Pflichtverletzung der Klägerin ausgegangen werden könne.

Im Ergebnis schulde die Beklagte der Klägerin nach wie vor den Kaufpreis in Höhe von EUR 13.500,-, da weder eine Erfüllung eingetreten sei, noch ein Schadensersatzanspruch der Beklagten gegen die Klägerin bestünde.

Stand: 13.09.2023

Hat ein Kunde Auskunftsanspruch bei Kundenansprache über private Social Media-Accounts der Mitarbeiter? 

Pressemitteilung Landgericht Baden-Baden – Urteil vom 24.08.2023

Aus dem Sachverhalt

Klägerin ist eine Kundin eines Unternehmens, die bei dem beklagten Unternehmen einen Fernseher sowie eine Wandhalterung gekauft hatte. Die Kundin erhielt bei der Rückgabe der Wandhalterung versehentlich den Kaufpreis des Fernsehers erstattet. Als die falsche Rückerstattung vom Unternehmen bemerkt wurde, wurde die Kundin über einen privaten Social Media Account einer Mitarbeiterin des Unternehmens kontaktiert und auf die falsche Überweisung hingewiesen und dazu aufgefordert, sich mit dem Chef des Unternehmens in Verbindung zu setzen. Daraufhin verlangte die Kundin bei der Beklagten Auskunft, wie ihre personenbezogenen Daten verarbeitet werden und verlangte, dass den Mitarbeitern die Verarbeitung der personenbezogenen Kundendaten auf privaten Kommunikationsgeräten untersagt werden sollte und diese wegen der unerlaubten Verarbeitung verurteilt werden sollten.

Aus den Urteilsgründen

Die Klage wurde vom Amtsgericht in erster Instanz abgewiesen, da die Mitarbeiterin nicht Empfängerin der Kundendaten gewesen sei und somit kein Auskunftsanspruch nach Art. 15 DSGVO bestünde. Eine Verurteilung sah das Amtsgericht auch nicht als angemessen an. Die Klägerin dagegen legte Berufung ein.

Das Landgericht gab der Berufung statt. Die Mitarbeiterin habe nach Ansicht des Landgerichts eigenmächtig die Kundendaten für die Kontaktaufnahme über ihren persönlichen Social Media Account genutzt. Deshalb stünde der Klägerin die Nennung der Namen der Mitarbeiter zu, an welche ihre personenbezogenen Daten weitergegeben wurden, um die Rechtmäßigkeit der Verarbeitung überprüfen zu können. Das Unternehmen wurde zudem dazu verurteilt, die Nutzung von Kundendaten auf privaten Kommunikationsgeräten ihrer Mitarbeiter zu verbieten.

Stand: 13.o9.2023

Welche Bußgelder werden aktuell von Aufsichtsbehörden verhängt? 

Die Berliner Beauftragte für Datenschutz verhängte ein Bußgeld in Höhe von insgesamt EUR 215.000 gegen ein Unternehmen. Dieses hatte u. a. unzulässigerweise sensible Informationen über den Gesundheitszustand einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung dokumentiert und in einer tabellarischen Übersicht zusammengeführt. Dabei wurde die Weiterbeschäftigung mehrerer Personen offen als „kritisch“ oder „sehr kritisch“ eingestuft.

Die Beauftragte für den DS begründete das Bußgeld damit, dass sensible personenbezogene Daten, wie Inanspruchnahme einer Psychotherapie oder Interesse an der Gründung eines Betriebsrates, nicht in einer solchen Übersicht aufgeführt wurden dürften. Daten, welche zur Bewertung einer eventuellen Weiterbeschäftigung von Mitarbeitern verwendet werden, dürfen nur Rückschlüsse auf Verhalten oder Leistung zulassen, die unmittelbar mit dem Beschäftigungsverhältnis zusammenhingen.

Weitere Bußgelder von insgesamt 40.000 EUR wurden aufgrund

• der mangelhaften Beteiligung der betrieblichen Datenschutzbeauftragten bei Erstellung der Liste

• die fehlende Erwähnung dieser im Verarbeitungsverzeichnis

• sowie die verspätete Meldung einer Datenpanne

verhängt.

Mehr Infos

Das Datenschutzzentrum des Saarlandes verhängte gegen ein Pflegeheim ein Bußgeld in Höhe von EUR 9.500,-. Hintergrund war eine Beschwerde einer Privatperson über eine offen daliegende Liste, in der sich Besucher eines Pflegeheims beim Betreten der Einrichtung eintragen mussten, sowie Angaben machen mussten zu Kontaktdaten und gesundheitsbezogenen Daten.

Das Datenschutzzentrum stellte zum einen fest, dass die Erhebung der gesundheitsbezogenen Daten der Besucher, durch die in Folge der Covid-19-Pandemie erlassenen Verordnungen rechtmäßig war. Jedoch hätte das Pflegeheim Maßnahmen ergreifen müssen, um die Daten der Besucher vor Einsicht durch unberechtigte Dritte zu schützen.

Bericht 2022 des Datenschutzzentrums des Saarlandes

Stand: 13.09.2023

Kann man bei Google das Löschen von Vorschaubildern beantragen? 

Auslistungsbegehren bei Google

BGH (VI. Zivilsenat), Urteil vom 23.05.2023 – VI ZR 476/18

Aus dem Sachverhalt

Der Kläger wollte von Google eine Auslistung bestimmter Ergebnislinks sowie die Auslistung von Vorschaubildern bei Eingabe seines Namens bei Google erwirken, da u.a. kritische, negative und falsche Berichtserstattungen über diverse Unternehmen des Klägers in der Google-Suche zu finden gewesen wären. Der Kläger führte mehrere Artikel der Website „www.g...net“  sowie Vorschaubilder in der Klage auf, die er gerne aus der Google-Suche entfernt haben wollte.

Die Klage wurde teilweise vom Landgericht abgewiesen. Eine Berufung blieb erfolglos. Die Revision wurde zugelassen und zwei Vorlagefragen zur Klärung gegeben. Die Revision hatte in Teilen Erfolg.

Aus den Urteilsgründen

Der Auslistungsanspruch der Vorschaubilder war – im Gegensatz zum Auslistungsanspruch der Artikel -  erfolgreich. Der Anspruch auf Auslistung ergibt sich aus Art. 17 Abs. 3 Buchst. a DSGVO. Hier müssen die Rechte aus Art. 7 und 8 der Charta der Grundrechte der Europäischen Union mit den Rechten aus Art. 11 der Charta der Grundrechte abgewogen werden.

Um eine Auslistung der in der Klage zitierten Artikel zu erreichen, müsse der Kläger nachweisen können, dass der angezeigte Inhalt offensichtlich falsch sei. Dabei muss der Kläger im Einzelfall die Unrichtigkeit darlegen können.

Zum Thema Fotos/Bildnisse einer Person:

Ein Betreiber einer Suchmaschine muss, wenn er mit einem Auslistungsantrag befasst wird, der darauf abzielt, dass aus den Ergebnissen einer anhand des Namens einer Person durchgeführten Bildersuche Fotos gelöscht werden, die in Gestalt von diese Person darstellenden Vorschaubildern angezeigt werden, prüfen, ob die Anzeige der fraglichen Fotos erforderlich ist, um das Recht auf freie Information auszuüben, das den Internetnutzern zusteht, die potentiell Interesse an einem Zugang zu diesen Fotos mittels einer solchen Suche haben (aaO Rn. 96). Insoweit stellt der Beitrag zu einer Debatte von allgemeinem Interesse einen entscheidenden Gesichtspunkt dar, der bei der Abwägung der widerstreitenden Grundrechte zu berücksichtigen ist, um die Frage beurteilen zu können, ob die Rechte der betroffenen Person auf Achtung ihres Privatlebens und auf Schutz ihrer personenbezogenen Daten oder vielmehr die Rechte auf freie Meinungsäußerung und Information Vorrang haben müssen (aaO Rn. 97).

Stand: 26.07.2023

Was steht in den neuen chinesischen Standardvertragsklauseln? 

Am 01.06.2023 sind neue chinesische Standardvertragsklauseln in Kraft getreten.

Im Gegensatz zu den EU-Standardvertragsklauseln bestehen die chinesischen Standardvertragsklauseln nicht aus verschiedenen Modulen, sondern sind ein Einheitsmodell. Auf den ersten Blick sind die chinesischen SCC somit für den Anwender einfacher gestrickt als für europäischen Standardvertragsklauseln.

Unterschiede zwischen den europäischen und den chinesischen Standardvertragsklauseln gibt es vorwiegend in den Hinterlegungspflichten, in der Struktur und in Bezug auf den Anwendungsbereich.

Der Anwendungsbereich der chinesischen SCC ist deutlich eingeschränkter im Vergleich zu denen der DSGVO, da andere bzw. niedrigere Schwellenwerte festgelegt wurden.

Der fundamentalste Unterschied besteht darin, dass die chinesischen Standardvertragsklauseln eine zwingende Anwendbarkeit des chinesischen Rechts vorschreiben und somit keinen Gestaltungsraum zulassen.

Gemeinsamkeiten sind hinsichtlich der Unveränderlichkeit und der Vorrangwirkung zu sehen. Genau wie die europäischen SCC dürfen die chinesischen SCC nicht verändert werden und müssen strikt übernommen werden. Der Vorrang ist dahingehend geregelt, dass europäische SCC Vorrang haben, wenn eine Datenübermittlung aus dem europäischen Wirtschaftsraum übermittelt werden. Analog gelten die chinesischen Standardvertragsklauseln vorrangig, wenn personenbezogene Daten aus China an den EWR übermittelt werden. Zudem ist auch stets eine Datenschutz-Folgenabschätzung durchzuführen.

Mehr Infos

Stand: 26.07.2023

Darf Videomaterial gerichtlich verwendet werden? 

BAG, Urteil vom 29.06.2023 - 2 AZR 296/22
Aus dem Sachverhalt

Der Kläger war ein Mitarbeiter einer Gießerei.  Er wurde aufgrund vertragswidrigen Verhaltens von der Gießerei entlassen, da er zwar zu Schichtbeginn das Werksgelände betreten und eingestempelt habe, aber das Gelände vor Schichtende wieder verlassen und sich diese Mehrarbeitsschicht trotzdem vergüten habe lassen. Am Werkgelände wurden – aufgrund anonymer Hinweise – Videokameras installiert, da der Vorwurf des Arbeitszeitbetrugs durch mehrere Mitarbeiter im Raum stand. Der Kläger behauptete trotz vorliegendem Videobeweismaterial, dass er an dem besagten Tag gearbeitet hätte und es sich daher nicht um Arbeitszeitbetrug handeln könne und die Videoüberwachung auch nicht verwendet werden dürfe, da diese dem Sachvortrags- und Beweisverwertungsverbot unterliegen würde.

Ein Piktogramm zur Kennzeichnung der Videoüberwachung wurde neben der offensichtlich installierten Videokamera von der Arbeitgeberin am Werksgelände angebracht. Der Klage wurde in den Vorinstanzen stattgegeben.

Aus den Urteilsgründen

Die Beklagte legte Revision ein und hatte Erfolg. Selbst wenn hier ein Verstoß gegen die DSGVO und das BDSG vorläge, würde jedoch im vorliegenden Fall die Klärung des vorsätzlichen Arbeitszeitbetrugs und damit vertragswidrigen Verhaltens überwiegen. Zudem war die Videoüberwachung und Speicherung der Daten per se nicht unzulässig.

Da es bei der offensichtlichen Überwachung des Werkgeländes nicht um eine gravierende Grundrechtsverletzung handeln würde, wäre ein Verwertungsverbot der Videoaufzeichnungen nicht vertretbar.
(BAG: „Datenschutz ist kein Tatenschutz“).

Ergebnis: die Videoaufzeichnungen dürfen im Kündigungsschutzprozess verwendet werden.

Stand: 26.07.2023

Wann kann von einer mutmaßlichen Einwilligung bei der Telefonakquise im B2B-Bereich ausgegangen werden? 

Gesetz gegen den unlauteren Wettbewerb (UWG)


§ 7 Unzumutbare Belästigungen

(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht.

(2) Eine unzumutbare Belästigung ist stets anzunehmen

1. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung,

Einwilligung und mutmaßliche Einwilligung verhalten sich zueinander wie Rechtsgeschäfẗ und Geschäftsführung ohne Auftrag. Eine mutmaßliche Einwilligung (häufig auch als vermutetes Einverständnis bezeichnet) liegt daher vor, wenn es an einer ausdrücklichen oder konkludenten Einwilligungserklärung fehlt, wenn aber die geschäftliche Handlung dem objektiven Interesse oder dem wirklichen oder mutmaßlichen Willen des Adressaten entspricht (vgl. § 683 BGB). Es muss auf Grund konkreter Umstände ein sachliches Interesse des Anzurufenden vom Anrufer vermutet werden können (BGH GRUR 1991, 764 [765] – Telefonwerbung IV; bestätigt in BGH GRUR 1995, 220 [221] – Telefonwerbung V; BGH GRUR 2004, 520 [521] – Telefonwerbung für Zusatzeintrag; BGH GRUR 2008, 189 – Suchmaschineneintrag; BGH GRUR 2010, 939 Rn. 20 – Telefonwerbung nach Unternehmenswechsel).“ (Quelle: Ohly/Sosnitza/Ohly UWG § 7 Rn. 77)

„Von der mutmaßlichen Einwilligung sind also Anrufe gedeckt, an denen ein durchschnittlich störungsanfälliger Gewerbetreibender interessiert wäre, sofern nicht besondere Umstände für einen entgegenstehenden Willen gerade des individuellen Adressaten sprechen. Erforderlich ist eine Interessenabwägung, die aber die Besonderheit aufweist, dass auf beiden Seiten Interessen des Angerufenen zu berücksichtigen sind. Ebenso wie die Einwilligung vor dem Anruf erklärt werden muss, ist auch bei der mutmaßlichen Einwilligung auf die Interessenlage vor dem Anruf abzustellen (Köhler/Bornkamm/Feddersen/Köhler Rn. 163). Die Beweislast für die Tatsachen, die zur Annahme einer mutmaßlichen Einwilligung führen, trägt der Werbende (insoweit gilt dasselbe wie bei der Einwilligung, → Rn. 75).“ (Quelle: Ohly/Sosnitza/Ohly UWG § 7 Rn. 77)

Für die Annahme einer mutmaßlichen Einwilligung kann z.B. folgendes Kriterium sprechen:

Nähe des Angebots zum spezifischen Bedarf des umworbenen Unternehmens (BGH GRUR 1991, 764 [765] – Telefonwerbung IV): Je eher ein konkreter und besonderer Bedarf des beworbenen Unternehmens nach außen erkennbar ist und je weniger mit vergleichbaren Angeboten anderer Unternehmer zu rechnen ist, desto eher ist eine mutmaßliche Einwilligung anzunehmen.“ (Quelle: Ohly/Sosnitza/Ohly UWG § 7 Rn. 78)

Ob das im konkreten Fall der Telefonakquise für Social-Recruiting bei Stellenanzeigen schaltende Unternehmen gegeben ist, ist fraglich. Wir von LiiDU halten die Schaltung einer Stellenanzeige für zu generisch, als hier auf den besonderen Bedarf abstellen zu können (z.B. würde hier auch der Verkauf von Personalbuchhaltungssoftware darunter fallen, weil Mitarbeiter beschäftigt werden). Es ist aber eine andere Ansicht vertretbar.

Stand: 19.07.2023

Darf das Kartellamt die DSGVO bei Meta prüfen? 

Mehr Infos zum Facebook EuGH-Urteil vom 04.07.2023 - C‑252/21 finden Sie in unserem Blog.

Wie lautet eine korrekte Datenauskunft, wenn ich eine Abmahnung erhalten habe? 

Mehr Informationen zu den Abmahnungen durch Maximilian Größbauer und brandt.legal finden Sie in unserem Blog.

Was steht im neuen Angemessenheitsbeschluss zwischen der EU und den USA? 

Mehr Infos zum Data Privacy Framework finden Sie in unserem Blog.

Was steht im Tätigkeitsbericht 2022 des Bayerischen Landesamts für Datenschutzaufsicht? 

Der aktuelle Tätigkeitsbericht für das Jahr 2022 wurde vom Bayerischen Landesamts für Datenschutzaufsicht veröffentlicht.

2022 sind insgesamt 5032 Beschwerden und Kontrollanregungen eingegangen
(leichter Rückgang im Vergleich zum Vorjahr – 6009 Beschwerden und Kontrollanregungen im Jahr 2021)

Hauptbereiche der eingegangenen Beschwerden  (vgl. S. 18f)

Internet (Tracking, Einwilligungsbanner, Datenschutzerklärungen) --> Abnahme um 35 %

Videoüberwachung --> Zunahme um 7%

Internationaler Datenverkehr (--> Zunahme um 170 %

• Finanzen, Gesundheit, Versicherung, Handel, --> Abnahme um 9 %

• Technischer Datenschutz --> Abnahme von 5 %

Datenpannen:

• Zahl der Meldungen von Verletzungen der Sicherheit bei der Verarbeitung personenbezogener Daten in 2022 deutlich auf 2991 gesunken (3946 im Jahr 2021) (vgl. S. 21)

Datenschutzkontrollen

Ransomware Präventionsprüfung wurde aufgrund der hohen Bedrohungslage als Dauerprüfung etabliert (vgl. S. 80)

Inhalt der Prüfung nach Art. 32 DS-GVO zur Sicherstellung eines angemessenen Sicherheitsniveaus:

• Systemlandschaft

• Patch Management

• Backup-Konzept

• Überprüfung des Datenverkehrs

• Awareness und Berechtigungen

Kontrolle E-Mail-Sicherheit: spürbaren Steigerung der Bedrohungslage für Cyberangriffe auf E-Mail-Dienste
--> neue Prüfreihe für (bei Dienstleistern) betriebene E-Mail-Accounts

Stand: 12.07.2023

Was steht im Tätigkeitsbericht 2022 des Bayerischen Landesbeauftragten für den Datenschutz? 

Der Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz für das Jahr 2022 wurde veröffentlicht.

Meldungen von Verletzungen des Schutzes personenbezogener Daten (vgl. Tätigkeitsbericht S. 159f.)

Die Anzahl an Meldungen nach Art. 33 DSGVO ist im Vergleich zum Jahr 2021 beinahe gleichgeblieben.

Meldungen sind vorwiegend in folgenden Bereichen eingegangen:

• Meldungen aus dem Gesundheitsbereich - Verletzung des Schutzes der Vertraulichkeit von personenbezogenen Daten (Übermittlung von medizinischen Informationen wie Quarantänebescheide/Testergebnisse, Neugierzugriffe)

Hackerangriffe und Schadsoftware - große Gefahr für die Sicherheit bei der Verarbeitung personenbezogener Daten (häufig wurden größere, überregionale Dienstleister angegriffen --> Vielzahl von öffentlichen Stellen von Sicherheitsvorfällen betroffen à lange Ausfälle von IT-Systemen)

Themen (Auswahl):

Google Web Fonts --> dynamische Einbindung nur mit wirksamer Einwilligung zulässig (vgl. S. 33ff.)

• Transparenzanforderungen an externe behördliche Datenschutzbeauftragte --> es muss jederzeit klar und eindeutig erkennbar sein, dass die handelnde Person externer behördlicher Datenschutzbeauftragter der öffentlichen Stelle ist (vgl. S. 36ff.)

Auftragsverarbeitung -->Erforderlichkeit eines wirksamem Vertrags über Auftragsverarbeitung (vgl. S. 64f)

Bayerische Universitätsklinikagesetz à Einführung neuer Rechtsgrundlagen für die Verarbeitung von Patientendaten zu wissenschaftlichen Forschungszwecken (vgl. S. 75f)

Einwilligung im Beschäftigungsverhältnis --> Übermittlung individueller Gehälter ist ohne Einwilligung datenschutzrechtlich unzulässig (vgl. S. 105f)

• DSFA: neue Orientierungshilfe „Risikoanalyse und Datenschutz-Folgenabschätzung – Systematik, Anforderungen, Beispiele

Stand: 12.07.2023

Was ist die OBFCM-Verordnung? 

Seit dem 01.01.2021 müssen alle neu zugelassenen Pkw-Modelle der Klassen N1 & M1 (Verbrenner und Hybride) mit einer sogenannten OBFCM-Einrichtung ausgestattet werden.

OBFCM steht dabei für On-Board Fuel Consumption Monitoring. Der Gesetzgeber möchte mit dieser Regelung erreichen, dass Laborwerte mit realen Verbrauchswerten abgeglichen werden können.

Die Verbrauchsdaten (Kraftstoffverbrauch) werden anhand einer Schlüsselnummer (FIN = Fahrzeugsidentifikationsnummer) das ganze „Autoleben“ gespeichert und können anhand dieser identifiziert werden. Dem Auslesen der Daten kann widersprochen werden.

Was steht in der OBFCM-Verordnung?

Die europäische Verordnung wurde von der Kommission am 04.03.2021 erlassen. Daten werden ab dem 20.05.2023 erhoben, vgl. Art. 10 der Verordnung.

Ab diesem Zeitpunkt startet die automatische regelmäßige Datenübermittlung im Rahmen der Hauptuntersuchung. Insbesondere Fahrzeughersteller und Werkstätte müssen dann die Verordnung umsetzen, die Fahrzeuge also entsprechend ausstatten und die Daten ordnungsgemäß melden.

Sie werden über eine Schnittstille direkt nach Brüssel zur EU-Kommission übersendet. Im Anschluss werden die Daten anonymisiert verarbeitet und gespeichert. Die FIN selbst wird dabei auch übermittelt. Die FIN-Nummer ist jedoch natürlichen Personen zuordenbar, weshalb hier der Anwendungsbereich der DSGVO eröffnet ist, da es sich hierbei um personenbezogene Daten der Fahrzeughalter handelt.

Halter müssen grundsätzlich nicht aktiv werden, denn bei einer Erstzulassung nach dem 01.01.2021 wird dies automatisch durchgeführt. Es gibt jedoch die Möglichkeit der Datenübermittlung zu widersprechen.
Der ADAC informiert hierzu umfassend

Laut Fokus kann entweder per E-Mail beim Autohersteller widersprochen werden oder durch ein aktives „Opt-Out“ in der Werkstatt. Hier hapert es in der Praxis wohl noch an der Erfüllung der Informationspflichten nach Art. 13 DSGVO. 

Erwägungsgrund 13:
 „Die Erhebung der Daten aus dem praktischen Fahrbetrieb und der FINs sollte vollkommen transparent sein, weshalb die Fahrzeughalter die Möglichkeit haben sollten, sich zu weigern, diese Daten den Herstellern oder im Zuge der technischen Überwachung zur Verfügung zu stellen. Es ist darauf hinzuweisen, dass das Verweigerungsrecht des Fahrzeughalters nicht auf Artikel 21 der Verordnung (EU) 2016/679 beruht und dass die Verweigerung nur in Bezug auf die für die Zwecke dieser Verordnung erhobenen Daten als gültig angesehen werden sollte.“

Wie steht es um den personenbezogenen Datenschutz?

Artikel 11

Verpflichtungen in Bezug auf den Schutz personenbezogener Daten

(1)   Die folgenden Stellen, die für die Erhebung der FINs zusammen mit den direkt aus dem Fahrzeug ausgelesenen Daten aus dem praktischen Fahrbetrieb zuständig sind, gelten in Bezug auf die Erhebung und Verarbeitung der FINs als für die betreffenden Daten Verantwortliche im Sinne von Artikel 4 Nummer 7 der Verordnung (EU) 2016/679:

a) Hersteller im Falle einer direkten Datenübertragung aus dem Fahrzeug an den Hersteller;

b) Vertragshändler und Vertragswerkstätten;

c) für die technische Überwachung zuständige Stellen oder Einrichtungen.Diese Stellen sorgen dafür, dass sie ihrer Pflicht nachkommen, die Fahrzeughalter in deren Eigenschaft als betroffene Personen gemäß Artikel 13 der genannten Verordnung zu informieren

Stand: 05.07.2023

Muss die Telefonnummer des DSB auf der Datenschutzerklärung der Homepage aufgeführt werden? 

Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.

Was ist eine digitale Signatur? 

Aus Datenschutzsicht ist eine digitale Signatur positiv zu bewerten, da dadurch sichergestellt werden kann, dass ein besonderes Augenmerk auf die IT-Sicherheit gelegt wird. Besonders bei Dienstleistern, die sensible Daten besonderer Kategorien personenbezogener Daten verarbeiten (z.B. Lohnabrechnungen bei Steuerberatern), ist eine verschlüsselte E-Mail-Kommunikation mit Signaturschlüssel notwendig.

Durch eine digitale Signatur (S/MIME) wird die Urheberschaft der E-Mail-Nachricht garantiert. Der Inhalt der E-Mail wird verschlüsselt (wenn der Adressat ebenfalls zertifiziert ist), sodass kein unberechtigtes Mitlesen des E-Mail-Inhalts sichergestellt werden kann. 

Die Verschlüsselung von E-Mails mit einem S/MIME-E-Mail-Zertifikat kann die Einhaltung der Vorschriften aus der DSGVO sicherstellen. Mit einem solchen Zertifikat kann nachgewiesen werden, dass personenbezogene Daten in der E-Mail-Kommunikation vertraulich behandelt werden nach Art. 25 DSGVO.

Stand: 05.o7.2023

Welche Rechte habe ich als Betroffene des Datenleaks von Ledger? 

Was ist das Ledger-Datenleak?

Ledger ist ein Hardware-Crypto-Wallet-Anbieter mit Sitz in Frankreich. 2020 kam es zu einem Datenleak. Damals wurden circa eine Million personenbezogene Daten von Kunden abgegriffen. Neben Bestelldaten, Namen, Adressen und Telefonnummern wurden u.a. auch die E-Mail-Adressen geleakt, weshalb betroffene Kunden seitdem vermehrt Phishing Mails und Spam-Telefonanrufe erreicht haben.

Auslöser für den Datendiebstahl war eine Sicherheitslücke, die im Juli 2020 bestand. Im Dezember 2020 wurde die geleakte Kundendatenbank von den Hackern bei Raidforums online gestellt, wodurch eine unüberschaubare Anzahl Dritter Zugriff auf diese Daten erhalten konnte. Ledger hat die massive IT-Sicherheitslücke erst relativ spät erkannt und seine Kunden auch nicht umgehend nach Bekanntwerden des Datenleaks entsprechend informiert.

Welche Rechte habe ich als Betroffene des Datenleaks von Ledger?

Betroffenen des Datenleaks stehen aufgrund der verspäteten Meldung bei der Aufsichtsbehörde und mangelnder
IT-Sicherheit
(unzureichende technische und organisatorische Maßnahmen) folgende Rechte zu:

Recht auf Auskunft über die Verarbeitung personenbezogenen Daten

Unterlassungsanspruch hinsichtlich der Veröffentlichung der Daten

Schadensersatz nach Art. 82 DSGVO

Stand: 28.06.2023

Was steht im Tätigkeitsbericht 2022 des LfD Niedersachsen? 

Das LfD Niedersachsen hat seinen Tätigkeitsbericht für das Jahr 2022 veröffentlicht.
Die wichtigsten Zahlen im Überblick:

Leichter Rückgang bei den Beschwerden

• 2058 Beschwerden gemä̈ß Art. 77 DS-GVO (2021 waren es 2538 Beschwerden)

Rückgang bei den gemeldeten Datenschutzverletzungen

• 1149 Datenschutzverletzungen gemäß Art. 33 DS-GVO (2020 waren es 1673 Meldungen)
Der Rückgang ist auf die ca. 500 Meldungen zu Sicherheitslücken in Microsoft Exchange Servern (sog. „Hafnium Hack“) im Jahr 2021 zurückzuführen

Abhilfemaßnahmen der Aufsichtsbehörden nach Art. 58 Abs. 2

• 305 Verwarnungen, 9 Anweisungen und Anordnungen, 90 Warnungen

• Gesamthöhe der verhängten Bußgelder: rund 2,2 Millionen Euro (Schwerpunkt: unzulässige Videoüberwachung)

Stand: 28.06.2023

Was sagen die EDSA-Leitlinien zur Bußgeldpraxis? 

Mehr Informationen zu den EDSA-Leitlinien finden Sie in unserem Blog.

Darf ich Lohnabrechnungen digital per Mail versenden? 

Ausführliche Informationen zur digitalen Gehaltsabrechnung finden Sie in unserem Blog.

Darf ein Anbieter eines TMS GPS-Daten speichern? 

Konkretisierung der Fragestellung

Ein Anbieter eines Transportmanagementsystems (TMS) speichert die GPS-Daten seiner Kunden für 10 Jahre auf einer SaaS-Plattform bei Hetzner. 

Der Hersteller begründet die lange Speicherdauer damit, dass er in den GPS-Daten keinen Personenbezug sieht, da die Namen der Fahrer nicht in derselben Tabelle zusammen mit dem GPS-/ Kennzeichendaten gespeichert werden. 

Kann die lange Speicherdauer evtl. damit begründet werden, dass aus den GPS-Daten abrechnungsrelevante Kriterien (Maut/ Standgelder etc.)  hervorgehen, die bei einer Steuerprüfung herangezogen werden können?

Wie sollte aus vorgegangen werden, um mögliche Bußgelder von den Kunden abzuwenden?

Urteil zur Zulässigkeit des GPS-Trading im Logistikbereich

Urteil des VG Wiesbaden vom 17.01.2022  (6 K 1164/21.WI) zur Zulässigkeit des GPS-Trading im Logistikbereich

Aus dem Sachverhalt

Klägerin ist ein Logistikunternehmen. Die Klägerin hatte in ihren Firmenwägen GPS -Systeme verbaut zur Überwachung des Standorts der Fahrzeuge sowie zur Verhinderung von Kraftstoffdiebstählen und Missbräuchen. Die GPS-Tracking-Daten wurden über eine SaaS-Lösung auf einem Server (unbekannter Standort) 400 Tage gespeichert. Die Mitarbeiter wurden über das verbaute GPS-Tracking nicht informiert. Daher lagen auch keine Einwilligung der Mitarbeiter vor. Der Beklagte wurde auf den möglichen Datenschutzverstoß durch die Klägerin aufmerksam und forderte Auskunft über die stattfindende GPS-Überwachung der Fahrzeuge und forderte diese zu unterlassen und die bisherigen Aufzeichnungen zu löschen, da die Speicherung unverhältnismäßig und nicht rechtmäßig sei. Die Klage hatte keinen Erfolg, da sie unbegründet sei. 

Aus den Urteilsgründen

Die Speicherung der GPS-Daten stelle einen Verstoß gegen die DSGVO dar. Auch eine Einwilligung wäre keine praktikable Lösung, da die Mitarbeiter in einem Abhängigkeitsverhältnis zur Klägerin stünden und somit die Freiwilligkeit der Einwilligung nicht gegeben wäre. Auch wenn es sich vorrangig um das Tracking der Fahrzeuge handle, sind natürliche Personen identifizierbar. Daher betrifft die Verarbeitung personenbezogene Daten nach Art 4 Abs. 1 DSGVO. Auch eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c) DSGVO kann nicht als Rechtsgrundlage für die Verarbeitung herangezogen werden, zumal die Speicherdauer von 400 Tagen unverhältnismäßig sei. Auch die Tatsache, dass die Mitarbeiter nicht über die Aufzeichnung und Speicherung informiert wurden, sondern die Datenerhebung heimlich stattfand, spricht laut dem Gericht gegen die eine Zulässigkeit.

Darf ein Anbieter eines Transportmanagementsystems nun die GPS-Daten seiner Kunden speichern?

Der Anbieter des TMS ist Auftragsverarbeiter nach Art. 28 DSGVO für das Transportunternehmen. Er ist an den Normen der DSGVO zu messen. Zwar bezieht sich das Urteil des VG Wiesbaden auf die Verpflichtung der Auftraggeber, keine personenbezogenen Daten der Fahrer über GPS zu erheben, der AV ist aber im gleichen Maße verpflichtet nicht gegen die DSGVO-Normen zu verstoßen. Er hat also im Zweifel eine Hinweispflicht an seinen Kunden, dass die Fahrerdaten entweder nur unter engen Voraussetzungen erhoben und gespeichert werden dürfen – oder gar nicht.

Sobald die Abrechnungen der Touren fertig und in Rechnung gestellt sind, ist es aus steuerrechtlichen Gründen wohl nicht notwendig, die Fahrerdaten mitzuspeichern. Sofern möglich, sollten die Fahrerdaten danach gelöscht werden.

Stand: 21.06.2023

Was regelt das Hinweisgeberschutzgesetz (HinSchG)? 

Ausführliche Informationen zum Hinweisgeberschutzgesetz finden Sie in unserem Blog.

Was ist eine meldepflichtige „Datenpanne“? 

Datenpannen können – sowohl von Betroffenen als auch von den Verantwortlichen Stellen - bei den jeweiligen Aufsichtsbehörden gemeldet werden. Das BayLDA bietet beispielsweise ein Webportal für die Meldung einer Datenschutzverletzung nach Art. 33 DS-GVO an.

Stand: 14.06.2023

Was unterscheidet den Datenschutz in öffentlichen Verantwortlichen Stellen und im Bereich der Privatwirtschaft? 

Rechtsgrundlagen im Datenschutz für staatliche und kommunale Behörden

Rechtsgrundlagen für staatliche und kommunale Behörden:

• DSGVO

• Bayerisches Datenschutzgesetz und

• – je nach Verwaltungsbereich – datenschutzrechtliche Fachvorschriften

• Soweit bayerische öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gelten für sie selbst und ihre Zusammenschlüsse und Verbände die Vorschriften für nicht öffentliche Stellen – also ergänzend zu den Vorschriften der Datenschutz-Grundverordnung insbesondere die Vorschriften des Bundesdatenschutzgesetzes (Art. 1 Abs. 3 BayDSG).

Mehr Infos dazu beim STMI Bayern

Anwendungsbereich der Landesdatenschutzgesetze

Landesdatenschutzgesetze

„Die Vorgaben der Landesdatenschutzgesetze richten sich in erster Linie an öffentliche Stellen und Unternehmen, die Aufgaben der öffentlichen Verwaltung wahrnehmen. Daneben sind in den LDSG die nach § 40 Abs. 1 BDSG im jeweiligen Bundesland für Privatunternehmen zuständige Datenschutzaufsichtsbehörde und deren Befugnisse festgelegt. Zudem treffen einzelne Bundesländer in ihren Landesdatenschutzgesetzen auch Vorgaben für Unternehmen und/oder Personen, welche den Datenschutz außerhalb des Anwendungsbereichs der DSGVO oder der JI‑Richtlinie betreffen.“

Rechtsgrundlagen im Datenschutz für Unternehmen

Rechtgrundlagen für Unternehmen:

• DSGVO

• BDSG

• TTDSG

Ein entscheidender Unterschied zum behördlichen Datenschutz ist die Thematik Bußgelder. Diese werden in der DSGVO in Art. 83 DGSVO - Allgemeine Bedingungen für die Verhängung von Geldbußen genauer definiert.

Gegenüber öffentlichen Behörden können keine Bußgelder verhängt werden, das ist in § 43 Abs. 3 BDSG so geregelt.

Stand: 14.06.2023

Darf die E-Mailadresse eines Endkunden an den Spediteur weitergegeben werden? 

Bei der E-Mail-Adresse handelt es sich um ein personenbezogenes Datum.
Daher ist im vorliegenden Fall der Anwendungsbereich der DSGVO eröffnet.

Zulässig wäre daher die Weitergabe der E-Mail-Adresse mit der Einwilligung des Kunden, vgl. Art. 6 Abs. 1a) DSGVO.

Art. 6 DSGVO  - Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

Liegt keine Einwilligung des Kunden vor, kommt als Rechtsgrundlage für die Weitergabe noch Art. 6 Abs. 1b) DSGVO in Betracht.

Art. 6 DSGVO  - Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

Art. 6 Abs. 1b) DSGVO dürfte als Rechtsgrundlage aber ausgeschlossen sein, da es nicht zur Erfüllung eines Vertrags notwendig ist, die Mailadresse des Kunden an den Spediteur weiterzugeben.

Liegt keine Einwilligung des Kunden vor, kommt als Rechtsgrundlage für die Weitergabe Art. 6 Abs. 1f) DSGVO in Betracht.

Art. 6 DSGVO  - Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Art. 6 Abs. 1f) DSGVO dürfte in der Abwägung des berechtigten Interesses zu Gunsten der Persönlichkeitsrechte des Kunden ausfallen und dient somit nicht als Rechtsgrundlage für die Weitergabe der Kunden-Mailadresse an den Spediteur. Fazit: Ohne Einwilligung des Kunden ist eine Weitergabe der Mailadresse des Kunden nicht zulässig.

Stand: 14.06.2023

Was steht im Urteil des VGH München vom 30.05.2023 (5 BV 20.2104)? 

Aus dem Sachverhalt

Der Kläger ist wohnhaft und berufstätig in Passau und klagte gegen die Videoüberwachung und Bildaufzeichnung in der städtischen Anlage „Klostergarten“ in Passau, den er sowohl beruflich als auch privat nutzt.

Die Klage wurde vom Verwaltungsgericht abgewiesen. Laut dem Verwaltungsgericht wäre die Klage unbegründet und die Videoüberwachung auf Grundlage von Art. 6 DGSVO rechtmäßig, da es sich hierbei um eine öffentliche Einrichtung handle. Primärer Grund der Videoüberwachung des Naherholungsgebiets seien der Schutz vor Vandalismus sowie der Verhinderung von Kriminalität. Durch die Videoüberwachung in der öffentlich zugänglichen Anlage wäre der Kläger nicht in seinem informationellen Selbstbestimmungsrecht oder seinen Persönlichkeitsrechten verletzt worden.

Der Kläger wendete daraufhin Berufung ein. Die Berufung wurde vom Verwaltungsgericht zugelassen.

Aus den Urteilsgründen

Die Videoüberwachung greife in das Grundrecht auf informationelle Selbstbestimmung des Klägers ein und wäre daher zu unterlassen. Die Videoüberwachung zur Bekämpfung von Kriminalität sei zu bezweifeln, da der Klostergarten keinen Kriminalitätsschwerpunkt in der Stadt Passau darstellen würde. Somit sei die Videoüberwachung zur Vermeidung von Straftaten nach Art. 24 Abs 1 BayDSG unverhältnismäßig bei der hier vorliegenden öffentlichen Grünfläche, die als Naherholungsgebiet für die Bevölkerung öffentlich zugänglich sei. Das Gericht entschied, dass der Kläger in seinen Rechten verletzt wurde und somit Anspruch auf Unterlassung habe.

Stand: 14.06.2023

Woraus ergibt sich, dass IT-Sicherheit Teil des Datenschutzes ist? 

IT-Sicherheit ist Teil der Informationssicherheit sowie auch Teil des Datenschutzes. Ziel der IT-Sicherheit ist es, das Unternehmen zu schützen, sei es vor Bedrohungen oder den Zugriff Dritter auf Informationen und (personenbezogener) Daten.
IT-Sicherheit ist demnach auch einer der wichtigsten Bausteine für den Datenschutz, denn nur wenn alle Informationen, Daten und Systeme ein ausreichendes IT-Sicherheitsniveau aufweisen, kann auch ein ausreichendes Datenschutzniveau gewährleistet werden. Die gesetzliche Grundlage für die vorgeschriebenen Schutzziele wird in Art. 32 DSGVO (Sicherheit der Verarbeitung) geregelt. Unternehmen sind demnach aufgrund Art. 32 DSGVO dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um IT-Sicherheit und Datenschutz zu gewährleisten.

Folgende Schutzziele der IT-Sicherheit sind laut Art. 32 Abs. 1b) sicherzustellen:

Vertraulichkeit

Integrität

Verfügbarkeit

Belastbarkeit

Stand: 24.05.2023

Was wäre eine anzustrebende Zertifizierungsnorm in Sachen IT-Sicherheit? 

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz (ab Seite 171)

Unternehmen und Behörde können sich nach ISO/IEC 27001 zertifizieren lassen, um einen erfolgreichen IT-Grundschutz für Kooperationspartner und Kunden nach außen transparent sichtbar zu machen und somit ein Qualitätsmerkmal vorweisen zu können. Um ein ISO/IEC 27001 Zertifikat zu erhalten, müssen Unternehmen/Behörden sich einem anerkannten Audit unterziehen und folgende Punkte u.a. nachweisen können:

• Umsetzung IT-Grundschutz

• etablierte Informationssicherheitsstandards

• ein funktionierendes IS-Management

• ein definiertes Sicherheitsniveau

Mehr Infos zum Thema Zertifizierung

Stand: 25.04.2023

DSK fordert Änderung des Beschäftigtendatenschutzes 

Am 11. Mai 2023 fand die 105. Tagung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden(DSK) statt.

In der Pressemitteilung der DSK wird darauf verwiesen, dass u.a. auch das Thema „Beschäftigtendatenschutz“ im Fokus der Tagung stand. Die DSK  weist darauf hin, dass die Thematik „Beschäftigtendatenschutz“ in einem eigenen Beschäftigtendatenschutzgesetz geregelt werden solle.

Die DSK bezieht sich hier auf das Urteil des EUGH vom 30.03.2023.

Aus dem Sachverhalt

Im EuGH Urteil wurde über einen Rechtsstreit zwischen dem Minister des Hessischen Kultusministeriums und dem Hauptpersonalrat des Lehrer:innen beim Hessischen Kultusministeriums über die Rechtmäßigkeit von Online-Unterricht per Videokonferenz durchgeführt, ohne dass die Lehrkräfte eine Einwilligung abgegeben hätten.  

Der Videounterricht wurde im Rahmen der Covid-19 Pandemie eingerichtet, sodass Schüler online am Unterricht teilnehmen konnten. Für die Teilnahme am Videounterricht wurde von den Schülern bzw. Erziehungsberechtigten der Kinder eine Einwilligung eingeholt. Von den Lehrern wurde keine Einwilligung eingeholt und sich vom Kultusministeriums auf § 23 Abs. 1 Satz 1 HDSIG berufen, dass keine Einwilligung nötig sei. Daraufhin ließ das Gericht zwei Vorabentscheidungen klären, nämlich wie im vorliegenden Fall der Art. 88 Abs. 1 DSGVO auszulegen sei und ob eine nationale Norm angewendet werden kann, wenn diese Art. 88 Abs. 2 DSGVO nicht erfüllt.

Aus den Urteilsgründen

Mit Urteil vom 30.03.2023 wurde vom EuGH entschieden, dass Art. 88 Abs. 2 DSGVO erfüllt sein müsse, wenn eine nationale Rechtsvorschrift durch eine spezifische Vorschrift Vorrang haben soll. Spezifische Regelungen der Mitgliedsstaaten dürfen demnach nicht gegen die Regelungen der DSGVO verstoßen und müssen die Verarbeitung von personenbezogenen Daten im Beschäftigtenkontext hinsichtlich der Rechte und Freiheiten der Beschäftigten schützen. Die vom Hessischen Datenschutz‐ und Informationsfreiheitsgesetzes festgelegten Regelungen seien somit nicht europarechtskonform in Sinne des Beschäftigtendatenschutzes.

Detaillierte Informationen der DSK zum EuGH-Urteil

Die DSK plädiert aufgrund des EuGH-Urteils dafür, dass in Deutschland ein eigenes Beschäftigtendatenschutzgesetz geschaffen werden müsse, da die aktuellen Regelungen zu viel Raum für Interpretation geben würden und dadurch nicht sachgerecht, praktikabel und normenklar seien.

Die EuGH-Entscheidung ist deutschlandweit von großer Bedeutung, da nun bundesweit überprüft werden müsse, ob die bestehenden Regelungen des § 26 BDSG den Vorgaben von Art. 88 DSGVO entsprechen.

Stand: 24.05.2023

Bußgeld wegen Entsorgung alter Patientenakten im Altpapier 

Gegen einen Arzt wurde ein Bußgeld von 50,- € verhängt, da er alte Akten seiner Patienten im Altpapiercontainer seiner Praxis entsorgt hatte. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein sah darin einen Verstoß gegen Art. 32 DSGVO, denn der Arzt habe mit der unsicheren Entsorgung der Akten gegen die Sicherheit der Verarbeitung verstoßen.

Mehr Infos im DSGVO Portal

Stand: 24.05.2023

Milliardenstrafe gegen Meta 

Pressemitteilung

Gegen Meta Platforms Ireland Limited wurde von der irischen Datenschutzbehörde ein Bußgeld in der Höhe von 1.200.000.000 Euro verhängt, da Meta gegen Art. 46 Abs. 1 DSGVO (Datenübermittlung vorbehaltlich geeigneter Garantien) verstoßen hat. Das ist das bisher höchste Einzelbußgeld, das je gegen einen Verstoß gegen die DSGVO verhängt wurde.

Der konkrete Vorwurf lautet, dass Meta Ireland personenbezogene Daten von EU-Bürgern an die Vereinigten Staaten übermittelt habe, ohne einen ausreichenden Schutz zu bieten. Dadurch wurden die Grundfreiheiten und Grundrechte der Betroffenen Personen verletzt. Da Facebook mehrere Millionen Nutzer in Europa hat, ist das Ausmaß an zu Unrecht übermittelten Daten enorm und daher wurde auch das Bußgeld so hoch angesetzt.

Der Europäische Datenschutzausschuss hat nun die Entscheidung getroffen, dass Meta Ireland zukünftig jegliche Übermittlung personenbezogener Daten an die USA untersagt wird. Zudem müsse die Datenverarbeitung inkl. der Speicherung von Daten, die bisher an die Vereinigten Staaten übermittelt wurden, innerhalb von 6 Monaten eingestellt werden.

Stand: 24.05.2023

Was ist der Unterschied zwischen dem DSB, ISB und ITSB? 

Ausführliche Informationen zu den Aufgaben des Datenschutzbeauftragten, Informationssicherheitsbeauftragten und IT-Sicherheitsbeauftragten finden Sie in unserem Blog.

Wast steht im OLG Frankfurt a. M. Urteil vom 20.04.2023 – 16 U 10/22? 

OLG Frankfurt a. M. Urteil vom 20.04.2023 – 16 U 10/22

Aus dem Sachverhalt:

Ein Innendesignunternehmer für Luxushotels hat Klage gegen Google erhoben, mit dem Ziel die automatische Suchvervollständigung seines Namens mit „bankrott“ zu unterlassen, zunächst am Landgericht Frankfurt am Main.

Eines der ersten Suchergebnisse bei der Klägerin lautete wie folgt:

„Wir haben ein Mandat gegen die Firma (unbezahlte Handwerkerrechnungen) und versuchen den Schaden zu begrenzen. Dabei mussten wir feststellen, dass die Firma bankrott ist.“

Grund für die Illiquidität waren Ermittlungen der Steuerfahndung wegen möglicher Veruntreuung von Firmengeldern nach China mit nachfolgendem Insolvenzantrag. Der Artikel entstand jedoch deshalb, weil der Innendesigner die Rechnung als unberechtigt identifizierte und auf den ordentlichen Rechtsweg verwies, was der vermeintliche Gläubiger als „nicht bezahlte Rechnung wegen bankrott“ veröffentlichte.

Im Jahr 2020 wurde das Unternehmen der Klägerin wegen Vermögenslosigkeit aus dem Handelsregister entfernt.

Mit E-Mail vom 26.02.2021 erklärte die Beklagte, dass die Auslistung der streitgegenständlichen URL verweigert würde, da ein öffentliches Interesse an der Information bestünde.

Die Klägerin verwies darauf, dass es sich um unwahre Tatsachenbehauptungen handele und das Unternehmen zwischenzeitlich gelöscht sei. Ein Namensbestandteil, der weiter existiert, werde auch vom Suchergebnis umfasst, also der gesamte Namenskern sowie die natürlichen Personen dahinter, sodass die dadurch erzeugten Aussagen zu weit und unwahr seien, sowie zu Gerüchten führen und damit geschäftsschädigend seien.

Die Beklagte rügte formale Fehler der Klage (Gerichtszuständigkeit, Bestimmtheit des Antrags und Passivlegitimation). Die Aussagen würden sich außerdem nicht auf natürliche Personen, sondern nur auf das Unternehmen beziehen. Bankrott sei außerdem ein Synonym zu insolvent.

Das Landgericht hat der Klage teilweise stattgegeben und die Beklagte verurteilt, es zu unterlassen, bei der namensbasierten Suche nach der isolierten Eingabe des Vor- und Zunamens des Klägers den Ergänzungsvorschlag „bankrott“ anzuzeigen. Die Klägerin und die Beklagte gingen daraufhin in Berufung.

Aus den Urteilsgründen:

Die Klägerin hat keinen Unterlassungsanspruch gegen Google.

Der Kläger hat keinen Anspruch gegen die Beklagte auf Auslistung der streitgegenständlichen Ergebnislinks gem. Art. 17 DSGVO, weil die von der Beklagten vorgenommene Datenverarbeitung auf der Grundlage aller relevanten Umstände des Streitfalls zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist.

Die Äußerung „X ist bankrott“ ist keine unzulässige Tatsachenbehauptung, sondern eine zulässige Meinungsäußerung. Der Durchschnittsempfänger dieser Information wird nicht davon ausgehen, dass die hinter einem möglichen Einzelkaufmann stehende natürlich Person gleichsam insolvent ist. Zudem wird bankrott im allgemeinen Sprachgebrauch synonym zu „seine Rechnungen nicht mehr bezahlen, zahlungsunfähig oder insolvent“ verwendet. Das Unternehmen ist tatsächlich insolvent und vermögenslos. Auch der Artikel trifft keine offensichtlich unwahre Tatsachenbehauptungen, denn die Rechnung wurde nicht bezahlt, aus welchen Gründen wurde nicht angegeben.

Die seit den berichteten Ereignissen vergangene Zeitspanne von rund drei Jahren ist noch nicht derart groß, als dass sie das Interesse an der niedrigschwelligen Erreichbarkeit der Informationen – auch über die namensbezogene Suche mittels einer Suchmaschine – in den Hintergrund treten ließe, ein Recht auf Vergessenwerden kann daher nicht abgeleitet werden.

Aufgrund der vielzähligen weiteren Suchtreffer wird der „Bankrottartikel“ zudem relativiert.

Der Kläger hat auch keinen Anspruch auf Unterlassung der Suchwortvervollständigung „bankrott“ bei der namensbasierten Suche nach seinem Vor- und Zunamen in der Suchmaschine der Beklagten.

Die hier automatisch erstellte Suchwortvervollständigung der Beklagten kombiniert zwei Wörter, nämlich den Namen des Klägers und das Wort „bankrott“, die dem unvoreingenommenen, die Suchmaschine der Beklagten nutzenden Durchschnittsrezipienten verschiedene Möglichkeiten eröffnen, inhaltliche Zusammenhänge herzustellen oder ein Verständnis zu entwickeln.

Zwei Unternehmen, die den Namen des Klägers in der Firmierung tragen, wurden unstreitig nach Stellung eines Insolvenzantrags wegen Vermögenslosigkeit aus dem Handelsregister gelöscht. Dass es sich hierbei juristisch um Fälle der Insolvenz (§§ 17 ff. InsO) und nicht des Bankrott (§ 283 StGB) handelt, ist unbeachtlich.

Für (potentielle) Kunden und Geschäftspartner ist es weiterhin von erheblichem Interesse, ob ein Unternehmen des Klägers (kürzlich) „bankrott“ bzw. insolvent gewesen ist. Somit besteht ein Informationsinteresse der Öffentlichkeit.

Stand: 17.05.2023

Ist es zulässig, dass ein amerikanisches Unternehmen Zugriffsrechte auf eine Controlling-Software der deutschen Tochtergesellschaft erhält? 

Konkretisierung der Fragestellung

Bei einem Mandanten liegt folgende Unternehmenskonstruktion vor: 

Ein amerikanisches Unternehmen möchte Zugriffsrechte auf eine Controlling-Software der deutschen Tochtergesellschaft erhalten. 

Aus Datenschutzgründen wurde dies bisher nicht eingerichtet. Nun kommt die Idee auf, dass die Zugriffsrechte auf das System bei der irischen Tochtergesellschaft eingerichtet werden könnten. 

Da die irische Tochtergesellschaft keine Räumlichkeiten vor Ort hat, würde der Mitarbeiter aus den USA dann mit seinem Laptop die Räumlichkeiten des Steuerberaters in Irland nutzen.

Ist es zulässig, dass ein Mitarbeiter der Muttergesellschaft auf die deutschen Daten des Controllingsystems zugreifen kann, wenn er sich bei der irischen „Tochter“ aufhält?

Grundlegendes:

In der DSGVO gibt es per se kein Konzernprivileg. Ob ein Datenaustausch zwischen Mutter- und Tochtergesellschaften stattfinden darf,  muss daher immer im Einzelfall geprüft werden, v.a. bei unterschiedlichen Standorten innerhalb und außerhalb der EU.

Begriffsdefinition Unternehmensgruppe nach Art. 4 Abs. 19 DSGVO

„Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;"

Erwägungsgrund 48 - Überwiegende berechtigte Interessen in der Unternehmensgruppe

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.“

Ist der Zugriff auf die deutschen Daten im Controllingsystem in Irland erlaubt?

Ein Zugriff auf die Daten kann also innerhalb einer Gruppe nur gerechtfertigt werden, wenn es sich um „interne Verwaltungszwecke“ handelt. Ein solcher Zweck muss nachweislich vorliegen und darf nicht nur vorgeschoben sein.

Fällt der Zugriff nicht mehr unter diese Zweckkategorie, werden andere Rechtsgrundlagen benötigt (z.B. vertragliche Regelungen oder Einwilligung der betroffenen Personen).  Des weiteren sind in diesem Fall auch die Informationspflichten nach Art. 13. DSGVO einzuhalten.

Da im vorliegenden Fall zudem die Drittlandproblematik (Deutschland – USA) zu berücksichtigen ist, sind neben Erwägungsgrund 48 DSGVO auch die Vorschriften nach Art. 44 ff. DSGVO zu beachten (angemessene/geeignete Garantien für den Datentransfer, z.B. Verhaltensregeln, Angemessenheitsbeschluss der EU-Kommission, Binding Corporate Rules, Standarddatenschutzklauseln, etc.).

Wird die „externe“ Mutterfirma mit HR-Aufgaben der Tochterfirma vertraut, muss entweder ein entsprechender  Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen werden bzw. ein Vertrag mit gemeinsamer Verantwortlichkeit nach. Art. 26 DSGVO.

Wann darf die Mutterfirma (Inhaber des Tenants) neben der Buchhaltung auch die HR-Abteilung für die Tochterfirma übernehmen?

Die DSK empfiehlt für diesen Fall einen Vertrag nach Art. 26 DSGVO, wenn mehrere Verantwortliche gemeinsam über die Verarbeitungszwecke und -mittel entscheiden. Bei bloßer Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen, liegt hingegen Auftragsverarbeitung vor:

Papier der DSK

Stand: 13.12.2023

Wer sagt mir verbindlich, ob ich einen Datenschutzbeauftragten brauche? 

Notwendigkeit der Bestellung eines Datenschutzbeauftragten nach § 38 BDSG

§38 Abs. 1 BDSG

„(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 679/2016 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 679/2016 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“

Hilfreiche Hinweise dazu vom Bay LDA

Stand: 10.05.2023

Was regelt das Digitale-Versorgungs-Gesetz (DVG)? 

Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation - (Digitale-Versorgung-Gesetz – DVG)

Am 19. Dezember 2019 ist das Digitale-Versorgung-Gesetz in Kraft getreten. Ziel des Gesetzes ist es, dass z.B. Ärzte ab sofort auch Gesundheits-Apps verschreiben können, Patienten mehr Informationen zu Online-Sprechstunden im Internet bekommen würden sowie das digitale Netzwerk im Gesundheitswesen ausgebaut werden könne, wie beispielsweise die elektronische Patientenakte.

Auf Grundlage des DVG werden nun die Gesundheitsdaten aller gesetzlich Versicherten in Deutschland zentral gespeichert. Das Digitale-Versorgung-Gesetzes schreibt u.a. auch das Sammeln sowie die zentrale Speicherung von Gesundheitsdaten in einem Forschungsdatenzentrum vor. Darunter fallen etwa ärztliche Diagnosen, aber auch Daten zu Krankenhausaufenthalten und Medikation. 

Das Speichern von derartigen sensiblen und schützenswerten Informationen stößt unter den Versicherten auch auf Unmut und sorgt für Diskussion, ob die Speicherung der Daten DSGVO-konform sei und ein ausreichendes IT-Sicherheitsniveau vorweise.

Stand: 10.05.2023

Wer sind die Preisträger des Big Brother Award 2023? 

Was ist der Big Brother Award?

Die Big Brother Awards werden jedes Jahr an Organisationen, Personen und Firmen verliehen, die nach Ansicht der Jury Verletzungen gegen den Datenschutz begehen bzw. die Privatsphäre von Menschen beinträchtigen. Die Big Brother Awards gibt es nun schon seit über 20 Jahren und sind ein internationales Projekt. Digitalcourage richtet die Big Brother Awards in Deutschland aus.

Ziel der Big Brother Awards ist es, dass Datenschutzverstöße in der Öffentlichkeit bekannt werden und weltweit für Schlagzeilen sorgen. Auch die Aufsichtsbehörden werden nach der Verleihung von den Big Brother Awards hellhörig und verleihen des Öfteren im Nachgang zur Verleihung Bußgelder an die Datensünder (z.B. an die Modekette H&M im Jahr 2020).

Das sind die Preisträger des Jahres 2023:

• Kategorie Behörden und Verwaltung: Bundesfinanzministerium, vertreten durch Bundesfinanzminister Lindner (Plattformen-Steuertransparenzgesetz (PStTG), umfassende Vorratsdatenspeicherung)

• Kategorie Finanzen: Fintech-Unternehmen finleap (Versand von Informationen zum Kontowechsel)

• Kategorie Kommunikation: Zoom Video Communications (Weiterleitung von Daten an Geheimdienste & China)

• Kategorie Lebenswerk: Microsoft (Marktmacht – Datenübermittlung in die USA)

• Kategorie Verbraucherschutz:  Deutsche Post DHL Group (Digitalzwang – Nutzung der Post & DHL App)

Stand: 10.05.2023

Welche Rechte stehen den Betroffenen zu, wenn Art. 6 Abs. I lit. b DSGVO die Rechtsgrundlage für die Verarbeitung darstellt? 

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

(1)Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

Folgende Rechte stehen Betroffenen zu:

• Recht auf Auskunft gem. Art. 15 DSGVO

• Recht auf Berichtigung aus Art. 16 DSGVO

• Recht auf Löschung gem. Art. 17 DSGVO

• Recht auf Einschränkung der Verarbeitung gem. Art. 18 DSGVO

• Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO

Beschwerde bei der Aufsichtsbehörde gem. Art. 77 DSGVO

Stand: 26.04.2023

Wann muss man Informationen zur Online Streitbeilegung veröffentlichen?  

Was ist die Online-Streitbeilegung?

Die ODR-Verordnung gilt nach Art. 2 Abs. 1 für die außergerichtliche Beilegung von Streitigkeiten über vertragliche Verpflichtungen aus Online-Kaufverträgen oder Online-Dienstleistungsverträgen zwischen einem EU-Verbraucher und einem EU-Unternehmer, die durch Einschalten einer der EU-Kommission gemeldeten Streitbeilegungsstelle unter Nutzung der OS-Plattform erfolgt.

Die Richtlinie zur Online-Streitbeilegung gilt damit auch für alle Online-Händler. Sie ermöglicht Händlern und Verbrauchern im Streitfall eine schnelle und kostengünstige Möglichkeit zur Schlichtung.

Um den Zugang zur OS-Plattform für Verbraucher so einfach wie möglich zu gestalten, ist die Verlinkung zur Plattform für alle Online-Händler im Impressum der eigenen Website verpflichtend. Ein Hinweis in Textform (ohne Link) ist nicht ausreichend. Ein Teilnahme an einem Streitbeilegungsverfahren ist immer freiwillig und gilt nicht für B2B-Geschäfte.

Mehr Informationen vom Händlerbund

Wann muss eine verantwortliche Stelle Informationen zur Online Streitbeilegung im Internetauftritt veröffentlichen? 

Die verantwortliche Stelle ist unter folgenden Voraussetzungen immer zur Veröffentlichung eines anklickbaren Links zur OS-Plattform zur Online-Streitbeilegung im Impressum der Website verpflichtet:

• Verantwortliche Stelle ist ein Unternehmen innerhalb der EU

• Das Unternehmen bietet entweder Online-Dienstleistungsverträge oder/und Online Kaufverträge an

• Kunden sind (zumindest auch potenziell) Verbraucher

Beispiel: https://sobola.de/impressum

Müssen Banken und Versicherungen Informationen zur Online Streitbeilegung veröffentlichen?

Banken:

Dies gilt grundsätzlich auch für Banken, sofern online Dienstverträge abgeschlossen werden können. Die Begriffsbestimmung des Unternehmers wird aus der Richtlinie 2013/11/EU übernommen und es werden keine Ausnahmen normiert, egal ob ein Unternehmen im privaten oder öffentlichem Eigentum steht.

Die Zahlungsdienste i.S.d. § 675f BGB werden nach herrschender Meinung als Zahlungsdienstverträge oder Zahlungsdienstrahmenverträge ausgelegt, mithin als Dienstverträge die regelmäßig online abgeschlossen werden können. Jedenfalls die Wertpapierdienstleistungen nach § 2 WpHG sind unstreitig Onlinedienstleistungen die jede Bank dazu verpflichten der ODR-VO nachzukommen.

Versicherungen:

Nach herrschender Meinung sind Versicherungsverträge als Verträge sui generis zu klassifizieren. Eine andere Meinung sieht hingegen eine Geschäftsbesorgungsvertrag mit Treuhandcharakter auf dienstvertraglicher Grundlage. Jedoch bieten viele Versicherungen auch Onlineberatungsmöglichkeiten an, sodass aufgrund der umstrittenen Rechtsnatur ein Verweis entsprechend der ODR-VO üblich ist.

Darüber hinaus müssen Versicherungen nach § 15 Abs. 1 Nr. 12 VersVermVO die Anschrift der Schlichtungsstelle angeben. Ein zusätzlicher Verweis auf die europäische Schlichtungsstelle nach ODR-VO ist demnach kaum Mehraufwand und könnte im Rahmen dessen sogar als verpflichtend gewertet werden.

Stand: 03.05.2023

Was ist der EHDS? 

Entwurf der Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten (EHDS)

Entwurf der Verordnung

Der European Health Data Space („EHDS“) ist der erste Vorschlag für einen bereichsspezifischen, gemeinsamen europäischen Datenraum für Gesundheitsdaten. Mit dem EHDS soll ein gemeinsamer Raum geschaffen werden, in dem sowohl Entscheidungsträgern aus der Politik und Forschungseinrichtungen ermöglicht wird, elektronische Gesundheitsdaten unter Wahrung der Rechte von natürlichen Personen sicher und vertrauenswürdig u.a. für Innovations- und Forschungszwecke zu nutzen. Zudem soll natürlichen Personen die Möglichkeit gegeben werden, ihre elektronischen Gesundheitsdaten leicht kontrollieren zu können. Der Entwurf zum EHDS wurde u.a. auch als Reaktion auf die Covid-19-Pandemie entworfen, da die Pandemie gezeigt hat, welche Relevanz die Auswertung und der Austausch elektronischer Gesundheitsdaten für die Eindämmung von globalen Gesundheitskrisen hat. Das Ziel der EHDS Verordnung ist sowohl die Schaffung eines Rechtsrahmens für die sichere Datenverarbeitung als auch die Sicherstellung der Kontrolle über elektronische Gesundheitsdaten natürlicher Personen.

Stand: 26.04.2023

Werden Datenschutzbeauftragte von der Aufsichtsbehörde kontrolliert? 

Koordinierte Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten durch die europäischen Aufsichtsbehörden gestartet

Pressemitteilung des LDA Bayern vom 15.03.2023

Mitte März ist die zweite europaweite Prüfaktion der europäischen Datenschutzaufsichtsbehörden gestartet. Der Europäische Datenschutzausschuss koordiniert die Prüfaktion. Geprüft werden die Aufgaben und die Stellung der mehr als 36.000 gemeldeten Datenschutzbeauftragten.

Ziel der Prüfaktion ist laut Michael Will (Präsident des BayLDA) eine Bestandsaufnahme der betrieblichen Praxis und das Erkennen von möglichen Verbesserungspotenzial, um ggf. Abhilfemaßnahmen zu schaffen. Geprüft werden u.a. die Ressourcenausstattung sowie die Qualifikation und Unabhängigkeit von den bestellten Datenschutzbeauftragten. Ein Fokus der Prüfung liegt auf der Pflichtanforderung zur unmittelbaren Berichterstattung des Datenschutzbeauftragten an die höchste Managementebene. So sollen etwaige Fehlentwicklungen aufgedeckt und ein klares Bild der vorherrschenden Situation der Datenschutzorganisation in den Unternehmen gezeichnet werden.

Stand: 26.04.2023

Was steht im LAG Urteil zum Thema Schadensersatz? 

LAG Nürnberg, Urteil vom 25.01.2023 - 4 Sa 201/22 (ArbG Bamberg)

Aus dem Sachverhalt:

Klägerin ist eine Angestellte. Beklagte ist die Arbeitgeberin der Klägerin. Die Klägerin fordert von ihrer Arbeitgeberin Schadensersatz, weil ihre Arbeitgeberin aus Sicht der Klägerin ihr Auskunftsersuchen nach Art. 15 DSGVO weder ordnungsgemäß noch vollständig erteilt hätte. Die Klägerin forderte einen Ersatz eines immateriellen Schadens in Höhe von EUR 5.000.-. Daraufhin wurde seitens der Arbeitgeberin der Klägerin Rechtsmissbrauch vorgeworfen, da es der Klägerin nicht primär um die Auskunft über die Verarbeitung und Verwendung ihrer personenbezogenen Daten ginge, sondern die Klägern sich im Rahmen ihrer Aufhebungsverhandlungen lediglich zusätzlich bereichern hätte wollen, um dadurch ihre Abfindungszahlung weiter zu erhöhen. Laut der Arbeitgeberin konnte von der Klägerin nicht ausreichend dargelegt werden, dass ihr tatsächlich ein Schaden, der in sachlichem Zusammenhang mit dem Auskunftsersuchen stünde, entstanden sei. Die Arbeitgeberin wurde vom Arbeitsgericht zu einer Zahlung eines Schadensersatzes in Höhe von 4.000,- € verurteilt. Laut Gericht müssten Verstöße gegen das Auskunftsrecht effektiv sanktioniert werden und die Höhe des Schadensersatzes eine abschreckende Wirkung haben. Dagegen legte die Arbeitgeberin Berufung ein.

Aus den Urteilsgründen

Die Klage auf Ersatz eines immateriellen Schadens wurde vom LAG abgelehnt, da der Anspruch aus Art. 82 DSGVO nicht begründet werden könne, da die Vorschrift einschränkend auszulegen sei. Der Tatbestand würde lediglich Schäden erfassen, die im Rahmen der Verarbeitung entstünden, die nicht im Einklang mit den Grundsätzen der DSGVO stünden. Die Verpflichtung auf Auskunft sei jedoch keine Verarbeitung in diesem Sinne. Das LAG beruft sich mit seiner Auslegung auf den Wortlaut des Erwägungsgrundes 146, worin ausdrücklich der Fokus auf den Begriff „Datenverarbeitung“ in Bezug auf Verletzungshandlungen gelegt wird.

Stand: 26.04.2023

Welches Recht auf Auskunft haben Betroffene? 

Hat der Betroffene ein Recht, Auskunft vom Auftragsverarbeiter zu verlangen?

Betroffene haben das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu verlangen.

Das Recht auf Auskunft ist in Art. 15 DSGVO geregelt.

Gola/Heckmann/Franck DS-GVO Art. 15 Rn. 29, 30: „… Auftragsverarbeiter sind nicht selbst angesprochen, sondern gem. Art. 28 Abs. 3 S. 2 lit. e verpflichtet, den Verantwortlichen bei der Erfüllung des Anspruchs zu unterstützen. …“

Der Verantwortliche ist in der Pflicht, Auskunft zu erteilen.

Ein Auftragsverarbeiter ist nicht zur Auskunft verpflichtet.

Hat der Betroffene ein Recht, Auskunft über die Auftragsverarbeiter zu verlangen?

Ja, Betroffene haben das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu verlangen und damit auch darüber, an wen ihre Daten im Zuge einer Auftragsverarbeitung weitergegeben werden
(vgl. Urteil C-154/21).

Stand: 19.04.2023

Was sind Dritte in der DSGVO? 

Dritte werden in der DSGVO in Art. 4 Abs. 10 wie folgt definiert:

„Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;“

Stand: 19,04.2023

Kann inSign datenschutzkonform verwendet werden? 

Ausführliche Informationen über inSign finden Sie in unserem Blog.

Sind Pur-Abo-Modelle zulässig? 

Pur-Abo-Modelle sind laut Beschluss vom 22.03.2023 der Datenschutzkonferenz grundsätzlich zulässig, sofern auch ein alternatives Bezahlmodell ohne Tracking für Webseitennutzer angeboten wird. Dem User muss also eine angemessene Wahlmöglichkeit angeboten werden.

Folgende Punkte müssen laut DSK datenschutzrechtlich eingehalten werden:

1. Gleichwertiger Zugang (marktübliches Entgelt)

2. Bestimmungen aus dem TTDSG und Art. 6 Abs. 1 DSGVO und ggf. Art. 9 DSGVO müssen berücksichtigt werden

3. Freiwilligkeit der Einwilligung muss gewahrt werden

4. Einwilligung muss der DSGVO gerecht werden (Transparenz, Verständlichkeit, Information - Art 4 Nr. 11 und Art. 7 Abs. 2 DSGVO)

Überprüfung von Medienwebseiten mit Pur—Abo-Modellen des LfD Niedersachsen

Die niedersächsische Datenschutzaufsichtsbehörde hat nun im Rahmen einer bundesweiten Prüfung eine Prüfung von Medienunternehmen durchgeführt, um die rechtmäßige Verwendung von Cookies und Tracking zu Werbezwecken zu überprüfen.

Im Zuge der Prüfung wurden massive datenschutzwidrige Verstöße festgestellt. Die Behörde stellte zu Beginn der Prüfung auf Webseiten bis zu 760 rechtswidrig eingebundene Cookies und Drittanbieter vor sowie fehlerhafte Einwilligungsbanner.

Folgende Mängel  wurden im Rahmen der länderübergreifenden Medienprüfung festgestellt (Abschlussbericht):

Falsche Reihenfolge (Einwilligung à dann erst Setzen von Cookies erlaubt)

Fehlende Informationen (Einwilligungsbanner muss alle Infos auf erster Ebene bereitstellen)

Unzureichender Einwilligungsumfang (bei “Ablehnen“ dürfen auch keine Cookies gesetzt werden)

Keine einfache Ablehnung (Möglichkeit zum „Ablehnen“ oder “Schließen“ muss auf erster Ebene gegeben sein)

Manipulation (Nudging ist unzulässig; Farbliche Gestaltung muss neutral sein)

Stand: 19.07.2023

Wie ist der aktuelle Stand der Rechtsprechung bzgl. Vorratsdatenspeicherung? 

BVerfG, Beschluss vom 15.02.2023 - 1 BvR 141/16

Das Bundesverfassungsgericht hat mehrere Verfassungsbeschwerden gegen die anlasslose Vorratsdatenspeicherung nicht zur Entscheidung angenommen, da ihnen nach einem Urteil des Europäischen Gerichtshofs vom September 2022 (EuGH Urteil zur Vorratsdatenspeicherung) das Rechtsschutzbedürfnis fehlt. Die Beschwerdeführer hatten die Regelungen zur Vorratsdatenspeicherung als Verstoß gegen die Telekommunikationsfreiheit, das Recht auf informationelle Selbstbestimmung und die Berufsfreiheit angesehen. Das Bundesverwaltungsgericht hatte das Verfahren ausgesetzt und den EuGH angerufen, der die Vorratsdatenspeicherung als unionsrechtswidrig erklärt hatte. Eine gezielte und zeitlich begrenzte Speicherung der Daten ist nur bei einer ernsten Bedrohung für die nationale Sicherheit möglich. Nach dem Urteil sind noch drei weitere Verfassungsbeschwerden gegen die Vorratsdatenspeicherung anhängig. Mehr Informationen zu dem Thema Vorratsdatenspeicherung finden Sie hier.

Stand: 19.04.2023

Gibt es aktuelle Urteile zum Mitarbeiterdatenschutz? 

Was steht im EUGH-Urteil vom 30.03.2023?

Am 30.03. hat der EuGH in der Rechtssache C-34/21 entschieden, dass die Regelungen des § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz keine spezifischere Vorschriften i.S.d. Art. 88 Abs. 1 und 2 DSGVO sind und daher den Anforderungen der DSGVO nicht genügen. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat dazu Stellung bezogen und in diesem Kontext erwähnt, dass auch die gleichlautende Regelung des § 26 BDSG aufgrund dieser Entscheidung wohl nicht länger als Rechtsgrundlage für Datenverarbeitung im Beschäftigtenkontext angesehen werden kann. Er empfiehlt jetzt Einzelfallprüfungen zu den individuellen Verarbeitungstätigkeiten auf alternative Rechtsgrundlagen und den vermehrten Einsatz von Kollektivvereinbarungen (Dienst- bzw. Betriebsvereinbarungen).

Fazit

• Rechtsgrundlage für die Datenverarbeitung im Mitarbeiterdatenschutz muss immer Art. 6 DSGVO sein (in den meisten Fällen wohl Art. 6 Abs. 1 lit. b) DSGVO).

--> § 26 BDSG dient somit nicht als valide Rechtsgrundlage, da die Regelungen der DSGVO denen im BDSG vorgehen.

--> Unterlagen (Verzeichnisse, Verträge, Abwägungen, etc.) anpassen

Stand: 19.04.2023

Welche Führerschein-Informationen darf der Arbeitgeber speichern? 

Bei dienstlichen Fahrzeugen muss der Arbeitgeber regelmäßig die Führerscheine der Fahrer überprüfen, ob sie berechtigt sind, das Dienstfahrzeug zu führen. Damit nicht bei jeder Dienstfahrt individuell der Führerscheinstatus eines Mitarbeiters überprüft werden muss, können die Informationen, dass der jeweilige Mitarbeiter über einen gültigen Führerschein verfügt, in einem zentralen dafür vorgesehenen System gespeichert und verwaltet werden.

Bei der Speicherung von personenbezogenen Daten gibt es immer das Prinzip der Datenminimierung nach Art. 25 DSGVO zu berücksichtigen, d.h., dass nur Daten gespeichert werden dürfen, die zwingend notwendig sind.

Daher muss bei jeder „zusätzlichen“ Information abgewogen werden, ob die Speicherung zwingend erforderlich ist:

• Das Geburtsdatum kann dahingehend relevant sein, ob der Fahrzeughalter aus versicherungstechnischen Gründen bspw. mindestens 25 Jahre alt sein muss, um beim Schadenfall ordnungsgemäß versichert zu sein

• Die Führerscheinklasse kann relevant sein, wenn sich im Dienstfahrzeug-Pool neben gewöhnlichen PKW bspw. auch Kleintransporter verfügbar sind, wofür eine spezielle Führerscheinklasse vorgewiesen werden muss

--> Einzelfallentscheidung, welche Daten zwingend benötigt werden und welche Daten „zu viel“ sind.

Stand: 29.03.2023

Ist TikTok rechtskonform? 

Ausführliche Informationen über TikTok finden Sie in unserem Blog.

Was bedeutet die EuGH Entscheidung C-154/21?  

EUGH Entscheidung  C-154/21  

Aus dem Sachverhalt

Kläger ist RW. RW verlangte von der Österreichischen Post Auskunft gemäß Art. 15 DSGVO, welche personenbezogenen Daten über ihn gespeichert und an wen diese Daten in der Vergangenheit ggf. weitergegeben wurden. Die Weitergabe beschränkte sich laut der Österreichischen Post auf die rechtlich zulässigen Zwecke.
Die konkreten Empfänger seiner Daten wurden RW nicht namentlich mitgeteilt. Daraufhin wurde von RW Klage erhoben, da RW erfahren wollte, wer genau seine personenbezogenen Daten erhalten habe. Die Post teilte RW nur die Kategorien der Empfänger mit, welche die personenbezogenen Daten von der Post für Marketingzwecke erhalten hatten. Das Gericht wies die Klage von RW ab, da Art 15 Abs. 1 c) lediglich die Auskunft auf „Empfänger oder Kategorien von Empfängern“ regle und diese Kategorien von der Post ordnungsgemäß mitgeteilt wurden.
Dagegen legte RW Revision ein.

Aus den Urteilsgründen

Das Gericht hatte nun zu entscheiden, wie der Wortlaut „Empfänger oder Kategorien von Empfängern“ der DSGVO aus Art. 15 Abs. 1 c) auszulegen sei. Der Wortlaut sei nicht eindeutig und spricht eher dafür, dass der Absatz so ausgelegt werden kann, dass der Betroffenen die Wahl habe, ob er nur Auskunft über die Kategorien oder auch den konkreten Empfänger erhalten wolle. Wenn es im Ermessen der Verantwortlichen läge, dass diese frei darüber entscheiden könnten, ob sie Auskunft über die konkreten Empfänger oder lediglich die Kategorien erteilen, wäre es vermutlich für die Betroffenen fast unmöglich, jemals Auskunft über die konkreten Empfänger zu bekommen, was wiederrum das Recht auf Auskunft enorm einschränken würde. Zudem ist zu beachten, dass Art. 15 Abs. 1 c) sowohl für aktuelle Datenverarbeitungen als auch für in der Vergangenheit verarbeitete personenbezogene Daten Anwendung findet. Daraufhin wurde das laufende Verfahren von RW gegen die Österreichische Post vom Obersten Gerichtshof ausgesetzt. Folgende Vorlagefrage musste vorab vom Gerichtshof entschieden werden:

Vorlagefrage

"Ist Art. 15 Abs. 1 lit. c DSGVO dahin gehend auszulegen, dass sich der Anspruch auf die Auskunft über Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen, der Auskunftsanspruch sich aber zwingend auch auf Empfänger dieser Offenlegungen erstrecken muss, wenn Daten bereits offengelegt worden sind?"

Klärung der Vorlagefrage

Die Vorlagefrage sollte klären, ob Betroffenen die konkrete Identität der Empfänger mitgeteilt werden müsse. Da Empfänger und Kategorien im Gesetzestext der DSGVO nebeneinander aufgeführt werden, bestehe kein vorrangiges Verhältnis. Laut Erwägungsgrund 63 kann das Recht auf Auskunft nicht auf die Kategorien beschränkt werden. Die Verarbeitung personenbezogener Daten muss laut Art 5 Abs 1 a) immer den Grundsatz der Transparenz berücksichtigen, d.h. dass die Informationen über die Datenverarbeitung für natürliche Personen verständlich und leicht zugänglich sein müssen. Der Verantwortliche sei daher in der Pflicht, Betroffenen Auskunft zugunsten der betroffenen Person zu erteilen. Betroffenen muss ermöglicht werden, die Richtigkeit sowie Rechtmäßigkeit der Verarbeitung überprüfen zu können und ggf. Berichtigung/Löschung/Widerruf zu beantragen oder Rechtsbehelf einzulegen. Um eine Gewährleistung dieser Rechte sicherzustellen, ist eine Auskunft über konkrete Empfänger unabdingbar, was wiederrum durch Art. 19 DSGVO konkretisiert wird, sofern der Antrag auf Auskunft entsprechend begründet werden kann und verhältnismäßig sei.

Stellungnahme der Berliner Beauftragten für Datenschutz und Informationsfreiheit aus dem Jahr 2020:

Jahresbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit aus dem Jahr 2020:

Ein Bankkunde verlangte Auskunft, an wen seine personenbezogenen Daten weitergegeben wurde. Die Bank teilte daraufhin dem Betroffenen lediglich die Kategorien der Empfänger, nicht aber die konkreten Empfänger selbst mit. Der Betroffene hat sich daraufhin bei der Aufsichtsbehörde beschwert und darauf bestanden, dass die Bank die konkreten Empfänger mitzuteilen habe. Die Aufsichtsbehörde vertritt ebenfalls die Meinung, dass die Bank nicht die Wahl haben dürfe, ob sie der betroffenen Person lediglich die Kategorien oder den konkreten Empfänger mitteilen wolle. Die Aufsichtsbehörde bestätigte, dass der Bankkunde ein Recht darauf habe, die konkreten Empfänger zu erfahren, um die Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten überprüfen zu können.

Wird der Wortlaut „Empfänger oder Kategorien von Empfängern“ in Art. 13 Abs. 1 e) DSGVO genau so ausgelegt, wie in Art. 15 Abs. 1 c) DSGVO?

Art. 13 DSGVO - Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1)Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

Art. 15 DSGVO - Auskunftsrecht der betroffenen Person

(1)Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

Was bedeutet das nun für unsere Auslegung des Art. 13 Abs. 1 e) DSGVO?
Dort gibt es ja einen identischen Wortlaut:

gegebenenfalls“ = wenn der betreffende Fall eintritt. (Gola/Heckmann/Franck DS-GVO Art. 13 Rn. 16-20: „ lit. e entfällt, wenn geplantermaßen keine Datenweitergabe stattfindet. Hierauf muss nicht gesondert hingewiesen werden.“)

Das bedeutet: Wenn es Empfänger gibt, die personenbezogene Daten erhalten, dann müssen sie der betroffenen Person im Rahmen der Information nach Art. 13 DSGVO mitgeteilt werden. Wenn die Empfänger zum Zeitpunkt der Erhebung der Daten (noch) nicht bekannt sind, können auch nur die Kategorien von Empfängern mitgeteilt werden.   

Stand: 26.04.2023

Muss ein Datenschutzkoordinator „bestellt“ und der Aufsicht gemeldet werden? 

Direkt aus DSGVO in ihrem Wortlaut ergibt seine keine Verpflichtung, einen Datenschutz-Koordinator zu bestellen. Aus der Verpflichtung des Accountability-Prinzips (jederzeitige Verpflichtung einen Rechenschaftsbericht zum Nachweis der Einhaltung aller datenschutzrechtlichen Normen abzuliefern) ergibt sich u.a. aus Art 24 DSGVO (= eine Compliance-Anforderung). Bei besonders großen Unternehmen (insbesondere auch in Konzernstrukturen) kann eine solche Anforderung durch eine Position des Datenschutz-Koordinators erfüllt werden. Der Datenschutz-Koordinator wird in erster Linie als Verbindungsglied verschiedener Abteilungen (ggf. sogar Unternehmen) hinsichtlich datenschutzrechtlicher Fragen verstanden. Er ist v.a. auch zur Dokumentation datenschutzrechtlicher Fragen verpflichtet und der Aufbereitung der gesetzlichen Vorgaben in der Form, dass ein jederzeitiger Nachweis gegenüber der Aufsichtsbehörden möglich ist.

Eine Meldung ist weder notwendig, noch möglich. Wenn aber ein Datenschutz-Koordinator bestellt ist, sollte auch seine Vertretung geregelt sein, wie bei jeder wichtigen Position in einem Unternehmen.

Informationen entnommen aus Beck Online  (Jung, Alexander: Datenschutz-(Compliance-)Management-Systeme – Nachweis- und ZD 2018, Rechenschaftspflichten nach der DS-GVO)

Kann der Datenschutzkoordinator der Geschäftsleitung angehören?

Der Datenschutzkoordinator dient als Anlaufstelle für den Datenschutzbeauftragten, um Prozesse im Unternehmen etablieren zu können, oder auch Informationen über Unternehmensprozesse einzuholen.

Eine enge Verbindung des Datenschutzkoordinators zur Geschäftsleitung ist aus unserer Sicht durchaus sinnvoll, sofern die Position des Datenschutzbeauftragen unabhängig besetzt ist, um Interessenskollisionen zu vermeiden.

Stand: 25.04.2023

Kann Keeper datenschutzkonform eingesetzt werden? 

Mehr Informationen zu Keeper finden Sie in unserem Blog.

Worin liegt der Unterschied zwischen Tracking und Analyse? 

Tracking Tools dienen der individuellen Auswertung von Nutzerdaten
--> Nutzer werden identifiziert, Nutzungsverhalten wird nachverfolgt und Nutzer wird identifiziert, um bspw. zielgruppenorientierte Werbung auszuspielen
--> Datenschutzrechtliche Einwilligung des Nutzers immer nötig (über Cookie-Banner), da personenbezogene Daten verarbeitet werden (Profilbildung)

-->Tracking-Tools konnten früher auch unter bestimmten Umständen auf das berechtigte Interesse des Website-Betreibers gestützt werden (Erwägungsgrund 47 S. 7 DSGVO),

--> Heute ist zwingend zudem eine Einwilligung nötig nach § 25 TTDSG.

Analyse Tools dienen statistischer Auswertung

• einer Nutzergruppe

• oder eines individuellen Nutzers,, "(z.B.) z.B. werden in der herkömmlichen Einsatzvariante von Google Analytics dem Nutzerrechner, der die Webseite aufsucht, einzigartige Kennungen (ID) zugeteilt. Die IDs befinden sich in Cookies, die beim Aufsuchen der Webseite in den Browser des Nutzerrechners gesetzt werden. Mit Hilfe der IDs wird der einzelne Nutzerrechner von anderen Rechnern unterschieden, die die Webseite aufsuchen.“,

vgl. LDA Bayern

--> Zweck: Marktforschung, Verbesserung der Website-Leistung;

--> Datenschutzrechtliche Einwilligung früher umstritten, da ggf. ein berechtigtes Interesse des Webseiten-Betreibers gegeben sein konnte, die Präferenzen der Nutzer zu kennen, um die Website entsprechend zu optimieren (Art. 6 Abs. 1 lit. f DSGVO).

--> Heute: In jedem Fall Einwilligung nach § 25 TTDSG; zahlreiche Tools werden zudem als unzulässig nach Art. 44 DSGVO eingestuft.

Stand: 22.03.2023

Unter welchen Voraussetzungen kann Webflow datenschutzkonform eingesetzt werden? 

Ausführliche Informationen über Webflow finden Sie in unserem Blog.

Unter welchen Voraussetzungen kann Miro datenschutzkonform eingesetzt werden? 

Ausführliche Informationen über Miro finden Sie in unserem Blog.

Was ist beim Bereitstellen eines Gast-WLAN zu beachten? 

Wird in einem Unternehmen ein WLAN für Gäste angeboten, müssen dem Gast-Nutzer die Nutzungsbedingungen zur Verfügung gestellt werden. Erst nach Akzeptieren der Nutzungsbedingungen darf der Zugang zum WLAN aktiviert werden, da beim Einloggen in das WLAN eine Verarbeitung personenbezogener Daten sattfindet.


Ein Akzeptieren durch Setzen eines Hakens reicht als Einwilligung aus.
Beispiel: „Ich akzeptiere die Nutzungsbedingungen“ –> Nutzungsbedingungen verlinken 

Zusätzlich sind Datenschutz-Hinweise zu geben, die bei Nutzung eines Log-In Screens mit Speicherung der Endgeräte (z.B. MAC-Adresse) zur Geräteverwaltung den Datenschutz beachtet und in der Datenschutzerklärung aufgelistet werden:

  • Welche Daten werden verarbeitet und gespeichert
  • Nennung der Rechtsgrundlage (Art. 6 Abs. 1  lit. a ) DSGVO)
  • Dauer der Speicherung der Protokolldaten ("Logfiles“)
  • Recht auf Widerruf der Einwilligung

Stand: 15.03.2023

Ist es zulässig, falsch geparkte Fahrzeuge zu fotografieren und diese Fotos an die Polizei weiterzuleiten? 

Urteil des VG Ansbach (14. Kammer) vom 02.11.2022 – AN 14 K 22.468

Zum Sachverhalt:  

Kläger ist ein Radfahrer, der regelmäßig beim Radfahren falsch geparkte Fahrzeuge fotografiert. Diese Bilder schickt er per Mail an die Polizei. Insgesamt handelt es sich im vorliegendem Fall um sechs E-Mails, in denen zwölf Fotos von Falschparkern vom Radfahrer an die Polizei weitergeleitet werden und Anzeige einer Ordnungswidrigkeit erstattet wird. Auf den Fotos sind die falsch geparkten Autos mit ihren KFZ-Kennzeichen abgebildet. Weitere personenbezogene Daten sind auf den Bildern nicht zu sehen. In den Mails wird jeweils noch die Marke sowie der Fahrzeugtyp, der Ort und die Zeit des Falschparkens sowie auf das Kennzeichen verwiesen.  Bei den insgesamt sechs Anzeigen, wird u.a. auch ein Fahrzeug zweimal an unterschiedlichen Tagen angezeigt. Da es sich aus Sicht der zuständigen Polizeiinspektion hierbei um Massenanzeigen handelt, wird von der Polizei um eine Prüfung der Datenschutzaufsichtsbehörde wegen eines evtl. Verstoßes gegen die DSGVO gebeten. Daraufhin wird zwar kein Bußgeld der Aufsichtsbehörde an den Kläger verhängt, jedoch ein aufsichtliches Verfahren eingeleitet. Daraufhin wird der Kläger wegen eines Datenschutzverstoßes gegen die DSGVO verwarnt, da der Kläger kein berechtigtes Interesse hätte, die Daten zu verarbeiten nach Art. 6 Abs. 1 lit. f) DSGVO. Daraufhin wird vom Kläger eine Klage gegen diesen Bescheid erhoben. Das Gericht gibt dem Kläger Recht und hebt den Bescheid des Beklagten auf.

Aus den Urteilsgründen:

Der Kläger ist laut Art. 78 Abs. 1 DSGVO dazu berechtigt, gegen den Bescheid der Aufsichtsbehörde Klage einzulegen. Mit der Übersendung der Fotos an die Polizei habe der Kläger nicht gegen das Datenschutzrecht verstoßen. Zwar ist der Anwendungsbereich der DSGVO eröffnet, da es sich bei KFZ-Kennzeichen um personenbezogene Daten handelt, jedoch ist die Verarbeitung seitens des Klägers rechtmäßig. Der Kläger hat die personenbezogenen Daten lediglich an die Polizei als zuständige Behörde im Rahmen der Anzeige einer Ordnungswidrigkeit im Sinne des Erwägungsgrundes 50 DSGVO weitergeleitet, was ein berechtigen Interesse gemäß Art. 6 Abs. 1 f) DS-GVO rechtfertigt, selbst wenn keine persönliche Betroffenheit des Radfahrers vorliegt. Es ist daher aus Sicht des Gerichts nicht von Relevanz, ob der Kläger Fotos als Beweismittel zur Anzeigenerstattung verwendet, oder ob er die Verstöße mit den Nennung der personenbezogenen Daten (KFZ-Kennzeichen) lediglich telefonisch an die Polizei übermittelt. Die Anfertigung eines Lichtbilds zur Anzeige der Ordnungswidrigkeit ist daher aus Sicht des Gerichts zulässig und stellt keinen Verstoß gegen die DSGVO dar.

Stand: 15.03.2023

Sind IP-Adressen personenbezogene Daten? 

Ausführliche Informationen zum Thema IP-Adressen finden Sie in unserem Blog.

Ist es zulässig eine Datenschutzinformation bei einer Attrappen-Videoüberwachung anzubringen? 

Videokamera-Attrappen brauchen keinen datenschutzrechtlichen Hinweis, da weder personenbezogenen Daten verarbeitet werden noch eine Aufzeichnung sattfindet. Der Anwendungsbereich der DSGVO als auch des BDSG ist daher nicht eröffnet.

Jedoch dürfen auch ohne der tatsächlichen Überwachungsfunktion nicht wahllos Videokamera-Attrappen in Miethäusern angeracht werden, da dadurch das Verhalten der Mieter bewusst beeinflusst werden kann (Überwachungsdruck) und mit einer suggerierten Überwachung ein Eingriff in das allgemeine Persönlichkeitsrecht stattfindet.

Rechtsprechung zum Thema Persönlichkeitsrecht: Bundesgerichtshof, Urt. V. 16.03.10 – Az. VI ZR 176/09

Ein Anbringen von „fingierten“ Datenschutzinformationen an Videoüberwachungs-Attrappen ist irreführend und damit nicht zulässig.

Stand: 15.03.2023

Was sollte man beachten, wenn man beim Kontaktversuch bei einem Anrufbeantworter landet? 

Was sollte man als Gesundheitscoach beachten, wenn man eine Telefonnummer als Kontaktdatum hat und man beim Kontaktversuch bei einem Anrufbeantworter landet?

Zunächst muss sichergestellt sein, dass es eine Rechtsgrundlage gibt, auf deren Basis der potenzielle Kunde angerufen werden kann. DSGVO-rechtlich könnte das die Vertragsanbahnung sein, Art. 6 Abs. 1 lit. b) DSGVO.

UWG-rechtlich braucht man eine ausdrückliche Einwilligung für die Kontaktaufnahme bei Verbrauchern und eine mutmaßliche Einwilligung bei einem sonstigen Marktteilnehmer, vgl. § 7 Abs. 2 Ziff. 1 UWG

Wenn demnach eine Erlaubnis zur Kontaktaufnahme besteht, ist folgendes weiter zu beachten:

Wenn Sie versuchen, den Kunden telefonisch zu erreichen und nur auf einen Anrufbeantworter sprechen können, sollten Sie vorsichtig sein, was Sie als Nachricht hinterlassen. Vermeiden Sie es, personenbezogenen Informationen bzw. sensible Details zu Gesundheitsdaten hinterlassen werden, sofern nicht sichergestellt werden kann, dass ausschließlich die betroffene Person Zugang zu den Nachrichten auf diesem AB hat. Anders verhält es sich, wenn eine ausdrückliche Einwilligung der betroffenen Person vorliegt, dass jegliche Nachrichten am AB hinterlassen werden dürfen.

Liegt keine gesonderte Einwilligung vor, ist es am besten, eine kurze Nachricht zu hinterlassen, in der Sie um einen Rückruf bitten, ohne weitere Details zu nennen.

Anders dürfte sich die Situation verhalten, wenn es sich um die Mailbox der Person handelt, die angerufen wurde, wenn sich die Mailbox mit Namen meldet. Hier ist unserer Ansicht nach davon auszugehen, dass nur diese Person Zugriff auf die Mailbox hat. Doch auch hier gilt der Grundsatz der Datensparsamkeit:

so wenig Informationen wie möglich geben und Rückrufbitte mit Erreichbarkeit hinterlassen.

Stand: 08.03.2023

Dürfen Videoaufzeichnungen an das Ordnungsamt herausgegeben werden? 

Dürfen auf einem videoüberwachten Parkplatz die Daten an das Ordnungsamt herausgegeben werden, wenn der Zweck der Überwachung die Verhinderung einer Straftat ist?

Ordnungswidrigkeiten sind typischerweise geringfügigere Rechtsverletzungen im Vergleich zu Straftaten. Anders als bei Straftaten können die Konsequenzen nur Geldbußen sein, nicht jedoch Freiheitsstrafen. Ordnungswidrigkeiten werden von Behörden verfolgt, wegen Straftaten kann man nur durch ein Gericht verurteilt werden, hier wird durch Polizei und Staatsanwaltschaft ermittelt.

Der deutsche Gesetzgeber hat mit § 4 Abs. 3 BDSG eine Regelung erschaffen, die die Verarbeitung zum Zwecke der Gefahrenabwehr oder Strafverfolgung explizit normiert, auch wenn das ursprünglich noch nicht vom Zweck der Verarbeitung umfasst war. Damit dürfen Verantwortliche beispielsweise Daten, die von Videoüberwachungskameras in Kaufhäusern, an Geldautomaten oder im öffentlich zugänglichen Gelände, wie Parkplätze, erhoben werden, für diese Zwecke herausgeben.

Gola/Heckmann/Starnecker, 3. Aufl. 2022, BDSG § 4 Rn. 61-63 schreibt dazu:  Die Möglichkeit der Weiterverarbeitung nach Abs. 3 S. 3 stellt einen Fall der Zweckänderung dar. Sie ist zulässig, wenn dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. Diese Ausnahme vom Zweckbindungsgrundsatz stützt sich auf die Spezifizierungsklausel in Art. 6 Abs. 4 iVm Art. 23 DS-GVO. Entgegen einer in der Literatur vertretenen Meinung ist die Vorgabe zur Zweckänderung nicht unionsrechtswidrig, weil der nationale Gesetzgeber den Wortlaut („nur“) abschließend gestaltet hat. Vielmehr ist die Norm insoweit europarechtskonform auszulegen, dass daneben auf Grundlage anderer gesetzlicher Grundlagen oder auch einer Einwilligung, wie in Art. 6 Abs. 4 DS-GVO vorgesehen, eine Verarbeitung möglich sein soll.

Nach dieser Definition braucht es also einen Fall der Gefahrenabwehr. Die Abwehr von Gefahren für die staatliche und öffentliche Sicherheit ist in verschiedenen Gesetzen geregelt. Eine allgemeine Definition kann jedoch aus dem Polizeirecht abgeleitet werden.

Nach § 1 des Polizeigesetzes (PolG) der meisten Bundesländer dient die Polizei dem Schutz von Leben, Gesundheit, Freiheit, Eigentum und anderen Rechtsgütern. Die Polizei hat demnach die Aufgabe, Gefahren für diese Rechtsgüter abzuwehren.

§ 2 PolG definiert, welche Maßnahmen die Polizei ergreifen darf, um diese Aufgabe zu erfüllen. Dazu zählen insbesondere die Identitätsfeststellung, die Ingewahrsamnahme, die Durchsuchung, die Beschlagnahme und die Durchführung von Kontrollen und Überwachungsmaßnahmen, vgl. hier 

Es gilt zudem der Grundsatz der Verhältnismäßigkeit, vgl. hier 

Im vorliegenden Fall müsste die Ordnungswidrigkeit also das Leben, die Gesundheit, die Freiheit, das Eigentum oder andere Rechtsgüter beeinträchtigen. Dann muss abgewogen werden, ob das informationelle Selbstbestimmungsrecht des Einzelnen überwiegen kann. In der Abwägung halten wir einen Fall des Taubenfütterns für keinen Fall, in dem die Polizei einschreiten wird. Eine Herausgaben der Daten an das Ordnungsamt ist gesetzlich nicht vorgesehen.

Stand: 08.03.2023

Verstößt ein Unternehmen gegen die Vorgaben aus DSGVO oder UWG, wenn sein Vertriebsmitarbeiter eine erreichbare, aber falsche Telefonnummer anruft? 

Der Grundsatz bei Werbung mit Telefonanrufen ist an § 7 Abs.2 UWG zu messen. Demnach ist eine unzumutbare Belästigung stets anzunehmen bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung.

Ein Werbeanruf liegt stets vor, wenn der Angerufene zum Eingehen, zur Fortsetzung, zur Wiederaufnahme, zur Änderung oder zur Erweiterung eines Vertragsverhältnisses bestimmt werden soll (Köhler/Bornkamm/Feddersen/ Köhler Rn. 130), aus Ohly/Sosnitza/Ohly, 8. Aufl. 2023, UWG § 7 Rn. 60-62.

Werbung erfolgt erst ab dem Moment, in dem das Werbegespräch beginnt. Verwählt sich der Werbende oder erreicht er zunächst nicht die Person, die in den Anruf eingewilligt hat, so liegt noch kein Verstoß gegen § 7 II Nr. 1 vor, solange der Werbende sich nur entschuldigt oder um Weiterleitung bittet (OLG Köln MMR 2009, 860; jurisPK-UWG/Seichter Rn. 149), vgl. Ohly/Sosnitza/Ohly, 8. Aufl. 2023, UWG § 7 Rn. 60-62.

UWG-rechtlichen liegt also bei einem versehentlichen Anruf oder bei einem Nutzen einer veralteten Telefonnummer kein Verstoß vor.

Datenschutzrechtich ist ebenfalls kein Verstoß gegeben. Selbst wenn ein Unternehmen sich an alle Vorgaben hält (inklusive dem Grundsatz der Datensparsamkeit) ist es unmöglich einen Fall des „Verwählens“ oder das Anrufen einer veralteten Telefonnummer zu verhindern.

Für den Fall, dass der Anrufer eine veraltete Nummer gewählt hat, muss er die Daten im Anschluss korrigieren.

Stand: 08.03.2023

Wie muss bzgl. Digital Signage informiert werden? 

Wenn Namen von natürlichen Personen aufgenommen und verarbeitet werden, gelten grundsätzlich die allgemeinen Grundsätze der DSGVO, insbesondere also auch der Grundsatz des bestimmten Zwecks, der Datenminimierung und der Rechtmäßigkeit der Verarbeitung.

Vorliegend könnte als Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO in Frage kommen. Bei Namen im Rahmen einer geschäftlichen Kooperation wird das unter normalen Umständen von Art. 6 Abs. 1 lit. f oder b DSGVO umfasst sein, denn einen konkreten Ansprechpartner zu haben, um ein Projekt oder einen Vertrag umzusetzen oder eine Besprechung durchzuführen, erscheint notwendig. Vor allem gilt das, wenn die Ansprechperson auf der Firmenwebseite selbst mit den gleichen Daten zu finden ist.

Fraglich ist, ob die Veröffentlichung des Namens des Ansprechpartners und Sichtbarkeit für Andere von der Rechtsgrundlage mitumfasst ist --> Einzelfallentscheidung!

Es könnte für Personen überraschend wirken, wenn ihr Namen „öffentlich“ verwendet wird.

Es gibt mehrere Möglichkeiten, diese rechtliche Einzelfallfrage systematisch zu umgehen:

1. Nur Namen der Firma verwenden, oder

2. Einwilligung des Mitarbeiters einholen, dass er mit seinem Vor-/Nachnamen angesprochen wird, oder

3. In den Vertrag mit dem Unternehmen aufnehmen, dass Zweck des Vertrags z.B. der Austausch in bestimmten Runden ist und man dazu die Mitarbeiter persönlich mit dem Vornamen oder Nachnamen ansprechen möchte.

Stand: 01.03.2023

Sind Passwörter per se schützenswerte Daten? 

Dienstliche E-Mail-Adressen sind personenbezogene Daten und daher jedenfalls schutzwürdig.

Passwörter selbst sind auch Informationen, die sich auf eine identifizierbare natürliche Person beziehen, wenn jeder sein Passwort selbst erstellt bzw. eines zugewiesen bekommt. Es handelt sich somit auch um personenbezogene Daten.

Durch hohe Verschlüsselungsstandards wird die Gefahr von Datenpannen verringert, sodass dies in Bezug auf die TOMs vorteilhaft ist. Die Natur der personenbezogenen Daten selbst ändert sich dadurch jedoch nicht. Die Verarbeitung unterliegt also grundsätzlich denselben Regeln, egal wie hoch der Verschlüsselungsgrad ist.

Keeper ist eines von vielen Produkten um die Datenverarbeitung und -aufbewahrung sicherer zu gestalten und spielt insofern eine Rolle bezüglich der TOMs --> Datensicherheitsthema.

Stand: 01.03.2023

Inwiefern sind Company-E-Mail-Adressen personenbezogene Daten des Mitarbeiters? 

Werden die dem Mitarbeiter nicht ausgestellt, genau damit das keine "privaten" Daten sind? Inwiefern ändert das eine Bewertung?

Grundsätzlich sind dienstliche E-Mailadressen personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, denn es handelt sich um Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.

§ 26 Abs. 1 S. 1 BDSG besagt, dass Beschäftigtendaten für den Zweck der Begründung, Durchführung und Beendigung des Arbeitsverhältnisses verarbeitet werden dürfen. Regelmäßig wird bei der Durchführung des Arbeitsverhältnisses die Weitergabe der dienstlichen E-Mail-Adresse mitumfasst sein, Art. 6 Abs. 1 lit b. DSGVO.

Ganz sicher ist man, wenn schriftlich vereinbart wird, dass dienstlich bedingte personenbezogene Daten (Telefon, E-Mail, Name, evtl. Berufsbezeichnung) auf der Webseite veröffentlicht werden.

Stand: 01.03.2023

Was ist bei Statusanzeigen in Zeiterfassungssystemen zu beachten? 

Wie verhält es sich mit Statusanzeigen in Zeiterfassungssystemen, welche für jeden Mitarbeiter genau aufzeigen, ob man gerade anwesend, in der Pause oder schon im Feierabend ist?

„Aufzeichnungen über die Arbeitszeiten (…), die die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, fallen unter den Begriff personenbezogene Daten (…)“.

Grundsätzlich ist die Aufzeichnung der Arbeitszeit für die Durchführung des Beschäftigungsverhältnisses erforderlich im Rahmen des § 26 Abs. 1 BDSG. Die automatisierte Veröffentlichung dieser Daten in Echtzeit (auch innerhalb eines Unternehmens) dürfte aber dem Sparsamkeitsgrundsatz, sowie einer Zweckbindung widersprechen. Die Daten der Arbeitszeiterfassung sollten nicht zur umfangreichen Leistungs- und Verhaltenskontrolle oder zur Erstellung von Bewegungsprofilen verwendet werden können, vgl. auch Urteil BArbG, wonach eine Dauerüberwachung des Arbeitnehmers unzulässig ist (Bundesarbeitsgericht, Beschluss vom 26.8.2008, 1 ABR 16/07).

Gerade über Trackingsoftware am Computer können die Arbeitszeiten der Mitarbeitenden theoretisch ausgewertet werden à unzulässig (Ausnahme: Ein- und Ausstempeln mithilfe einer Zeiterfassungssoftware am PC oder an einem anderen Gerät).

Durch die Statusanzeige könnte nun die Arbeitszeit und –dauer kontrolliert werden.

Anders könnte es sich allerdings verhalten, wenn man den Status selbstständig einstellen kann. Dann kann jeder/jede selbstständig entscheiden, ob sie/er grade bekanntgeben möchte, dass man arbeitet oder Pause/Feierabend macht. Als freiwillige Angabe halten wir das für zulässig, sofern die Zeiten der „Anwesenheit“ bzw. „Nicht-Anwesenheit“ nicht ausgewertet werden.

Vorschlag zum Vorgehen:

• Die Statusanzeige sollte nur dem engsten möglichen Kreis angezeigt werden –und in keinem Fall nicht dem Unternehmen zugehörende Personen.

• Die Standardeinstellung sollte „inaktiv“ sein.

• Nur wer möchte kann freiwillig die Statusfunktion aktiv ändern.

Angenommen es gibt keinen Betriebsrat, wie sollte das Unternehmen hier vorgehen, um keinen Missmut/Ängste bei den Beschäftigten entstehen zu lassen. Welche rechtlichen Rahmenbedingungen sind zu beachten?

Antwort:

Bei Eintritt in das Arbeitsverhältnis sollten die Richtlinien des Unternehmens bezüglich der Statusanzeige klar kommuniziert werden. Egal, ob man sich für eine freiwillige Anzeige oder eine gemeinsame Vereinbarung (eine weitere Möglichkeit!) entscheidet. Für eine gemeinsame Vereinbarung gilt der Freiwilligkeitsvorbehalt des § 26 BDSG.

Stand: 01.03.2023

Ist es datenschutzrechtlich zulässig, einen Website-Check ohne Einwilligung des Seiteninhabers als Akquise-Instrument zu nutzen? 

Weitere Frage: Dabei wird die IP-Adresse der Website ermittelt und folgende oberflächliche Analyse durchgeführt:

- Sicherheitslücken durch veraltete Patches

- Gefundene Malware könnte eine Gefahr für den Besuch der Website darstellen.

- Blacklist (ist die Domain als Spam klassifiziert)

Das Ergebnis würde ich dann dem Interessenten per Post zusenden.

Beim Prüfen der Webseite durch Anbieter wie „sitecheck“ werden personenbezogenen Daten verarbeitet, sodass dies grundsätzlich einer Rechtsgrundlage bedarf.

In Betracht kommt Art. 6 Abs. 1 lit. a. oder b DSGVO, wenn es sich um eine vorvertragliche Maßnahme oder eine Einwilligung nach handelt. Dazu bräuchte es aber ein OK, des Betroffenen, was bei einer Kaltakquise gerade nicht der Fall ist.

Es kommt also eigentlich nur eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO in Betracht.

Argumente dafür:

- es wird sich regelmäßig um dienstliche IP-Adressen handeln, die in der Abwägung weniger schwer wiegen.

- der Seitencheck kann von jeder Person weltweit durch Verwenden der Webseitenadresse durchgeführt werden.

Argumente dagegen:

- die Daten werden unter anderem zu Werbezwecken verwendet.

- Die Wertung des Art. 25 TTDSG spricht dagegen

Antwort: die Frage ist nicht datenschutzrechtlich, sondern wahrscheinlich UWG-rechtlich zu finden.

Stand: 01.03.2023

Welche Auskünfte dürfen am Telefon erteilt werden? 

Vorab:

Sofern eine sichere Authentifizierung des Empfängers möglich ist, können arbeitsbezogene Informationen gegeben werden.

Dienstliche E-Mailadressen und Telefonnummern sind personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO,  man braucht also eine Rechtsgrundlage für den Verarbeitungsvorgang. Sie dürfen demnach nur mit Einwilligung weitergegeben werden - oder wenn dies für die Durchführung des Arbeitsverhältnisses erforderlich ist.

Öffentlich zugängliche Daten können aus unserer Sicht am Telefon immer weitergegeben werden. Das sind insbesondere Informationen aus der Unternehmenswebseite.

Zusammengefasst:

• Zulässig: Öffentlich zugängliche Daten und für das Arbeitsverhältnis erforderliche Daten

• Bedingt zulässig: Dienstkontaktdaten von Mitarbeitern ohne Außenkontakt/Einwilligungsbedürftige Daten

• Verboten: Persönliche und sensible Daten, z.B. Information über Krankheit

Gute Zusammenfassung

Stand: 01.03.2023

Wie kann man die Löschung bestimmter personenbezogener Daten nachweisen? 

Fallbeispiel:

Nehmen wir an, ein Betroffener möchte sein Recht aus Art. 17 DSGVO geltend machen. Um die Löschung nachzuweisen, wird ein Löschprotokoll erstellt. Dieses darf aber keine personenbezogenen Daten des Betroffenen enthalten. Wie könnten wir dem Betroffenen konkret nachweisen, dass seine Daten gelöscht wurden, ohne dabei hervorzuheben, dass wir weiterhin bestimmte personenbezogene Daten von Ihm speichern müssen, um unserer Rechenschaftspflicht gegenüber einer Behörde nachzukommen?

Wie kann man die Löschung bestimmter personenbezogener Daten nachweisen?

Auf dem Löschprotokoll sollte vermerkt sein, dass die Daten in Einklang mit Art. 17 Abs. 3 DSGVO gelöscht wurden. Zu Rechtspflichten im Sinne des Art. 17 Abs. 3 lit. b zählen insbesondere handels- oder steuerrechtliche Aufbewahrungspflichten, im deutschen Recht z.B. § 147 AO und § 257 HGB. 

Ansonsten reicht der Hinweis, dass gelöscht wurde. Löschung bedeutet, dass künftig irreversibel verhindert wird, dass die Informationen in den Daten weiter genutzt werden können und dass dies auf allen Datenträgern des Verantwortlichen vorgenommen wurde. Zusätzlich sollte der Hinweis vermerkt sein, dass nach den gesetzlichen Vorgaben bestimmte Daten nach Art. 17 Abs. 3 DSGVO noch bis zum Ende der Aufbewahrungsfristen gespeichert bleiben.

Stand: 01.03.2023

Darf man als zertifizierter DS-Beauftragter als Ombudsmann fungieren? 

Grundsätzlich ist ein Ombudsmann eine unparteiische Schiedsperson. Sie soll als neutraler Schlichter agieren. In

Manchmal werden spezielle Anforderungen an das Amt eines Ombudsmanns gestellt, z.B. die Befähigung für das Richteramt (zwei abgeschlossene juristische Staatsexamina) für den Versicherungsombudsmann.

Informationen zum Ombudsmannsystem

Das Hinweisgeberschutzgesetz (HinSchG), welches am 16.12.2022 zur Umsetzung der EU-Hinweisgeberschutzrichtline (RL 2019/1937) beschlossen wurde, wurde am 10.02.2023 vom Bundesrat blockiert. Wie also die genauen Anforderungen aussehen werden, lässt sich noch nicht endgültig sagen. Zur notwendigen Fachkunde steht bis dato im Gesetz:

§ 15

Unabhängige Tätigkeit; notwendige Fachkunde

(1) Die mit den Aufgaben einer internen Meldestelle beauftragten Personen sind bei der Ausübung ihrer Tätigkeit unabhängig. Sie dürfen neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Es ist dabei sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenkonflikten führen.

(2) Beschäftigungsgeber tragen dafür Sorge, dass die mit den Aufgaben einer internen Meldestelle beauftragten Personen über die notwendige Fachkunde verfügen. Ist der Beschäftigungsgeber der Bund oder ein Land, gilt Satz 1 für die jeweiligen Organisationseinheiten entsprechend.

Mehr Infos

Stand: 01.03.2023

Ist die menschliche Stimme ein personenbezogenes Datum? 

Art. 4 DSGVO – Begriffsbestimmungen

“Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1.„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“

--> Neben den allgemein bekannten personenbezogenen Daten wie z.B. Name, Geburtsdatum oder Adresse ist auch die menschliche Stimme laut DSGVO ein personenbezogenes Datum

Stand: 15.02.2023

Darf eine Bank Adressdaten bei Verdacht auf Missbrauch an die Polizei herausgeben? 

Konkretisierung der Fragestellung

Eine Betroffene erscheint geistig verwirrt. Sie wurde in der Vergangenheit via Amtsbeschluss betreut, der aber ausgelaufen ist. Nun hebt eine „gute Bekannte“ mit der Bankkarte und dem PIN der Betroffenen kontinuierlich Geld vom Giro ab. Der Bank erscheint dieses Vorgehen „unrund“, da auch keine Vollmacht und keine zweite Bankkarte vorliegt. Die Bank geht auf die Polizei zu und fragt nach Rat, ohne bis zu diesem Zeitraum pbD zu nennen. Die Polizei sieht Handlungsbedarf und bittet um Adressdaten der Person, die mittels der Bankkarte der Betroffenen kontinuierlich Geld abhebt. Die Bitte um personenbezogene Daten erfolgt mündlich, da Gefahr in Verzug.

Kann die Weitergabe der personenbezogenen Daten nach Art 6 Abs. 1 lit. f DSGVO gerechtfertigt sein, oder gibt es in der SPG eine Grundlage, wonach ich dann die Weitergabe auf den Art 6 Absatz 1 lit. c DSGVO begründen kann? Wird durch die Weitergabe das Bankgeheimnis verletzt und ist eine Information an die betroffene Person (möglicher Straftäter) überhaupt notwendig, da die Polizei ermitteln will.

Darf eine Bank die Adressdaten einer Person an die Polizei herausgeben? 

Art. 6 Abs. 1 DSGVO:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a.Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b.die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c.die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d.die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e.die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f.die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Zu Art. 6 Abs. 1 lit. c DSGVO:

Es braucht hier eine Rechtspflicht aus gesetzlichen Vorgaben;

Der DSGVO-Kommentar Gola/Heckmann, 3. Auflage 2022, Rz. 46 sagt dazu: „Auskunftsersuchen von Ermittlungsbehörden muss nur Folge geleistet werden, wenn ein Fall des § 163 Abs. 3 StPO vorliegt“. Das ist vorliegend nicht gegeben, da laut Sachverhalt gerade (noch) keine Vorladung als Zeuge gegeben ist.

Art. 6 Abs. 1 lit. f DSGVO:

Auslegung siehe u.a. Erwägungsgrund 47, Satz 6:

Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar. …

--> Art. 6 Abs. 1 lit. f DSGVO kann als Rechtsgrundlage der Verarbeitung der Daten angenommen werden, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. … vgl. Erwägungsgrund 47

§ 24 BDSG - Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen

(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn

1.sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder

2.sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist,

sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.

(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.

Mit der Norm soll es nichtöffentlichen Stellen auf Grundlage einer nationalen Vorschrift ermöglicht werden, Daten zu anderen Zwecken als zu denjenigen, zu denen die Daten erhoben wurden, zu verarbeiten. Unter den Voraussetzungen des § 24 kann die Weiterverarbeitung personenbezogener Daten durch die jeweilige nichtöffentliche Stelle auf die Rechtsgrundlage gestützt werden, und zwar unabhängig davon, ob der Sekundärzweck mit dem ursprünglichen Zweck kompatibel iSd Art. 6 Abs. 4 DSGVO ist, vgl. Gola/Heckmann/Heckmann/Scheurer BDSG § 24 Rn. 1, 2.

Die Kommentare zum BDSG gehen davon aus, dass der Tatbestand zurückhaltend ausgelegt werden muss und deshalb eine drohende Gefahr nicht ausreichend ist. „Vielmehr müssen konkrete Anhaltspunkte für eine Gefahr bzw. eine Straftat vorliegen, welche die Erforderlichkeit der Weiterverarbeitung zu anderen Zwecken begründen.“, vgl. Gola/Heckmann/Heckmann/Scheurer BDSG § 24 Rn. 11-13. Unzulässig wäre etwa die anlasslose Auswertung etwaiger Datenbestände auf Basis eines bloßen Verdachtsmoments, laut Taeger/Gabel/Rose BDSG § 24 Rn. 8.

Fazit

Über § 24 Abs. 1 Ziff. 1 2. Alt lässt sich die Weitergabe der Adressdaten der betroffenen Person an die Polizei rechtfertigen, wenn konkrete Anhaltspunkte für eine Gefahr bzw. eine Straftat vorliegen.

Wir halten das im vorliegenden Fall für zweifelhaft. Grundsätzlich gilt, dass rein die Tatsache, dass eine andere Person mit der Bankkarte einer anderen Person Geld abhebt, nicht den Verdacht einer Straftat begründet. Es müssen weitere Umstände hinzukommen, wie z.B. längere Nichterreichbarkeit der Bankarteninhaberin, ein Betreuungsverhältnis, keine Kontovollmacht der abhebenden Person, etc.

Es muss sorgfältig abgewogen werden!

Stand: 15.02.2023

Kann man die Texte, die ChatGPT erzeugt, einfach verwenden? 

Ausführliche Informationen über den datenschutzkonformen Einsatz von Künstlicher Intelligenz (KI) wie bspw. ChatGPT, Midjourney undinden Sie in unserem Blog.

Was muss ein Unternehmen beim Einsatz von KI-basierter Software, die personenbezogene Daten verarbeitet, beachten? 

Alle Regelungen der DSGVO, die auch sonst gelten, wenn es um die Verarbeitung personenbezogener Daten geht. Dazu zählt insbesondere:

1.Verbot mit Erlaubnisvorbehalt

2. Zweckbegrenzung und Zweckbindung, Art. 5 Abs. 1 b) DS-GVO

3. Prinzip der Erforderlichkeit

4. Prinzip der Datensparsamkeit, Art. 5 Abs. 1 c) DS-GVO

5. Prinzip der Transparenz, Art. 5 Abs. 1 a) DS-GVO

6. Verbot automatisierter Entscheidungen einschließlich Profiling, Art. 22 DS-GVO

Ausführlich: Holthausen: Big Data, People Analytics, KI und Gestaltung von Betriebsvereinbarungen – Grund-, arbeits- und datenschutzrechtliche An- und Herausforderungen, RdA 2021, 19

Stand: 08.02.2023

Muss vor Durchführung einer DSFA nach Art. 35 DSGVO eine Vorprüfung durchgeführt werden? 

Art. 35 Abs. 1 DSGVO:

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

Art. 35 Abs. 4 DSGVO:

Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.

Datenschutzkonferenz hierzu:

Ob eine DSFA durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken der Verarbeitungsvorgänge („Schwellwertanalyse“). Ergibt diese ein voraussichtlich hohes Risiko, dann ist eine DSFA durchzuführen. Wird festgestellt, dass der Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine DSFA nicht zwingend erforderlich. In jedem Fall ist die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren.

Muss das Ergebnis der Vorprüfung als Nachweis dokumentiert werden?

Ja.

Die Datenschutzkonferenz sagt dazu: In jedem Fall ist die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren, vgl. Ausführungen der Datenschutzkonferenz

Hier weitere Hinweise zur Schwellenwertanalyse

Stand: 08.02.2023

In welchen Vertragswerken muss man das TTDSG ergänzen? 

DSGVO und TTDSG

Bei Überschneidungen des TTDSG und der DSGVO ist das TTDSG als spezielleres Gesetz punktuell vorrangig, z.B. beim Fernmeldegeheimnis oder dem Verbot von Cookies ohne Einwilligung. Die allgemeinen Vorschriften der DSGVO gelten aber immer zusätzlich, sodass z.B. der Grundsatz der Transparenz und Rechtmäßigkeit durch Angabe der richtigen Gesetzesgrundlage weiter beachtet werden muss.

Wenn im Rahmen eines Telemedienangebotes Prozesse stattfinden, die sowohl unter das TTDSG als auch unter die DSGVO fallen, ist über die beiden Rechtsgrundlagen jeweils separat zu informieren.

Wenn das TTDSG spezielle Vorschriften angibt, sind diese zu zitieren. Wenn parallel TTDSG und DSGVO gelten, muss das bisherige Zitat aus der DSGVO durch das TTDSG Normzitat ergänzt werden.

TKG, TMG und TTDSG

Sämtliche Regelungen zum Datenschutz, die früher im TKG und TMG standen, wurden durch das TTDSG abgelöst. Hier muss also das Gesetzeszitat angepasst werden.

Wo muss das Gesetzeszitat geändert werden?

In allen den Datenschutz betreffenden Dokumenten und Informationen im Zusammenhang mit Endeinrichtungen.

Nicht abschließende Liste:

• Cookie-Banner,

• Datenschutzerklärungen,

• AV-Verträgen,

• Kundenverträge,

• AGB,

• Impressum,

• etc.

Stand: 01.02.2023

Was muss man genau bei „Kategorien personenbezogener Daten" ins VV aufnehmen? 

Im Verzeichnis für Verarbeitungstätigkeiten (Art. 30 DSGVO) müssen alle Tätigkeiten aufgelistet werden, bei denen personenbezogene Daten verarbeitet werden. Folgende Informationen müssen angegeben werden:

· Name und Kontaktdaten des Verantwortlichen

· Zweck der Verarbeitung

· Kategorien der betroffenen Personen (z.B. Kunden, Mitarbeiter, Bewerber)

· Kategorien von personenbezogenen Daten (z.B. Namen, Adressen, Geburtsdaten, Kontaktdaten)

· Empfänger oder Kategorien von Empfängern, denen die Daten offengelegt werden

· Übermittlungen von Daten in Drittländer (falls vorhanden)

· geplante Dauer der Speicherung

· Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen

Beispiele für Kategorien der betroffenen Personen:

Kunden (Name, Adresse, E-Mail-Adresse, Bestellhistorie) zur Abwicklung von Bestellungen

Mitarbeiter (Name, Adresse, Bankverbindung, Lebenslauf, Zeugnisse) für die Personalverwaltung

Bewerber (Name, Adresse, Lebenslauf, Zeugnisse) für die Durchführung des Bewerbungsverfahrens

Nutzer (IP-Adresse, Verhaltensdaten) zur Verbesserung der Website-Nutzung.

Beispiele für die Kategorien von personenbezogenen Daten

· Kontaktdaten: Name, Adresse, Telefonnummer, E-Mail-Adresse

· Persönliche Daten: Alter, Geschlecht, Geburtsdatum, Familienstand

· Finanzielle Informationen: Bankverbindung, Gehalt, Steuerdaten

· Arbeitsdaten: Stellennummer, Gehaltsdaten, Arbeitszeiten

· Gesundheitsdaten: Krankenakte, Untersuchungsergebnisse

· Bild- und Tonaufnahmen: Fotos, Videos, Audiomitschnitte

· Online-Daten: IP-Adresse, Verhaltensdaten, Suchanfragen

· Standortdaten: GPS-Daten, Informationen über bevorzugte Orte

Beispiele

Stand: 01.02.2023

Kann jsDelivr datenschutzkonform eingesetzt werden? 

Ausführliche Informationen über jsDelivr finden Sie in unserem Blog.

Kann OpenStreetMap datenschutzrechtlich bedenkenlos eingesetzt werden? 

Was ist OpenStreetMap (OSM)?

Nach Wikipedia ist OpenStreetMap (OSM) ein freies Projekt, das frei nutzbare Geodaten sammelt, strukturiert und für die Nutzung durch jedermann in einer Datenbank vorhält (Open Data). Diese Daten stehen unter einer freien Lizenz, der Open Database License. Kern des Projekts ist also eine offen zugängliche Datenbank aller beigetragenen Geoinformationen, vgl. Wikipedia

OpenStreetMap (OSM) kann nicht ohne Weiteres datenschutzkonform eingesetzt werden, denn auf der Plug-in-zugehörigen Webseite sind die Datenschutzvoraussetzungen nicht erfüllt.

Folgende zusätzlichen Voraussetzungen müssen vorliegen: 

• Nutzer-Einwilligung über Cookie-Banner,

• bessere Datenschutzerklärung,

• AV-Vertrag mit OSM an sich notwendig (momentan kein Verweis auf deren Webseite)

• Viele Informationen dazu auf der Website

OpenStreetMap ist (anders als Google) noch nicht in Verruf geraten und hat durch den Sitz außerhalb der USA (Großbritannien), sowie eine deutlich geringere Erhebung von Daten (nur IP-Adresse) augenscheinlich datenschutzrechtliche Vorteile.

Eine datenschutzkonforme Einbindung ist aber auch hier aufwendig und im Einzelfall zu prüfen. Durch die offene Datenbasis und der Tatsache, dass kein kommerzielles Unternehmen hinter OSM steht, gibt es bislang auch keine vorgefertigten AV-Verträge. OSM hat aber die Chance, sich als datenschutzkonforme Alternative zu etablieren.

Ob die Gerichte die Verwendung von OSM als datenschutzkonform bezeichnen würden, ist unklar. Bei Google Maps dürfte ohne Einwilligung und die anderen datenschutzrechtlichen Voraussetzungen keine Datenschutzkonformität gegeben sein.

Darf man einen Screenshot eines Kartenausschnitts von Open Street Map auf der Website veröffentlichen?

Urheberrecht und Lizenz von Open Street Map

„Es steht dir frei unsere Daten zu kopieren, weiterzugeben, zu übermitteln sowie anzupassen, sofern du OpenStreetMap und die Mitwirkenden als Quelle angibst. Für den Fall, dass du auf Basis unserer Daten Anpassungen vornimmst, oder sie als Grundlage für weitere Bearbeitungen verwendest, kannst du das Ergebnis auch nur gemäß der selben Lizenz weitergeben.

Wie auf die Urheberschaft von OpenStreetMap hinzuweisen ist

Wenn du OpenStreetMap-Daten verwendest, musst du die folgenden zwei Bedingungen erfüllen:

Nenne OpenStreetMap, indem du unseren Urheberrechtshinweis anzeigst.

Mache deutlich, dass die Daten unter der Open-Database-Lizenz verfügbar sind.“

--> Unter Berücksichtigung der Bedingungen laut Lizenzvereinbarung darf somit ein Screenshot verwendet werden

Stand: 15.02.2023

Wie können Verantwortliche gegen Bescheide der Aufsicht vorgehen? 

Art. 78 DSGVO:

Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.

Das heißt:

• Gegen einen Verwaltungsakt: Anfechtungsklage iSv § 42 Abs. 1 Alt. 1 VwGO

• Gegen einen von der Aufsichtsbehörde erlassenen Bußgeldbescheid: Einspruch nach §§ 67 ff. OWiG und danach gerichtlich.

Stand: 25.01.2023

Welche Rechtswege stehen Betroffenen bei der Durchsetzung seiner Rechte aus der DSGVO und dem BDSG zur Verfügung? 

Allgemein

Der Rechtsweg ist der Weg, auf dem bei einer Gerichtsbarkeit um Rechtsschutz nachgesucht werden kann. Man unterscheidet vor allem zwei große Rechtswege: den

ordentlichen Rechtsweg  und den

Verwaltungsrechtsweg .

• Eine Sonderstellung nimmt die Verfassungsgerichtsbarkeit ein. Nach Art. 47 GRCh sowie § 17a GVG muss garantiert werden, dass auch dieser Rechtsweg offensteht. Diese Rechtsweggarantie wird in Art. 78 Abs. 1 DS-GVO nochmals verdeutlicht. Dabei sind sowohl natürliche als auch juristische Personen erfasst, vgl. Art. 78 Abs. 1 DS-GVO.

Außergerichtlich

Die außergerichtlichen Möglichkeiten gehören strenggenommen nicht zum Rechtsweg, da der Rechtsbehelf nicht vor einem Gericht versucht wird durchzusetzen.

Der häufigste Fall von außergerichtlichen Rechtsmitteln sind Abmahnungen, oft verbunden mit  Unterlassungserklärungen und sogenannte anwaltliche Forderungsschreiben. Oft wird hierdurch versucht einen gerichtlichen Prozess vorbereiten bzw. stellt eine Abmahnung oft einen Versuch dar, ein gerichtliches verfahren zu vermeiden.

Verwaltungsrecht:

Gemäß Art. 77, 78 der DSGVO besteht das Recht zur Beschwerde bei einer Aufsichtsbehörde, wenn der Verdacht besteht, dass die Verarbeitung personenbezogener Daten gegen die Datenschutz-Grundverordnung verstößt. Die Aufsichtsbehörde muss über den Stand und die Ergebnisse der Beschwerde und die Möglichkeit eines gerichtlichen Rechtsbehelfs informieren.

Möchte man sich hingegen gegen Maßnahmen einer Behörde wenden, so ist der Verwaltungsrechtsweg der einschlägige Rechtsweg, vgl. Art 78 Abs. 1, 2 DSGVO, § 20 Abs. 1 S. 1 BDSG. Dazu bedarf es einer „Außenwirkung“ irgendeiner Art. Es kann so also auch gegen das „Nichts-Handeln“ einer Behörde vorgegangen werden.

Zivilrecht:

Alle datenschutzrechtlichen Ansprüche der Betroffenen (Art. 12 ff. DSGVO) können auf dem Zivilrechtweg eingeklagt werden. Das heißt:

Auskunfts-/Unterlassungs-/Löschungs-/ Schadensersatzklagen sind hier vor den Zivilgerichten möglich

Sonderfall Unterlassungsansprüche aus UWG für Betroffene

Für Ansprüche nach dem Gesetz gegen den unlauteren Wettbewerb („UWG“) sind die Landgerichte ausschließlich zuständig (vgl. § 13 Abs. 1 UWG, 95 Abs. 1 Nr. 5 GVG). Streitig bis heute, ob Regelungen aus der DSGVO Marktverhaltensregel i.S.v. § 3a UWG darstellen.

Neben den Verstoß gegen die DSGVO braucht man hierzu zusätzlich einen Nachweis der Persönlichkeitsrechtsverletzung, denn die bloße verordnungswidrige Datenverarbeitung stellt keine Rechtsverletzung iSd. §§ 823 Abs. 1, 1004 Abs.1 S. 2 BGB analog dar (vgl. LG München, Urteil v. 7.11.2019, Az. 34 O 13123/19, Rn. 28 juris). Wenn allerdings mit der rechtswidrigen Verarbeitung zugleich eine Persönlichkeitsverletzung verbunden ist (z.B. Veröffentlichung von Fotos, Verbreitung unwahrer Tatsachen etc.), ist ein Unterlassungsanspruch vor den ordentlichen Gerichten gegenüber der verarbeitenden Stelle möglich.

Sonderkonstellation

Vorabentscheidungsverfahren

Wenn in einem der obigen gerichtlichen Verfahren die Auslegung einer Vorschrift der DSGVO in Frage steht, kann vor dem Instanzengericht ein Vorabentscheidungsverfahren vor dem EuGH angeregt werden (vgl. Art. 267 AEUV). Eine Vorlagepflicht besteht allerdings nur in letzter Instanz

Verfassungsbeschwerde

Nach Erschöpfung des ordentlichen Rechtswegs, besteht immer noch die Möglichkeit, eine Verfassungsbeschwerde vor dem Bundesverfassungsgericht zu erheben.

Stand: 25.01.2023

Wann müssen Verträge im Original in Papierform aufbewahrt werden? 

Es gibt hier eine zivilrechtliche, eine steuerrechtliche und eine datenschutzrechtliche Sicht.

Zivilrecht: Die Zivilgerichte lassen in aller Regel ausgedruckte Kopien eines zuvor digitalisierten Vertrages zu. Wenn aber die Echtheit einer Urkunde angezweifelt wird, sollte das Original vorgelegt werden können. Die freie Beweiswürdigung nach §§ 371 Abs. 1 S. 1, 286 Abs. 1 ZPO stellt dem Richter dann frei, wie er digitalisierte Verträge würdigt. Wenn die Urkunde bereits vernichtet wurde, bleibt die Prozesspartei den Beweis also unter Umständen schuldig.

Jedenfalls dann, wenn das Gesetz die sogenannte Schriftform nach § 126 BGB für einen Vertrag vorschreibt, wird eine digitale Version regelmäßig nicht genügen (so zuletzt das LAG Berlin-Brandenburg, Urteil vom 16.3.2022 – 23 Sa 1133/21).

Die Schriftform ist beispielsweise bei folgenden Verträgen unerlässlich:

·Arbeitnehmerüberlassungsvertrag

·Abtretung von Rechten

·Schuldanerkenntnis

·Verbraucherdarlehens- und Ratenlieferungsverträge sowie Fernunterrichtsverträge.

·Unbedingt ist die Schriftform auch bei Verträgen mit der öffentlichen Verwaltung einzuhalten (sog. öffentlich-rechtlicher Vertrag).

Im Miet- und Pachtrecht wird die Schriftform zwar gesetzlich angeordnet, allerdings ist der Vertrag auch ohne Einhaltung der Schriftform wirksam geschlossen. Mit dem Unterschied, dass ohne die Einhaltung der Schriftform dieser auf unbestimmte Zeit läuft.

Steuerrecht:

Wenn ein Vertrag die steuerrechtlich relevant ist, er also Buchungsbeleg zu sehen sind, besteht nach § 147 der Abgabenordnung eine gesetzliche Aufbewahrungspflicht für 10 Jahre. Diese Frist besteht für alle Unternehmen, die zur Buchführung verpflichtet sind.

Verträge, die nicht als Buchungsbelege gelten, können als Geschäftskorrespondenz gesehen werden. Nach dem Handelsgesetzbuch (HGB) besteht für solche Organisationsunterlagen eine Aufbewahrungsfrist von sechs Jahren.

Datenschutzrecht:

Die datenschutzrechtliche Löschpflicht findet ihre Grenzen in den zivil- und steuerrechtlichen Aufbewahrungspflichten.

Ergebnis:

•Wenn der Vertrag wichtig ist (Streitpotenzial?)

•oder der Schriftform bedarf,

empfiehlt es sich wegen der Beweiskraft des Originals, auch das Papieroriginal aufzubewahren.

Bei weniger wichtigen Verträgen bzw. Dokumenten oder solchen, die auch in Textform wirksam sind, genügt die digitale Aufbewahrung.

Stand: 25.01.2023

Welche Kontrollaufgaben hat der ext. DSB hinsichtlich der Auftragsverarbeiter seines Kunden? 

Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.

Was ist ein wissenschaftlich anerkanntes Verfahren zur Entscheidungsfindung? 

Scoring als Unterfall des Profiling nach § 31 BDSG

Bonitätsauskünfte in Form von Scoring ist in § 31 BDSG geregelt.

„Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn

1.die Vorschriften des Datenschutzrechts eingehalten wurden,

2.die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,

3.für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wurden und

4.im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.“

Automatisierte Entscheidungsfindung durch Algorithmen

„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Scoring ist ein von Auskunfteien durch mathematische-statische Verfahren ermitteltes Wertesysteme, bei dem nur noch der „Scorewert“ an den Vertragspartner übermittelt wird und so seine Bonität eingeschätzt wird. Diese Prognose über Zahlungsfähigkeit- und Willigkeit ist eine Form des Profilings nach Art. 4 Nr. 4 DSGVO.

Scoring als Unterfall des Profiling nach § 31 BDSG

Für die Berechnung des Scorewertes dürfen nur Daten genutzt werden, die unter Anwendung eines wissenschaftlich mathematisch-statistischen Verfahrens dafür nachweislich geeignet sind (OLG Frankfurt a. M. ZD 2015, ZD Jahr 2015 Seite 335).

Es soll damit eine Nachprüfung durch die Aufsichtsbehörde ermöglicht werden.

„Abs. 1 Nr. 2 verpflichtet allerdings nicht dazu, die wissenschaftliche Anerkennung des mathematisch-statistischen Verfahrens durch Prüfsiegel oder Zertifikate nachzuweisen. „Wissenschaftlich anerkannt“ ist allerdings nicht mit „wissenschaftlich“ identisch oder gleichzusetzen. Vielmehr bedeutet wissenschaftlich, dass das Verfahren Gegenstand wissenschaftlicher Untersuchungen war und in diesen wissenschaftlichen Untersuchungen allgemein als zutreffende Berechnung der Wahrscheinlichkeitswerte für ein bestimmtes zukünftiges Verhalten der betroffenen Personen eingestuft wurde. Prüfungen der Verfahren durch eine Datenschutzaufsichtsbehörde dienen grundsätzlich nicht wissenschaftlichen Zwecken, sondern dem gesetzlichen Auftrag der Behörde, die Einhaltung der Vorschriften des Datenschutzrechts zu überprüfen. Allerdings kann eine derartige Prüfung nach Umfang, Zuschnitt und Methode als wissenschaftliche Untersuchung angelegt sein.

Die Berechnung des Wahrscheinlichkeitswerts hat unter Zugrundelegung eines mathematisch-statistischen Verfahrens zu erfolgen. Gemeint ist offenbar ein Verfahren der mathematischen Statistik. Mathematische Statistik und Wahrscheinlichkeitstheorie werden unter dem Oberbegriff Stochastik als ein Teilgebiet der Mathematik verstanden. Für Kredit-Scoring werden verschiedene Algorithmen oder Techniken verwendet wie etwa die logistische Regression, Diskriminanzanalyse, künstliche neuronale Netze und andere Data-Mining-Methoden.“ Aus: Gola/Heckmann/Lapp BDSG § 31 Rn. 29-30

Stand: 25.01.2023

Wann gilt eine E-Mail im geschäftlichen Verkehr als zugegangen? 

Aktuelles Urteil des BGH vom 6.10.2022 – VII ZR 895/21:

Eine Willenserklärung, die einem anderen gegenüber abzugeben ist, wird, wenn sie in dessen Abwesenheit abgegeben wird, in dem Zeitpunkt wirksam, in welchem sie ihm zugeht. Sie wird nicht wirksam, wenn dem anderen vorher oder gleichzeitig ein Widerruf zugeht. Der Zugang einer Willenserklärung unter Abwesenden setzt voraus, dass sie so in den Bereich des Empfängers gelangt ist, dass dieser unter normalen Verhältnissen die Möglichkeit hat, vom Inhalt der Erklärung Kenntnis zu nehmen.

Im vorliegenden Fall ist das Angebot der Kl. mit E-Mail vom 14.12.2018, 9.19 Uhr, auf Abschluss eines Vergleichs, der Beklagte zu diesem Zeitpunkt gem. § 130 Abs. 1 BGB wirksam zugegangen.

Weiter führt der BGH aus:

Wird eine E-Mail im unternehmerischen Geschäftsverkehr innerhalb der üblichen Geschäftszeiten auf dem Mailserver des Empfängers abrufbereit zur Verfügung gestellt, ist sie dem Empfänger grundsätzlich in diesem Zeitpunkt zugegangen. Dass die E-Mail tatsächlich abgerufen und zur Kenntnis genommen wird, ist für den Zugang nicht erforderlich.

Im Ergebnis stellte der BGH also fest: ein wirksames Vergleichsangebot gilt durch den Eingang der E-Mail auf dem Mailserver als zugegangen.

Stand: 18.01.2023

Wie tief muss ich als ext. DSB mich bei Dienstleistern „vor Ort“ überzeugen, dass der Datenschutz nicht nur im Papierformat eingehalten wird? 

Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.

Was hat der EuGH in seinem Urteil zum Thema parallele Ausübung von Datenschutzrechtsbehelfen entschieden? 

EuGH zur parallelen Ausübung von DSGVO-Rechtsbehelfen -  Urteil vom 12.01.2023 (C-132/21)

Sachverhalt:

Der Kläger möchte von der nationalen Behörde für Datenschutz und Informationsfreiheit Ungarn die Übermittlung von einem Auszug einer Tonaufzeichnung einer Aktionärshauptversammlung, an der er selbst teilgenommen hat. Die Aufsichtsbehörde lehnt den Antrag ab.

Der Kläger erhebt nun zwei Klagen an zwei verschiedenen Gerichten. Der zweiten Klage nach Art. 79 Abs. 1 DSGVO wird rechtskräftig stattgegeben. Das erste Gericht legt danach die Sache dem EuGH vor, um möglicherweise widersprechende Entscheidungen in derselben Sache zu vermeiden.

Art. 78 Abs. 1 DSGVO:

„Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.“

Art. 79 Abs. 1 DSGVO:

„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“

Aus den Urteilsgründen:


Jeder dieser Rechtsbehelfe muss „unbeschadet“ der anderen eingelegt werden können. Es wird keine vorrangige oder ausschließliche Zuständigkeit vorgesehen. Die vorgesehenen Rechtsbehelfe können daher nebeneinander und unabhängig voneinander eingelegt werden.

Im Einklang mit dem Grundsatz der Verfahrensautonomie obliegt es den Mitgliedstaaten, die Modalitäten des Zusammenspiels dieser Rechtsbehelfe zu regeln, um die Wirksamkeit des Schutzes zu gewährleisten.

Stand: 18.01.2023

Gibt es gerichtliche Entscheidungen zum Thema Sonderkündigungsschutz von internen Datenschutzbeauftragten? 

Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.

Was hat das OLG Köln zum Thema Schadensersatz bei verzögerter Auskunft entschieden? 

OLG Köln (15. Zivilsenat), Urteil vom 14.07.2022 – 15 U 137/21 - Schadensersatzanspruch bei verzögerter Auskunft

Aus dem Sachverhalt und der Vorinstanz:

Die Klägerin will unter anderem immateriellen Schadensersatz wegen verspäteter Datenschutzauskünfte von ihrem Rechtsanwalt.

Vor dem LG wird festgestellt, dass sie keinen Anspruch auf Schadensersatz hat. Der Gegenstandwert für die datenschutzrechtliche Auskunft liegt bei lediglich 500,00 € - und nicht bei den geforderten 1.000,00 €. In der Berufung will die Klägerin den Streitwert auf 5.000,00 € ändern, vermindert aber in der mündlichen Verhandlung ihren Anspruch auf lediglich 500,00 €.

Aus der Urteilsbegründung:
Der Höhe nach hält der Senat den von der Klägerin letztlich noch geltend gemachten Betrag in Höhe von 500,- Euro für ausreichend und angemessen, um die von ihr erlittenen immateriellen Schäden nach Art. 82 Abs. 1 DSGVO auszugleichen.

Die Folgen der verspäteten Datenauskunft haben zu Stress und Sorge in Hinblick auf die beim Anwalt liegende Rechtssache geführt. Zugunsten des Beklagten wurde berücksichtigt, dass die Daten der Klägerin keinem Dritten zugänglich gemacht worden sind und die Frage einer Präventionsfunktion der Entschädigung (zumindest im vorliegenden Fall) aufgrund der zeitweisen Erkrankungen des Beklagten keine durchgreifende Rolle spielt und letztlich damit keine höhere Entschädigung rechtfertigen kann.

Stand: 18.o1.2023

In welcher Höhe setzen die deutschen Gerichte Streitwerte bei Datenschutzauskunftsklagen an? 

Es gibt mittlerweile zahlreiche Gerichtsurteile, die sich mit Klagen auf Datenauskunft nach Art. 15 DSGVO befasst haben. Die Streitwerte, auf deren Basis die Verfahrenskosten (v.a. Gerichts- und Rechtsanwaltskosten) berechnet werden, lagen bis dato immer zwischen EUR 500,- und EUR 6.000,-.

Beispiele:

  • LG Bonn, Urt. v. 1.7.2021 – 15 O 355/20: Streitwert von EUR 500,-
  • OLG Stuttgart, Urt. v. 17.6.2021 – 7 U 325/20: hier wurde der Streitwert für eine Auskunftsklage nach Art. 15 DSGVO mit 2.000 EUR bemessen, und zwar insgesamt für drei voneinander unabhängige Auskunftsanträge.
  • LAG Schleswig-Holstein, Beschluss. v. 20.7.2022 – 2 Ta 63/22: das Gericht erklärte, dass der Streitwert eines Datenauskunftsantrags nach Art. 15 DSGVO pauschal 5.000,- EUR beträgt.
  • OLG Köln, Beschluss vom 4.8.2022 – 7 U 137/21:  Der Streitwert der Datenauskunft betrugt vorliegend, losgelöst vom sonstigen Streitwert, EUR 1.000,-.
  • OLG Brandenburg, Beschluss vom 1.8.2022 – 12 W 23/22: der Kläger wollte für sein Auskunftsinteresse einen Streitwert von EUR 6.000,- ansetzen. Das Gericht sah den Auskunftsantrag als „nicht mehr besonders werthaltig“ an und legte den Streitwert auf EUR 1.000,- fest.

Stand: 18.01.2023

Ist es zulässig, einem externen HR-Berater den Lebenslauf eines Teilnehmers eines Assessment-Centers zukommen zu lassen? 

Grundsätzlich bedarf jede Verarbeitung personenbezogener Daten folgender Voraussetzungen:

1. Das Vorliegen einer Rechtsgrundlage für die Verarbeitung

2. Einhaltung der datenschutzrechtlichen Grundsätze (Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Integrität und Vertraulichkeit)

Zu 1. kommt in unserem Fall v.a. Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage in Betracht. Demnach wäre das Arbeitsverhältnis zwischen dem Teilnehmer und seinem Arbeitgeber (§ 611 ff. BGB) die Rechtsgrundlage, auf deren Basis auch externe Berater hinzugezogen werden dürfen. Die Datenverarbeitung wäre auch „erforderlich“, da sie zur Erfüllung von Pflichten oder zur Wahrnehmung von Rechten aus einem mit der betroffenen Person geschlossenen Vertrag vorgenommen und hierfür benötigt wird (hier: Personalentwicklung). Die geplante Datenverarbeitung, hier in Form der Weitergabe des Lebenslaufs, dürfte sich bei vernünftiger Würdigung als objektiv sinnvoll erweisen (Gola/Heckmann/Schulz DS-GVO Art. 6 Rn. 38-43), da das AC anderenfalls nicht zielgerichtet auf den Kandidaten/die Kandidatin durchgeführt werden kann.

Stand: 11.01.2023

Kann ein Portraitfoto einer Person durch die Auswertung einer KI eine besondere Kategorie personenbezogener Daten sein? 

Art. 9 DSGVO - Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Art. 4 Ziff. 14 DSGVO:

„Biometrische Daten“ sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;“

Wenn also mit einer bestimmten Technologie eine Gesichtserkennung durchgeführt und eine Person eindeutig identifiziert werden kann, ist eine besondere Kategorie personenbezogener Daten betroffen --> nach Artikel 9 DSGVO ist die Verarbeitung solcher Daten nur unter bestimmten Voraussetzungen gestattet.             

Im Art. 9 Abs. 2 DSGVO werden einige Ausnahmefälle bei der Gesichtserkennung geregelt. Nur wenn diese vorliegen dürfen die Daten erhoben und auch verarbeitet werden. So ist es erlaubt biometrische Daten zu verarbeiten, wenn

  • der Betroffene zu einem festgelegten Zweck der Verarbeitung ausdrücklich zustimmt und seine Einwilligung gegeben hat, oder
  • eine Verarbeitung zwingend notwendig ist, damit bestimmte Rechte und Pflichten wahrgenommen werden können.

Quelle: https://www.kriminalberatung.de/gesichtserkennung-datenschutz/

Stand: 11.01.2023

Gibt es offizielle Bildsymbole im Bereich Datenschutz? 

Art. 12 DSGVO
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(7) Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. 

(8) Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.

Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.

Um die Verarbeitung personenbezogener Daten in Datenschutzhinweisen einfach und verständlich darzustellen, kann auch auf Bildsprache zurückgegriffen werden.

Auf der Website des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg werden u.a. Bildsymbole für die häufig gebräuchlichen Begrifflichkeiten wie z.B. Verantwortliche, personenbezogene Daten, Zweck, Betroffenenrechte, Aufsichtsbehörde etc. zum kostenlosen Download vorgeschlagen.

Zum Download

Stand: 11.01.2023

Ist das Bereitstellen eines Whitepapers online bereits die Erbringung einer Dienstleistung im Sinne des § 7 Abs. 3 UWG? 

Ausführliche Informationen zum Thema Whitepaper finden Sie in unserem Blog.

Wie gestaltet man einen Newsletter datenschutzkonform? 

Ausführliche Informationen zum Thema Newsletter und Werbung per E-Mail finden Sie in unserem Blog.

Die Datenschutzaufsicht hat i.d.R. auch Informationsfreiheit beigestellt. Gibt es Bezug zum Datenschutz? 

Erst einmal ist klarzustellen, dass sich sowohl das Informationsfreiheitsgesetz des Bundes als auch diejenigen der Länder, nur an Behörden als Verpflichtete richtet. Unternehmen sind keine Adressaten der Informationsfreiheitsgesetze.

Informationsfreiheitsgesetze regeln den Zugang des Bürgers zu Unterlagen von Behörden unabhängig von einer persönlichen Betroffenheit des jeweiligen Bürgers. Damit soll es (interessierten) Bürgern möglich sein, das staatliche Handeln besser nachzuvollziehen und zu kontrollieren. In Bundesländern, die kein Informationsfreiheitsgesetz erlassen haben, darf ein Bürger Einsichtnahme in behördliche Akten (i.d.R.) nur nehmen, wenn er oder sie persönlich betroffen sind von dem Vorgang.

Im Informationsfreiheitsgesetz des Bundes regelt § 5 den Ausgleich zwischen (persönlichem) Datenschutz und Informationsinteresse. Nach dessen Abs. 1 S. 1 dürfen personenbezogene Daten nur offenbart werden, wenn das Informationsinteresse überwiegt. Nach Abs. 1 S. 2 dürfen Besondere Kategorien von personenbezogene Daten nach Art. 9 DSGVO nur mit Einwilligung des Betroffenen herausgegeben werden.

Die Datenschutzaufsicht hat i.d.R. auch die Informationsfreiheit zu überwachen (z. B. Bundesbeauftragter für Datenschutz und Informationsfreiheit BfDI).

Datenschutz und Informationsfreiheit stehen in einem Spannungsverhältnis zueinander. Anstatt zwei separate Behörden zu schaffen, die sich am Ende nicht einigen können, hat man es wohl als effektiver angesehen, eine Behörde mit beiden Themen zu betrauen. Diese Vermutung wird auch durch die Gesetzesmaterialien zu dem Informationsfreiheitsgesetz des Bundes bestätigt. Dort heißt es auf S. 17: Der Bundesdatenschutzbeauftragte wird zugleich Beauftragter für die Informationsfreiheit (siehe Folgeänderung in § 13). Erfahrungen im Ausland und in den Ländern, die bereits über Informationsfreiheitsgesetze verfügen, zeigen, dass ein Beauftragter bürgernah Informationsfreiheit und Datenschutz in Ausgleich bringen kann.

Zu beachten ist aber, dass bspw. der Bundesbeauftragte nicht oberste Instanz ist. Er kann anderen Behörden keine Weisungen dahingehend erteilen, dass sie Informationen herausgeben müssen. Vielmehr ist er nur Vermittlungsstelle zwischen Bürger und Behörde. Ein Antrag auf Einsichtnahme in behördliche Informationen kann nur klageweise gegen eine sich weigernde Behörde durchgesetzt werden. Die Anrufung des Bundesbeauftragten hemmt die Klage- bzw. Widerspruchsfrist nicht! (siehe Flyer des BfDI).

Stand: 21.12.2022

Dürfen nach dem Urteil des VG Wiesbaden noch Cookies vom Anbieter "Cookiebot" eingesetzt werden? 

VG Wiesbaden, Beschluss vom 01.12.2021, Az.: 6L 738/21.WI:

Der Dienst „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Dabei werden die tatsächlich eingesetzten Cookies kontrolliert und solche Cookies blockiert, für die eine Zustimmung nicht erteilt wurde.

Aber: Es werden (wohl) nach Vortrag des Antragstellers  auch personenbezogene Daten des Nutzers an den Server von „Cookiebot“ in den USA übermittelt. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert wird, und der übermittelten vollständigen IP-Adresse, ist der Endnutzer eindeutig identifizierbar.

Ergebnis: Cookiebot könnte gegen Datenschutzrecht verstoßen, da weder eine Einwilligung der Nutzer gegeben wird, noch eine andere Rechtsgrundlage für die Datenübermittlung in die USA zu greifen scheint.

Was sind die Auswirkungen dieser Entscheidung für die Praxis?

Im Eilverfahren vor dem VG Wiesbaden wollte nun der Antragsteller erreichen, dass es der Hochschule RheinMain untersagt wird, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden.

Das Gericht gab dem Antrag statt (Az.: 6 L 738/21.WI).

Aber! Die Entscheidung wurde vom Berufungsgericht (Hessischen Verwaltungsgerichtshof) aufgehoben. Es fehle die Eilbedürftigkeit, die man für einen solchen Antrag im Eilverfahren brauche. 

Ergebnis: Verfahren im Auge behalten! Derzeit kann man nicht sagen, dass Cookiebot rechtswidrig ist, weil es keine rechtskräftige Gerichtsentscheidung dazu gibt. Wir warten also immer noch auf das Hauptsachverfahren!

Stand: 14.12.2022

Was ist nach TTDSG und DSGVO zu beachten, wenn ein Arbeitgeber ein W-LAN für seine Mitarbeiter einrichten möchte? 

Ausgangsfrage: Wird ein Unternehmen zum TMG oder TK-Provider, wenn es ein WLAN für die private Nutzung durch Mitarbeiter und Kunden anbietet?

1.

Ist der Arbeitgeber als TK-Provider zu verstehen, wenn er W-LAN zur privaten Nutzung durch seine Mitarbeiter anbietet?

--> Sehr umstrittene Frage (auch zu Zeiten des alten TKG). Die Frage wurde gerichtlich v.a. im arbeitsrechtlichen Kontext diskutiert, nämlich, ob und wann ein Arbeitgeber das Fernmeldegeheimnis beachten muss.

2.

Ist der Arbeitgeber als TM-Provider zu verstehen, wenn er W-LAN zur privaten Nutzung durch seine Mitarbeiter anbietet?

--> Zu einem Anbieter von Telemedien wird das Unternehmen nur, wenn er als Content-/Zwischenspeicherungs- oder Access-Provider verstanden werden kann.

Zum TKG: Das TKG wurde zum 01.12.2021 neu gefasst. Dabei wurden sämtliche Datenschutzthemen im neu geschaffenen TTDSG geregelt. Dabei wurde vom Gesetzgeber versäumt zu regeln, ob ein Arbeitgeber durch das Bereitstellen des WLANs für die Mitarbeiter zur privaten Nutzung zum TK-Provider wird (und damit dann auch unter das Fernmeldegeheimnis nach § 3 TTDSG fällt).

Wie früher versteht man unter einem „geschäftsmäßige Erbringen von Telekommunikationsdiensten“ das „nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht“. Die Gewinnerzielungsabsicht ist also keine Voraussetzung! Ausreichend ist ein auf Dauer angelegtes Angebot von Telekommunikationsdiensten. Allerdings muss der Dienst von vorneherein auf eine Vielzahl von Nutzungen angelegt sein und nicht nur gelegentlich erfolgen.

Wird ein Unternehmen zum TMG oder TK-Provider, wenn es ein WLAN für die private Nutzung durch Mitarbeiter und Kunden anbietet?

Die Bundesnetzagentur ist unter der alten Rechtslage davon ausgegangen, dass das Bereitstellen eines WLAN-Hotspots in Cafés, Hotels, Restaurants usw. keine „Erbringung von Telekommunikationsdiensten i.S.v. § 3 Nr. 6 lit. a TKG a.F. darstellt, sondern lediglich eine Mitwirkung an der Erbringung von Telekommunikationsdiensten ist. Der Fall des „Mitwirkens an der Erbringung einer Telekommunikationsdienstleistung“ wurde jedoch im neuen Gesetz gestrichen.

§ 3 Nr. 1 TKG sieht als Anbieter von Telekommunikationsdienstleistungen nur noch denjenigen an, „der Telekommunikationsdienste erbringt“. Die Bundesnetzagentur stellt bei ihrer Beurteilung maßgeblich darauf ab, ob der Zugang nur spontan und kurzzeitig genutzt wird, oder dauerhaft. Übertragen auf den vorliegenden Sachverhalt würde das bedeuten, dass gegenüber den sporadisch das Netzwerk nutzenden Kunden oder Mitarbeiter keine „Erbringung“ von Telekommunikationsdiensten vorläge.

Was ist genau unter einem „Telekommunikationsdienst“ zu verstehen?:

 § 3 Nr. 61 TKG:

a) Internetzugangsdienste,

b) interpersonelle Telekommunikationsdienste und

c) Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, wie Übertragungsdienste, die für Maschine-Maschine-Kommunikation und für den Rundfunk genutzt werden;

Die Definition von „Internetzugangsdienst“ ergibt sich nach § 3 Nr. 23 TKG aus Art. 2 Abs. 2 EU-VO 2015/2120. Danach ist ein „„Internetzugangsdienst“ ein öffentlich zugänglicher elektronischer Kommunikationsdienst, der unabhängig von der verwendeten Netztechnologie und den verwendeten Endgeräten Zugang zum Internet und somit Verbindungen zu praktisch allen Abschlusspunkten des Internets bietet“.

Ob das Anbieten eines Wifi-Hotspots alleine dafür „Internetzugangsanbieter“ zu sein, ist mit den Arbeitsgerichten zu bezweifeln, da den Internetzugang erst der ISP schafft und der Wifi-Zugang an sich (alleine) nicht ausreicht.

Weiterhin sieht § 3 Nr. 61 TKG vor, dass der Telekommunikationsdienst „in der Regel gegen Entgelt“ erbracht werden muss. Mit dem „i.d.R.“ wollte ausweichlich der Gesetzesbegründung (Drucksache 19/26108, S. 237) insbesondere Fälle miteinbeziehen, bei denen die Gegenleistung nicht in einem Entgelt, sondern in der „Zahlung mit Daten“ besteht. Somit fordert § 3 Nr. 61 TKG letztlich eine Gegenleistung, welche bei einer kostenlosen Bereitstellung des WLANs (ohne Weiterverarbeitung der personenbezogenen Daten) nicht vorläge.

Fraglich ist aber, ob der Wifi-Betreiber nicht Betreiber eines öffentlichen Telekommunikationsnetzes i.S.v. § 1 Abs. 2 Var. 1 TKG ist. Relevante Definitionen hierzu findet man in § 3 Nr. 7, Nr. 42, Nr. 65 TKG.

Ist das Anbieten eines W-LANs bei reiner Mitarbeiter Nutzung auch schon als „öffentlich“ zu werten?

Nach wie vor ist es herrschende Meinung, dass es ein geschäftsmäßiger Telekommunikationsdienst ist, wenn es ein dauerhaftes Angebot an die „Öffentlichkeit“ gibt. Als Öffentlichkeit gilt hier auch die private Nutzungsmöglichkeit von WLAN für Mitarbeiter, gestellt vom Arbeitgeber.

Geppert/Schütz, Beck’scher TKG-Kommentar sagt dazu:

„Daher sind ebenfalls Betreiber von Nebenstellenanlagen in Betrieben, Behörden, Hotels und Krankenhäusern zur Wahrung des Fernmeldegeheimnisses verpflichtet, sobald sie ihre

Telekommunikationsanlage Dritten, z. B. auch den eigenen Mitarbeitern, zur

privaten Nutzung zur Verfügung stellen.“

Damit würden auch §§ 3 ff. TTDSG  ergänzend zu den Regelungen der DSGVO gelten, da der Unternehmer im Hinblick auf die Erhebung der Daten, die bei jeder Verbindung mit dem WLAN anfallen, Verantwortlicher im Sinne der DSGVO ist.

Aber:

Arbeitsgerichte haben das bisher nicht bestätigt! Im Gegenteil: bislang wurde der Arbeitgeber nicht als Provider gesehen, auch nicht, wenn WLAN privat genutzt wird.

Es ist daher durchaus die Ansicht vertretbar, dass die Zurverfügungstellung von WLAN für Mitarbeiter zur privaten Nutzung kein geschäftsmäßiger TK-Dienst ist. Hauptargument: Nicht „in der Regel gegen Entgelt“ erbracht.

Stand: 14.12.22

Ist Microsoft Office 365 datenschutzkonform? 

Ausführliche Informationen über Microsoft Office 365 finden Sie in unserem Blog.

Was muss ich als DSB bei der Prüfung von TK-Anbietern beachten? 

Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.

Wie ist das Verhältnis zwischen TTDSG und der DSGVO? 

Das TTDSG dient der Umsetzung der ePrivacy-RL aus dem Jahr 2006 mit den Ergänzungen aus 2009. Nach einigen rechtlichen Unklarheiten, ob die ePrivacy-RL richtlinienkonform in Deutschland umgesetzt wurde (siehe DSK Orieniterungshilfe für Anbieter von Telemedien), entschied sich der Gesetzgeber für eine Reform des Telemedienrechts. Hierbei entstand das TTDSG als zentrale Datenschutzregelung für Telemedien- und Telekommunikationsanbieter.

Müssen Verarbeitungen, deren Rechtmäßigkeit durch das TTDSG abgedeckt werden, im Verarbeitungsverzeichnis und den Datenschutzinformation nach DSGVO berücksichtigt werden?

Wie vom Europäischen Datenschutzausschuss bestätigt, konkretisiert und ergänzt (die ePrivacy-RL und damit) das TTDSG die DSGVO im Bereich der Telemedien. Dies bedeutet die DSGVO ist das allgemeinere Gesetz (lex generalis) und das TTDSG das speziellere Gesetz (lex specialis). Die allgemeineren Regeln der DSGVO werden von den spezielleren Regelndes TTDSG verdrängt. Dies bedeutet aber nicht, dass die DSGVO im Ganzen keine Anwendung findet, sobald ein Telemedien-Sachverhalt vorliegt. Vielmehr schließt die Anwendung des TTDSG die DSGVO nur punktuell aus, nämlich nur soweit wie das TTDSG eine Frage (abschließend und umfassend) regelt. Dies macht Art. 95 DSGVO deutlich.
Das klassische Beispiel für eine speziellere Regelung des TTDSG ist § 25 TTDSG, in dem festgelegt ist, dass der Einsatz von Cookies (und sonstiger Tracking-Technologie) grundsätzlich nur mit Einwilligung des Nutzers möglich ist. Gleichzeitig sieht Absatz 2 Ziffer 2 eine Ausnahme für technisch notwenidge Cookies vor. § 25 TTDSG regelt speziell und abschließend unter welchen Voraussetzungen Cookies gesetzt und werden dürfen. Für die nachfolgende Verarbeitung gilt dann aber wieder Art. 6 DSGVO (Punkt 4.1 Stellungnahme 5/2019 des EDSA zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO, S. 14.).

Daraus folgt, dass Verarbeitungen von personenbezogenen Daten, die durch das TTDSG gedeckt sind, in das Verarbeitungsverzeichnis und in die Datenschutzerklärung aufzunehmen sind. Denn speziellere Regelungen hinsichtlich dieser Pflichten enthält das TTDSG nicht. Damit bleibt es bei der Anwendbarkeit von Art. 30 und Art. 13 DSGVO. Für sie gilt nichts anderes als für Verarbeitungen, die keinen TTDSG Bezug haben. D.h. sie sind vollumfänglich in das Verarbeitungsverzeichnis und die Datenschutzerklärung aufzunehmen.

Kann auf die Datenschutzinformationen des jeweils genutzten Telekommunikationsanbieters verwiesen werden?

Ein solcher Verweis in der Datenschutzerklärung dürfte zulässig sein, soweit die Voraussetzungen der Art. 12 ff. DSGVO gewahrt sind. Die Datenschutzerklärung also präzise, transparent, verständlich und leicht zugänglich in einer klaren und einfachen Sprache ist.

Achtung: deutlich machen, in welchem Umfang auf die Informationen des Auftragsverarbeiters verwiesen wird und ggf. wo diese in dem verlinkten Dokument zu finden sind.

Stand: 07.12.2022

Wann ist ein Abschluss eines AVV nötig? 

Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.

Was sagt der EDSA/EDPD zum Thema AV-Vertrag? 

Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.

Ist es ausreichend, wenn die Aufklärung über die Drittlandsverarbeitung in den Datenschutzhinweisen ausführlicher und bei dem Hinweis-Text etwas sparsamer erfolgt? 

Beispiel mit folgendem Wortlaut:

Ja, ich möchte News per E-Mail zugesendet bekommen. Ich bin damit einverstanden, dass eine Datenverarbeitung auch außerhalb der EU stattfinden könnte. Weiterführende Detail finden Sie in unseren Datenschutzhinweisen. Diese Einwilligung kann ich jederzeit widerrufen.

Antwort: das ist eine Frage der Informiertheit der Einwilligung:

Die Einwilligung hat in informierter Weise zu erfolgen. In ErwGr. 42 der DS-GVO wird insbesondere darauf abgestellt, dass eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt wird, keine missverständlichen Klauseln enthalten sind und die betroffene Person mindestens darüber in formiert wird, wer der Verantwortliche ist und zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden sollen. DSGVO).

Darüber hinaus ist die betroffene Person nach Auffassung des Europäischen Datenschutzausschusses über die Art der verarbeiteten Daten, über ihr Recht, die Einwilligung jederzeit zu widerrufen, ggf. über die Verwendung der Daten für eine automatisierte Entscheidungsfindung und über mögliche Risiken von Datenübermittlungen in Drittländer ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien nach Artikel 46 DS-GVO zu informieren.

Ergebnis: Abwägungsfrage!

Wir halten den Hinweistext gerade noch für zulässig (wegen der besseren Lesbarkeit), wenn der verlinkte Text dann vollständig ist. Vielleicht sollte zusätzlich im Hinweistext vor allem die Rechtsfolge beschrieben werden, was mit den pbD in den USA passiert. 

Stand: 30.11.2022

In welchen Fällen kommt man bei Kontaktformularen oder Newsletter Anmeldungen ohne Check-Boxen aus? 

Check-Boxen sind ein beliebtes und sinnvolles Tool um

  • Informationspflichten nachzukommen,
  • AGB einzubeziehen und
  • Einwilligungen einzuholen.

Datenschutzrechtlich sind Check-Boxen nicht zwingend erforderlich, aber sinnvoll (Dokumentationsmöglichkeit!). Grundsätzlich reicht es auch aus, dem Benutzer einen gut sichtbaren Hinweis auf die Datenschutzerklärung zu geben, bevor dieser das Webformular absendet. Ein Bestätigen, dass der Nutzer die Datenschutzerklärung auch wirklich gelesen hat, ist nicht erforderlich.

Mehr Infos hier

Ohne Check-Boxen kommt man insbesondere auch dann aus, wenn man die Verarbeitung nicht auf eine Einwilligung des Nutzers, sondern auf eine andere Rechtsgrundlage, z.B. sein berechtigtes Interesse an der Verarbeitung stützt bzw. stützten darf.


Dies kommt namentlich bei sog. „Bestandskunden“ in Betracht (§ 7 Abs. 3 UWG). Hier kann eine Verarbeitung auch ohne eine Einwilligung zulässig sein (siehe dazu auch LiiDU FAQ-Seite unter der Frage „Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen?“).


Beachte aber, dass auch hier eine Check-Box für den Nachweis der Informationserteilung nach Art. 13 DSGVO sinnvoll ist. Die Informationen nach Art. 13 DSGVO sind unabhängig von der Rechtsgrundlage, auf die die Verarbeitung gestützt würde, zu erteilen.

Abseits des Bestandskunden-Privilegs ist für den

  • Einsatz von Newslettern

die Einholung einer Einwilligung Pflicht. Der Double Opt-In ist dabei die in der Praxis am meisten verbreitete Lösung. Hier schickt der Verantwortliche dem Nutzer eine E-Mail, mit der er diesen auffordert, die Kontaktaufnahme zu bestätigen.

Ohne Double-Opt-In kommt man bei Newslettern nur aus, wenn die Einwilligung auf andere Weise erfolgt (z.B. E-Mail, Liste auf Messe, etc.).

Im Gegensatz dazu ist beim

  • Einsatz von Kontaktformularen

die Einholung einer Einwilligung KEINE Pflicht.

Das gilt dann, wenn alleiniger Zweck der Verarbeitung die Bearbeitung der über das Kontaktformular gestellte Anfrage ist. Diese Verarbeitung ist von anderen Rechtsgrundlagen gedeckt, v.a. das berechtigte Interesse des Seitenbetreibers an der Bearbeitung der Anfrage.

Eine Check-Box ist damit ebenfalls nicht zwingend notwendig. Es genügt ein gut sichtbarer Hinweis im Kontaktformular in der Nähe des „Sende-Buttons“, dass auf die Datenschutzerklärung hingewiesen und diese verlinkt wird. 

Ändert sich die Situation, falls die Daten in ein Ticket-System laufen
(Zendesk), welches zwar einen Serverstandort in Europa hat, aber deren Hauptsitz in den USA liegt?

Die Anbindung von Zendesk erfolgt in der Regel über Cookies. Hier müssen dann alle Vorgaben zum Thema rechtswirksame Cookie-Einbindung eingehalten werden. Eine datenschutzrechtliche Einwilligung des Nutzers der Website nach § 25 TTDSG, Art. 6 Abs.1 lit. a DSGVO ist damit in jedem Fall Pflicht.

Nicht vergessen:

  • AV-Vertrag abschließen und
  • Datenschutzerklärung ergänzen.

Stand: 30.11.2022

Sollte der ext. DSB eine AVV zwischen seinem Arbeitgeber und dem Kunden prüfen? 

Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.

Ist der Azure Key Vault datenschutzkonform? 

Mehr Infos zum Azure Key Vault finden Sie in unserem Blog.

Welche Qualität müssen TOMs haben, um den Anforderungen der DSGVO zu genügen? 

Die TOMs, also die technischen und organisatorischen Maßnahmen die geeignet sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, vgl. Art. 32 DS-GVO, müssen nach Art. 28 Abs. 3 lit. c DS-GVO bei der Auftragsverarbeitung ergriffen und dokumentiert werden.

Einerseits müssen die TOMs dem aktuellen Stand der Technik entsprechen. Andererseits muss auch das Verhältnis von Maßnahme zu Aufwand im Rahmen der Verhältnismäßigkeit berücksichtigt werden. Auf Grund des hohen Schutzinteresses der Betroffenen werden wirtschaftliche Erwägungen jedoch eine hintergründige Rolle spielen. Dabei ist der Verantwortliche selbst in der Pflicht geeignete TOMs aufzustellen und deren Einhaltung zu garantieren.

Um die Qualität beurteilen zu können, ist das Kriterium ein angemessenes Schutzniveau und ist demnach ein Auswuchs der Verhältnismäßigkeit. Anhaltspunkte sind dabei Eintrittswahrscheinlichkeit, Schwere des Risikos für die Betroffenen, Kategorien personenbezogener Daten, aber auch die Implementierungskosten.

Dabei soll sich an schon vorhandene bzw. einfach zu handhabende Maßnahmen orientiert werden. Auch wie eine Verarbeitung stattfindet, in welchem Umfang, unter welchen Umständen und zu welchem Zweck ist zu berücksichtigen. Insgesamt muss also eine Schutzbedarfsfeststellung durchgeführt werden.

Um effektiv der entsprechende Nachweis erbringen zu können, ist folgendes zu dokumentieren: das Verfahren und Ergebnis der Schutzbedarfsfeststellung, der Risikobewertung und die entsprechende Ableitung der Sicherheitsmaßnahmen unter Berücksichtigung der Belastbarkeit.

Zusammengefasst müssen die TOMs verständlich alle Maßnahmen darlegen, um den zuvor nachweislich durchgeführten Schutzbedarfsfeststellungen zu genügen.

Für ausführlicher Informationen kann die Best-Practice Checkliste des BayLDA zu den TOMs herangezogen werden. Mehr Details zum Stand der Technik

Stand: 23.11.2022

Was steht in der NIS2-Richtlinie der EU? 

Mehr Infos zur NIS2-Richtlinie und zum NIS2UmsuCG finden Sie in unserem Blog.

Sind Verweise in einem Vertrag mit einem Dienstleister auf sich verändernde online hinterlegte TOMS mit deutschem Recht vereinbar? 

Konkretisierung der Fragestellung:

Ist z.B. eine Analogie zur AGB-Einbeziehung in Verträge erlaubt, wonach es ausreicht, wenn bei einer Onlinebestellung nur auf die AGB verwiesen wird, die über einen funktionierenden Link auf der Webseite abrufbar und ausdruckbar sind. Auf diesem Link kann dann immer die aktuelle Version der AGB abgelegt werden, sodass automatisch der Stand der AGB gilt, der bei Vertragsschluss abrufbar war.

Ist dieses Prinzip auf eine Einbindung von TOMs in den AVV übertragbar? Und wie verhält sich die Wirksamkeit bei Änderungen?

Antwort:

Ja, das ist ausreichend!

Begründung:

Anders als AGB statuieren TOMs keine gegenseitigen Rechte und Pflichten, sondern dienen der Dokumentation von technischen und organisatorischen Maßnahmen zur IT-Sicherheit. Ihre detaillierte Einbindung in den AVV ist auch nicht verpflichtend. Lediglich ihre Einhaltung muss sichergestellt sein. Insofern würde eine „unzulässige“ Einbindung die TOMs auch nicht „unwirksam“ werden lassen. Auch nachträgliche und häufige Änderungen an den TOMs können also vorgenommen werden, ohne deren Wirksamkeit im Gesamtkontext zu gefährden. Mit anderen Worten: TOMs haben weniger Vertragscharakter, sondern stellen die Dokumentation von Sicherheitsmaßnahmen dar. Man könnte dies mit einem Verhaltenskodex vergleichen. Es ist davon auszugehen, dass grundlegende Änderungen oder gravierende Streichungen unter Vertragspartnern besprochen werden müssen oder zumindest Kenntnis davon erlangt werden muss. Kleinere Änderungen oder Aktualisierungen sind jedoch jederzeit nötig und möglich, um die Aktualität der Sicherheitsmaßnahmen sicherzustellen. In der Praxis werden TOMs längst über Links in die AVV miteingebunden, um so der Dokumentationspflicht von Beginn an gerecht zu werden.

Stand: 16.11.2022

Dürfen Mitarbeiter eines bestellten DSB datenschutzrechtlich beraten? 

Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.

Was ist ein TIA?  

Ausführliche Informationen zum Transfer Impact Assessment finden Sie in unserem Blog.

Welche Frist gilt bei Auskunftsersuchen nach Art. 15 DSGVO? 

In Artikel 12 Abs. 3 DSGVO ist die Frist zur Beantwortung eines Auskunftsersuchens geregelt.

Artikel 12 Abs. 3 S. 1 DSGVO bestimmt, dass einem Auskunftsersuchen unverzüglich (unverzüglich meint „ohne schuldhaftes Zögern“, vgl. § 121 Abs. 1 BGB) nachzukommen ist, in jedem Fall aber innerhalb eines Monats nach Eingang des Ersuchens.

Die Monatsfrist (was nicht unbedingt 30 Tagen entspricht) ist damit eine Höchstfrist. Die Höchstfrist darf nach der gesetzlichen Konzeption nur ausgenutzt werden, wenn vom Verantwortlichen (oder Auftragsverarbeiter) keine schnellere Antwort erwartet werden konnte/durfte. Ist dem Verantwortlichen aber eine schnellere Antwort zumutbar, muss er vor Verstreichen der Monatsfrist antworten. Faktoren, die bei der Bemessung der Antwortfrist eine Rolle spielen, können insbesondere die in Artikel 12 Abs. 3 S. 2 DSGVO zur Fristverlängerung genannten sein, wie z.B. die Komplexität des Antrages oder die Anzahl von Ersuchen, die der Verantwortliche noch beantworten muss.
In der Praxis lässt sich sagen, dass die Monatsfrist aus Art. 12 Abs. 3 DSGVO quasi zur Regelfrist geworden ist. Aufsichtsbehörden gewähren einem Verantwortlichen zur Beantwortung i.d.R. die Monatsfrist.

Wenn ein Rechtsanwalt (oder ein Betroffener) eine kürzere Frist setzt, ist mit Blick auf den eigentlichen Grundsatz der Unverzüglichkeit aber die gesetzte Frist einzuhalten, so lange sie nicht unangemessen kurz ist. Es spiel übrigens keine Rolle, wer die Frist setzt. Ob das Ersuchen von einem Anwalt stammt oder dem Betroffenen selbst, spielt für die Bemessung der Frist keine Rolle.

Stand: 16.11.2022

Kann Adobe Acrobat Sign datenschutzkonform eingesetzt werden? 

Ausführliche Informationen über Adobe Acrobat Sign finden Sie in unserem Blog.

Kann Samdock datenschutzkonform eingesetzt werden? 

Ausführliche Informationen über Samdock finden Sie in unserem Blog.

Kann Salesforce datenschutzkonform verwendet werden? 

Ausführliche Informationen über Salesforce finden Sie in unserem Blog.

Braucht man auch dann SCCs, DPAs etc. mit US-Dienstleistern, wenn eine deutsche GmbH mit der amerikanischen Muttergesellschaft ein (konzerninternes) Data-Protection Agreement abgeschlossen hat? 

Begriffsklärungen:

  • Art. 28 Abs. 7 DSGVO: Standardvertragsklauseln bei Auftragsverarbeitung (= SVK, englisch: SCC)
  • Art. 46 Abs. 2 lit. c DSGVO: Standarddatenschutzklauseln bei Drittlandübermittlung (= SDK, englisch oft auch: SCC)

Die englische Abkürzung „SCC“ für Standard Contract Clauses können also für beides stehen: für standardisierte AV-Verträge oder für die von der EU vorgegebenen Standarddatenschutzklauseln (z.B. unterschiedet die EU-Kommission hier begrifflich nicht).

Inhaltlich sind das völlig verschiedene Dinge!

Zur Beantwortung der Frage ist zuerst die Klarstellung des konkreten Datenflusses entscheidend.

Fließen die Daten von der deutschen GmbH direkt an einen US-Dienstleister gelten selbstverständlich die von Art. 44 ff. DSGVO aufgestellten Voraussetzungen, d.h. SDKs (englisch: SCCs) sind notwendig.

Fließen die Daten erst von der deutschen GmbH an die Muttergesellschaft in die USA, handelt es sich bei jeder weiteren Übermittlung von der Muttergesellschaft an US-Dienstleister um US-interne Übermittlungen, sodass Art. 44 ff. DSGVO für diese Übermittlungen nicht zur Anwendung kommen.

Jedoch ist – wie Erw. 48 S. 2 DSGVO klarstellt – zu beachten, dass die Datenübermittlung an die amerikanische Muttergesellschaft selbst eine Drittlands-Übermittlung darstellt. Demnach reicht ein einfacher Auftragsverarbeitungsvertrag nach Art. 28 DSGVO nicht aus. Da es sich um eine konzerninterne Übertragung handelt, könnten „verbindliche interne Datenschutzvorschriften“ gem. Art. 46 Abs. 2 lit. b DSGVO, Art. 47 DSGVO aufgestellt werden. Diese müssen jedoch von der zuständigen Aufsichtsbehörde genehmigt werden. Ob eine solche Genehmigung im Hinblick auf die Unsicherheiten bei US-Unternehmen erteilt wird, ist fraglich.

Bei Abschluss von SCCs:

Hier bestehen die erwähnten Unsicherheiten, ob der Abschluss von SCCs ausreichend ist, um die Voraussetzungen von Artikel 46 Abs. 1 DSGVO entsprechend Schrems II (C‑311/18) zu erfüllen:

In der Entscheidung bürdet der EuGH dem Verantwortlichen die Verpflichtung auf „(…) in jedem Einzelfall (…) zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.“

Daher der Hinweis: Ob dieser Schutz bei der Übermittlung an US-Unternehmen gewährleistet ist, ist im Hinblick auf die weitreichenden Eingriffsbefugnisse der US-Geheimdienste äußerst kritisch zu sehen.

Wir raten - wenn eine Übertragung an Dienstleister stattfindet:

SCC prüfen und

alle Vorgaben einhalten, die bei einer Übermittlung personenbezogener Daten in ein Drittland notwendig sind.

Stand: 09.11.2022

Was steht im europäischen Data-Act? 

Ausführliche Informationen über den europäischen Data-Act finden Sie in unserem Blog.

Ist die Google Fonts Abmahnung der RAAG Kanzlei oder Rechtsanwalt Lenard als Betrugsversuch zu werten? 

Ausführliche Infos zu den Google Fonts Abmahnungen sowie ein Musterschreiben an die Abmahner finden Sie auf unserem Blog

Sind Rechtsanwälte und Ärzte strafrechtlich wegen Verletzung ihres Berufsgeheimnisses belangbar, wenn Google-Fonts dynamisch eingebunden wird? 

Vorerst ist festzustellen, dass die Frage unabhängig von dem Einsatz von Google Fonts ist.

Die Übermittlung von personenbezogenen Daten, insbesondere einer IP-Adresse, an Dritte kann immer dann erfolgen, wenn Drittdienste oder -bibliotheken auf der Webseite eingebunden werden. Ob dieser Dritte sich in den USA oder Deutschland aufhält, ist für eine mögliche Strafbarkeit nach
§ 203 Abs. 1 StGB irrelevant. 

Gegen eine Strafbarkeit sprechen folgende Erwägungen:

• Die Webseite ist der Allgemeinheit zugänglich. Der Besuch lässt nicht den sicheren Schluss zu, dass zwischen dem Besucher und dem Rechtsanwalt oder Arzt ein Mandats- bzw. Patientenverhältnis besteht.

• Der Empfänger einer dynamischen IP-Adresse kann alleine anhand der IP-Adresse eine Person nicht identifizieren. Dass eine dynamische IP-Adresse dennoch ein datenschutzrechtlich relevantes Datum ist, resultiert aus dem äußert weiten Begriff des personenbezogenen Datums nach Art. 4 Ziff. 1 DSGVO. Ausreichend ist, dass die Person indirekt identifizierbar ist. Hierfür hat der EuGH in seinem Urteil zu dynamische IP-Adressen ausreichen lassen, dass der Benutzer mittels einer Anzeige bei den Strafverfolgungsbehörden von einem Webseitenbetreiber identifiziert werden kann. Nur bezüglich der amerikanischen Internetriesen Google, Facebook, Amazon und sonstigen Werbereisen ließe sich gegebenenfalls anführen, dass diesen eine Identifizierung mit Eigenmitteln möglich ist.

Weitere Überlegungen:

• Der Tatbestandsausschluss nach § 203 Abs. 3 S. 2 StGB wurde vom Gesetzgeber für die Situation geschaffen, dass der Anwalt oder Arzt auf externe Dienstleister zugreift. So wird in der Gesetzesbegründung der IT-Spezialist genannt, der Kenntnis von den in der IT-Anlage gespeicherten Daten hat (vgl. auch Uwer BeckOK Datenschutzrecht, Syst. F. Datenschutz bei den freien Berufen Rn. 140; Weidemann, BeckOK StGB, § 203 Rn. 39 f.). Diese Dienstleister können sich dann selbst nach § 203 Abs. 4 S. 1 StGB strafbar machen, wenn sie das Berufsgeheimnis weiterverbreiten.

• Fraglich bleibt jedoch, wie das „Erforderlichkeitskriterium“ von § 203 Abs. 3 S. 2 StGB zu interpretieren ist. Konkret würde die Frage lauten: Ist die Übertragung der IP-Adresse an Google für die Bereitstellung von wichtiger IT notwendig? Das ist schon aufgrund der Möglichkeit einer statischen Einbindung von Google Fonts allerdings nicht der Fall!

• BeckOK IT-Recht/Mansdörfer StGB § 203 Rn. 41-43: Das Kriterium der Erforderlichkeit hat zur Folge, dass sich die verantwortlichen Personen der Versicherung bei der Entscheidung, welcher Dienstleister im Einzelfall für eine Aufgabe hinzugezogen wird, kundig machen müssen, welche Eingriffe damit in die ihm anvertrauten Geheimnisse verbunden sind, und z.B. Anbieter ausschließen müssen, die sich weiterreichende Zugriffsmöglichkeiten als andere ausbedingen (in diesem Sinn auch Matt/Renzikowski/Altenhain, StGB, 2. Aufl. 2020, Rn. 60).

Ergebnis:

Eine Verletzung des Berufsgeheimnisses ist nicht gegeben, wenn Google Fonts ohne Einwilligung des Websitebesuchers von Ärzten/Rechtsanwälten dynamisch eingebunden wird, weil sich dadurch nicht notwendigerweise ein Mandats- oder Patientenverhältnis ergibt. (Würde dieses Ergebnis anders ausfallen, z.B. für geschlossene Systeme, auf die nur Patienten/Mandanten Zugriff haben und würde § 203 StGB grundsätzlich bejaht werden, würden keine Tatbestandsausschlüsse nach § 203 Abs. 3 StGB greifen.)

Stand: 09.11.2022

Kann Pipedrive DSGVO-konform eingesetzt werden? 

Ausführliche Informationen über Pipedrive finden Sie in unserem Blog.

Ist eine Abmahnung wegen der Nutzung von Google-Fonts berechtigt, wenn nur über ein Newsletter-Tool die Anwendung „reCAPTCHA“ eingebunden wurde – und reCAPTCHA wiederum Google-Fonts dynamisch eingebunden hat? 

Was ist reCAPTCHA?

reCAPTCHA ist ein von Google LLC betriebener CAPTCHA-Dienst, der Webseiten vor Spam und missbräuchlicher Nutzung durch Bots schützen soll.

•Es werden gewisse Parameter erfasst, um zu beurteilen, ob es sich bei dem Nutzer um einen Menschen oder ein Roboterprogramm handelt.

•Wie genau der von Google entwickelte Algorithmus funktioniert ist nicht öffentlich.

•Jedoch kann davon ausgegangen werden, dass die IP-Adresse, das Interaktionsverhalten des Nutzers und Informationen über die vom Nutzer verwendete Hardware erfasst werden.

•Außerdem werden beim Einsatz von reCAPTCHA eine Vielzahl von Cookies im Browser des Nutzers gesetzt.

Ist der Einsatz von reCAPTCHA, unabhängig von Google Fonts, datenschutzkonform möglich?

Da durch den Einsatz von reCAPTCHA auf dem Endgerät des Nutzers Cookies abgelegt und auf dem Endgerät gespeicherte Informationen zum Tracking abgerufen werden, bedarf es gem. § 25 Abs. 1 TTDSG mindestens der Einwilligung des Nutzers.

Sogar, wenn die Einwilligung eingeholt wird, ergeben sich bei dem Einsatz von reCAPTCHA weitere datenschutzrechtliche Probleme:

•Die Informationspflicht nach Art. 13 DSGVO: Für einen Verantwortlichen dürfte es schwierig werden zu beurteilen, welche Daten überhaupt von Google erhoben werden und v.a. zu welchen Zwecken

•Die Übermittlung der Daten in die USA: Hier ist zu beachten, dass die Unsicherheit, die Schrems II (C‑311/18) geschaffen hat, erhalten bleibt. Ob einzig der Abschluss von SCCs ausreichend ist, bleibt im Hinblick auf Rn. 134 ff. des Urteils fraglich. Denn dort bürdet der EuGH dem Verantwortlichen die Verpflichtung auf „(…) in jedem Einzelfall (…) zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.“

•Ob dieser Schutz bei der Übermittlung an US-Unternehmen gewährleistet ist, ist im Hinblick auf die weitreichenden Eingriffsbefugnisse der US-Geheimdienste äußerst kritisch zu sehen. Aus oben genannten Gründen rät auch das Bayerische Landesamt für Datenschutz von dem Einsatz von reCaptcha ab und stellt klar, dass dem Verantwortlichen die Nachweispflicht für die Rechtmäßigkeit des Einsatzes nach Art. 5 Abs. 2 DSGVO trifft

Besteht auch beim Einsatz von reCAPTCHA die Google Fonts Problematik?

Die Google Fonts Problematik besteht bei jedem vom Google eingesetzten Tool, das Google Fonts einbindet. Hierzu gehört eben auch reCAPTCHA (und auch z.B. auch Google Maps).

Nach eigener LiiDU-Recherche scheint die Problematik bei dem Einsatz von reCAPTCHA und Google Maps zu sein, dass diese Google Fonts stets dynamisch einbinden. Selbst wenn Google Fonts auf derselben Webseite statisch eingebunden ist, laden die beiden Dienste Google Fonts dynamisch von den Google Servern.

Also: eine Nutzung von reCAPTCHA ohne Google Fonts scheint nicht möglich zu sein.

Bei dem Einsatz von reCAPTCHA ist mit Blick auf das Nachladen von Google Fonts das Einholen einer Einwilligung notwendig. Das LG München I hat zwar in seinem Urteil ein berechtigtes Interesse an dem Einsatz von Google Fonts mit der Begründung abgelehnt, dass Google Fonts vom Verantwortlichen auch statisch hätte eingebunden werden können. Das ist nun beim Einsatz von reCAPTCHA aber gerade nicht möglich. Jedoch ist aufgrund der großen Auswahl an alternativen Captcha Diensten die Annahme eines berechtigten Interesses fragwürdig. Beide Alternativen können aber nicht von den oben geschilderten Unsicherheiten befreien, die eine Datenübermittlung in die USA mit sich bringt.

Welche Alternativen gibt es?

LiiDU-Tipp:

Für Newsletter bietet sich ein sog. Honeypot an. Es wird in Formularen ein zusätzliches (verstecktes) Eingabefeld geschaffen. Es wird die Bedingung eingesetzt, dass das Formular nur verarbeitet werden darf, wenn dieses Feld leer bleibt. Da Bots nur den Quellcode sehen und alle Felder ausfüllen, werden diese als solche entlarvt.

Weitere Alternativen sind Friendly Captcha oder hCaptcha.

Herr Bachmann regt auch an zu prüfen, ob man nicht das reCaptcha generell herausnehmen kann, denn seiner Erfahrung nach ergeben sich hier keine Nachteile bezüglich Sicherheit.

(Erläuterungen: Die von hCaptcha behauptete DSGVO-Konformität steht nicht fest. Außerdem sitzt das Unternehmen in den USA. Die Einbindung von FriendlyCaptcha erfordert einen größeren technischen Aufwand als reCAPTCHA. FriendlyCaptcha sitzt in Deutschland.)

Stand: 26.10.2022

Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen? 

Wann dürfen Newsletter verschickt werden?

Werbe-Newsletter sind grundsätzlich nach § 7 Abs. 2 Nr. 2 UWG nur mit vorheriger ausdrücklicher Einwilligung des Adressaten zulässig. Hiervon macht § 7 Abs. 3 UWG eine Ausnahme für sog. Bestandskunden. Dies sind Kunden, von denen der Unternehmer, die Email-Adresse im Rahmen eines Verkaufs von Waren oder Dienstleistungen erhalten hat. Bei solchen Bestandskunden darf ein Newsletter an die angegebene Email-Adresse versendet werden, wenn der Kunde dieser Verwendung nicht widersprochen hat und in jeder einzelnen Newsletter-Email auf sein Widerspruchsrecht hingewiesen wird. Des Weiteren darf sich der Newsletter nur auf eigene und ähnliche Waren oder Dienstleistungen beziehen.

Datenschutzrechtlich ist die Newsletter-Werbung gemäß Artikel 6 Abs. 1 S. 1 lit. a DSGVO mit Einwilligung zulässig. Wie Erw. 47 S. 7 DSGVO klarstellt, kann die Direktwerbung aber auch als berechtigtes Interesse nach Artikel 6 Abs. 1 S. 1 lit. f DSGVO betrachtet werden. Artikel 6 Abs. 1 S. 1 lit. f DSGVO kann also insbesondere dann in Betracht kommen, wenn es sich bei den Adressaten des Newsletters um Bestandskunden handelt.

Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen bzw. geht das überhaupt?

Zur Zusammenlegung von Newslettern:

Gegen eine Zusammenlegung von Newslettern sprechen keine Bedenken, wenn die oben genannten Voraussetzungen erfüllt wurden. Hat der Kunde dem Erhalt des Newsletters wirksam zugestimmt oder kann sich der Versender auf das Bestandskundenprivileg und das berechtigte Interesse berufen, ist die Zusammenlegung mehrerer Newsletter zu einem einzigen weder wettbewerbsrechtlich noch datenschutzrechtlich zu beanstanden. Die Zusammenlegung erfolgt zum Zwecke der (effektivere) Direktwerbung und dürfte damit von der Einwilligung des Betroffenen zur Direktwerbung sowie von dem berechtigten Interesse gedeckt sein. Eine Offenlegung der persönlichen Daten an weitere Dritte erfolgt bei der Zusammenlegung ebenso wenig (auf BCC achten!).

Vorsicht: Beruft sich der Werbende auf das Bestandskundenprivileg, bleibt zu beachten, dass dieses nur bei der Werbung mit ähnlichen Produkten eingreift. Daher ist bei der Zusammenlegung der Newsletter zu beachten, dass auch danach der Kunde nur Werbung bezüglich ähnlichen Waren oder Dienstleistungen erhält (Verwandtschaft der Themen).

Was ist bei Verarbeitung der Abonnentendaten bei einem externen Dienstleister zu beachten?

Findet die Adressdatenverwaltung über ein einen externen Dienstleister statt, muss sichergestellt werden, dass der Dienstleister die Vorgaben der DSGVO einhält und eine korrekte Verarbeitung der personenbezogenen Daten stattfindet.

  • Es ist daher der Abschluss eines AV-Vertrags notwendig.
  • Abklären, ob Datenverarbeitung in Europa erfolgt.

Stand: 19.10.2022

Kann "Hubspot" datenschutzkonform genutzt werden? 

Ausführliche Informationen über Hubspot finden Sie in unserem Blog.

Was muss im VV dokumentiert werden? 

Mögliches Szenario – Unternehmen bewirbt sich für ein Qualitätsaudit

Um sich zertifizieren zu lassen, müssen Unternehmen einen Auditprozess unterlaufen. Teilweise werden hierfür Dokumente vorab an die auditierende Stelle übersandt (z.B. für Managementsysteme ISMS und QMS). Eine solche Auditierung findet jährlich statt, wobei die Kategorien betroffener Personen in der Regel speziell die Mitarbeiter umfassen.

Der Zertifizierungsprozess selbst berührt jedoch zumeist auch personenbezogene Daten und schließlich ist die auditierende Stelle eine dritte Partei, die über eine Vertragsbeziehung Einblick in Unternehmensinterna enthält.

Der zwingende Inhalt des Verzeichnisses der Verarbeitungstätigkeiten für einen Verantwortlichen ist in Art. 30 Abs. 1 DSGVO festgelegt:

(1) 1Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. 2Dieses Verzeichnis enthält sämtliche folgenden Angaben:

(a)   den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie  

        etwaigen Datenschutzbeauftragten;

(b)   die Zwecke der Verarbeitung;

(c)   eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

(d)die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

(e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des 

        betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen            

        die Dokumentierung geeigneter Garantien;

(f)   wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

(g)wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Erwägungsgrund 82 wiederholt die in Art. 30 DSGVO niedergelegten Pflichten des Verantwortlichen und des Auftragsverarbeiters.

Inwieweit muss die Tatsache, dass ein Auditor Einsicht in Dokumente erhält, die personenbezogene Daten enthalten, im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden?

Eine Ausnahme vom Führen eines Verzeichnisses der Verarbeitungstätigkeit sieht Art. 30 Abs. 5 DSGVO für Kleinstunternehmen und KMUs unter gewissen Voraussetzungen vor:

(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Dies wird in Satz 3 des 13. Erwägungsgrundes bestätigt.

Ergebnis:

Ja, auch Audis sollten in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen werden.

Die Übermittelung von personenbezogenen Daten an die auditierende Stelle ist ein Verarbeitungsprozess nach Art. 4 Nr. 2 DSGVO. Als solcher ist er nach Art. 30 Abs. 1 S. 1 DSGVO in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen.

Die auditierende Stelle ist Empfänger nach Art. 4 Nr. 9 DSGVO.

Das Verzeichnis der Verarbeitungstätigkeiten sollte, soweit noch nicht geschehen, angepasst werden.
Gegebenenfalls änderungsbedürftige Abschnitte im Verzeichnis sind:

  • Zwecke der Verarbeitung (Art. 30 Abs. 1 S. 2 lit. b DSGVO) à Durchführung von Audits
  • Kategorien betroffener Personen (Art. 30 Abs. 1 S. 2 lit. c DSGVO) à Beschäftigte
  • Kategorien von personenbezogenen Daten (Art. 30 Abs. 1 S. 2 lit. c DSGVO) à Daten der Beschäftigten, wie Geburtsdatum etc.
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (Art. 30 Abs. 1 S. 2 lit. d DSGVO) à auditierende Stellen

Stand: 19.10.2022

Wo sind die Grenzen der zulässigen Beratung bei Datenschutzbeauftragten? 

Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.

Wie kann ein Antwortschreiben (Muster) an die Google-Fonts Abmahner Rechtsanwalt Lenard oder die RAAG Kanzlei aussehen? 

Ausführliche Infos zu den Google Fonts Abmahnungen sowie ein Musterschreiben an die Abmahner finden Sie auf unserem Blog

Wann kann bei einer Abmahnung Schadensersatz verlangt werden? 

Ausführliche Infos zu den Google Fonts Abmahnungen sowie ein Musterschreiben an die Abmahner finden Sie auf unserem Blog

Darf man denselben AVV im Unterauftragsverhältnis weiterreichen? 

Ist es als direkter Auftragsverarbeiter des Endkunden rechtlich möglich, denselben AVV, den man mit dem Endkunden geschlossen hat, mit Unterschrift des Endkunden und des Auftragsverarbeiters, als Anlage zu einem AVV zwischen Auftragsverarbeiter und Unterauftragsverarbeiter einzubinden? Über diesen Weg würden keine Lücken oder Unterschiede in den Datenschutzpflichten entstehen.

LiiDU-Tipp:

  • Grundsätzlich: alle Verträge müssen gelesen werden.
  • Rein datenschutzrechtlich betrachtet ist ein Anhang der Bedingungen des Haupt-AVV die praxisorientierteste Lösung, da keine Lücken entstehen. In jedem Fall sind aber die TOMs des Unterauftragsverarbeiters gesondert beizufügen.
  • Urheberrechtliche Problematik durch Einwilligung des Verwenders des Haupt-AVV lösen
Gilt die DSGVO auch für die Schweiz? 

Konkretisierung der Fragestellung:

Ein Unternehmen mit Sitz in der Schweiz bietet Beratungsdienstleistungen für Unternehmen (!) in der EU an: Es berät bei der Instandhaltung mit SAP und unterstützt mit der Analyse, über Konzeption und Implementierung bis hin zum Betrieb bei SAP; es unterstützt dabei Betreiber, Hersteller und Instandhalter von Assets dabei, ein nachhaltiges Asset Management auf Basis von SAP zu realisieren. Dabei gewinnt es etwa bei der Erstellung von Instandhaltungsplänen via SAP Einsicht darin, welche Beschäftigten der B2B-Kunden wann wo zur Instandhaltung eingesetzt sind. 

Gilt die DSGVO für diesen Sachverhalt? 

Ja, denn es ist Art. 3 Abs. 1 DSGVO bzw. Art. 3 Abs. 2 DSGVO anwendbar.

  • AV-Vertragsverhältnis gegeben, insofern hat sich das Schweizer Unternehmen an die DSGVO-Vorgaben zu halten.
  • Dass die Verarbeitung in der Schweiz stattfindet, ist irrelevant.
  • EDSA geht in seinen Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO (Artikel 3) auf S. 12 auf den wie hier geschilderten Fall ein, dass der Verantwortliche in der Union sitzt und der Auftragsverarbeiter in einem Drittstaat. Der EDSA geht davon aus, dass dem Verantwortlichen die Pflicht zur Zusammenarbeit mit geeigneten Auftragsverarbeitern nach Art. 28 Abs. 1 DSGVO trifft und dass ein AVV mit dem Auftragsverarbeiter zu schließen ist, der die Voraussetzungen von Art. 28 Abs. 3 DSGVO erfüllt.

Stand: 12.10.2022

Darf ein Unternehmen die Namen seiner Beschäftigten weitergeben? 

Konkretisierung der Fragestellung:

Beschäftigte eines Unternehmens im Einzelhandel bekommen die Möglichkeit, vergünstigt (Elektronik-)Produkte von ausgewählten Herstellern für den Eigenbedarf einzukaufen. Die Produkte müssen für mindestens ein ½ Jahr in Eigengebrauch genutzt werden und dürfen nicht direkt weiterveräußert werden. Die Beschäftigten kaufen diese Produkte in der Filiale ihres Unternehmens, also von ihrem Arbeitgeber, nicht direkt vom Hersteller. Der Hersteller stellt zur Bedingung, dass bei dieser Mitarbeiteraktion ihm der Name der Beschäftigten (und zusätzl. noch die Filiale des Unternehmens, bei die Beschäftigten angestellt sind) übermittelt werden. 

Der Hersteller benötigt diese Daten, um zum einen sicherzustellen, dass Beschäftigte des Unternehmens ein Produkt nur einmalig erwerben und zum anderen, um im Falle eines nicht erlaubten vorzeitigen Verkaufs durch Beschäftigte (z.B. bei eBay) entsprechende Herkunftsermittlungen anstreben zu können.

Einwilligung nach § 26 Abs. 2 BDSG:

„Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. 3Die Einwilligung hat schriftlich oder elektronisch zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. 4Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.“

Die Weitergabe der Namen der Beschäftigten sowie deren Filialzugehörigkeit an den Hersteller ohne vorherige Einwilligung der Beschäftigten ist mit Rechtsunsicherheit verbunden.

Als Rechtsgrundlage für die Weitergabe (ohne Einwilligung) käme einzig das berechtigte Interesse des Verkäufers an der Einhaltung der Wiederverkaufsregeln in Betracht (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Das berechtigte Interesse ist aber mit den Interessen und Rechten der Beschäftigten abzuwägen. Insbesondere ist dabei auch zu berücksichtigen, ob die Beschäftigten mit der Weitergabe ihrer Namen und Filialzugehörigkeit an den Hersteller vernünftigerweise rechnen konnten (Erw. 47 S. 3 DSGVO). Es kommt damit entscheidend darauf an, ob die Aufsichtsbehörde bzw. das Gericht der Meinung ist, dass ein vernünftiger Beschäftigter mit der Weitergabe rechnen musste.

Einschätzung:

Von einer Weitergabe ohne Einwilligung ist in jeden Fall dann abzuraten, wenn der oder die jeweilige Beschäftigte von der vergünstigten Bezugsmöglichkeit keinen Gebrauch gemacht hat. Denn dann hat er auch nicht mit einer Weitergabe seiner Daten an den Hersteller zu rechnen.

Lösung.:

Informationspflichten der Art. 12, 13 DSGVO beachten. Dies kann als Argument dafür angeführt werden, dass der Beschäftigte mit der Weitergabe der Daten rechnen konnte.

Stand: 12.10.2022


Wenn ein Unternehmen feststellt, dass die ökonomischen Kosten für Nutzung eines datenschutzkonformen Tools höher sind als die Sanktionen, die von der Aufsichtsbehörde zu erwarten sind: was soll man dann tun? 

Rechtsgrundlage

Evtl. Art. 6 Abs. 1 S. 1 lit. f DSGVO, wenn die wirtschaftliche Belastung hoch und die Rechtsverletzung gering ist.

Insbesondere Erwägungsgrund 47:

Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen.

Aus unternehmerischer Perspektive sollten die Risiken eines bewussten Verstoßes gegen datenschutzrechtliche Vorschriften sehr genau abgewogen werden. Es handelt sich im Kern um einen Verstoß gegen das informationelle Selbstbestimmungsrecht der betroffenen Personen, also um ein Grundrecht.

Die Höhe eines zu erwartenden Bußgeldes kann im Voraus nicht bestimmt werden, da Art. 83 DSGVO der Behörde einen sehr weiten Spielraum einräumt. Die Behörde ist auch nicht an frühere, ähnliche Entscheidungen gegen andere Unternehmen gebunden. Zu berücksichtigen ist insbesondere, dass die Vorsätzlichkeit des Verstoßes nach Art. 83 Abs. 2 DSGVO strafschärfend wirkt. Außerdem kann die Behörde die Einstellung des Verstoßes nach Art. 58 Abs. 2 lit. d DSGVO anordnen und diese Anordnung mittels Verhängung eines Zwangsgeldes durchsetzen. Von einer dauerhaften oder wiederholenden Verletzung der DSGVO ist abzuraten, da dies ebenfalls zu einem erhöhten Bußgeld führen kann (Art. 83 Abs. 2 S. 2 lit. e DSGVO).

Fazit: 

Das Unternehmen sollte nochmals genau prüfen, ob der Einsatz einer datenschutzkonformen Lösung betriebswirtschaftlich doch sinnvoll sein könnte.

  • Datenschutz kann im Marketing gewinnbringend eingesetzt werden;
  • Von einem bewussten Verstoß gegen Datenschutzrecht ist rechtlich eindeutig abzuraten;
  • Das Unternehmen sollte eine grundsätzliche Abwägung dieser rechtlichen (und auch ethischen) Interessen mit  ökonomischen Interessen vornehmen.

Stand: 12.10.2022

Ist es zulässig, bei einer Videoüberwachung im öffentlichen Bereich personenbezogene Daten per Stream in Echtzeit zu übermitteln? 

Konkretisierung der Fragestellung:
In einem öffentlichen Bereich, sagen wir in einer Flughafenabfertigungshalle oder einem Bahnsteig, kontrolliert eine Kamera die Szenerie.

Die Kamera ist dabei so programmiert, dass sie Gegenstände detektierten kann, die vorher nicht anwesend waren und über einen längeren Zeitraum sich nicht mehr bewegt haben.

Als Beispiel hierfür seien Rücksäcke oder Koffer genannt. Bei einer Detektion wird ein Alarm ausgelöst.

Der Stream der Kamera wird dabei nicht aufgezeichnet und auch nicht an einem Monitor dargestellt. Der Stream befindet sich nur für einen kurzen Zeitraum zur Bildauswertung in einem flüchtigen RAM-Speicher.

Unabhängig von den zwar erfassten Personen, die aber nicht gespeichert werden, ist die Auflösung der Kamera so gut, dass Adressaufkleber mit personenbezogenen Daten, ausgelesen werden könnten.

Abwägungsfrage!

  • Grundsatz der Datensparsamkeit wir eingehalten, indem der Stream nicht aufgezeichnet wird, sondern sich nur für einen kurzen Zeitraum zur Bildauswertung in einem flüchtigen RAM-Speicher befindet.
  • Auf der anderen Seite steht § 4 BDSG:
  • Schutz von Leben, Gesundheit und Freiheit von dort aufhältigen Personen gilt als ein besonderes   wichtiges Interesse.
  • Unsere Auffassung: selbst wenn also eine (sehr) kurzzeitige Speicherung stattfinden würde, würde der “Schutz von Leben, Gesundheit und Freiheit“ im vorliegenden Fall nach § 4 BDSG überwiegen und die Videoaufnahme wäre datenschutzrechtlich vertretbar.

Ist der Anwendungsbereich der DSGVO eröffnet?

Der Anwendungsbereich der DSGVO ist nach Art. 2 Abs.1 DSGVO sachlich u.a. wie folgt eröffnet:

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Was sind personenbezogene Daten?

Art. 4 Ziff. 1 DSGVO:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …“

Entscheidend ist, ob eine Angabe einer bestimmten Person zugeordnet werden kann, bzw. wenn der Betroffene mit Referenzdaten ermittelt werden kann. Erst bei absoluter Unmöglichkeit, einen Zusammenhang zwischen einem Datum und einer natürlichen Person herzustellen, fehlt es an der Bestimmbarkeit. Problematisch ist einerseits die Frage, ob auch eine „praktische Irrelevanz“ hierzu ausreicht, andererseits aber jene, ob von einer solchen angesichts der technischen Verknüpfungsmöglichkeiten, die moderne Computersysteme bieten, überhaupt noch gesprochen werden kann., vgl. Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13

Ab wann ist bei der automatisierten Verarbeitung von Daten kein Personenbezug mehr gegeben?

Braucht es also konkretes Zusatzwissen, damit man von einem Personenbezug sprechen kann? (Beispiel IP-Adresse: nur Provider können sie meist ohne Weiteres einem Nutzer zuordnen, alle anderen hingegen nicht).

EuGH (EuGH ZD 2017, 24 Rn. 46 ff): bei einem gesetzlichen Verbot oder einer praktischen Undurchführbarkeit aufgrund unverhältnismäßigem Aufwands ist das Risiko einer Identifizierung vernachlässigbar. (Aber: schon bei einem Anbieter von Onlinediensten in Bezug auf dynamische IP-Adressen ist ein solches Hindernis nicht gegeben), Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13

Die Verwendung des Begriffs „indirekt“ durch den Unionsgesetzgeber deutet darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht. Rn 41

Mehr Infos

Was ist „Verarbeitung“ im Sinne der DSGVO?

Art. 4 Ziff. 2 DSGVO:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Hierzu Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 20:

Verarbeitung (processing) meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben (collection), das Erfassen (recording), die Organisation (organisation), das Ordnen (structuring), die Speicherung (storage), die Anpassung (adaption) oder Veränderung (alteration), das Auslesen (retrieval), das Abfragen (consultation), die Verwendung (use), die Offenlegung durch Übermittlung (disclosure by transmission), Verbreitung (dissemination) oder eine andere Form der Bereitstellung (otherwise making available), den Abgleich (alignment) oder die Verknüpfung (combination), die Einschränkung (restriction), das Löschen (erasure) oder die Vernichtung (destruction). Der Begriff ist letztlich (ohne materielle Folgen) weiter, als es der Verarbeitungsbegriff des BDSG aF war. Die in der Definition aufgezählten Begriffe dürften sich zudem zumindest teilw. überschneiden.

Zum Erfassen (recording) nach Art. 4 Ziff. 2 DSGVO: Die Dauer der Speicherung spielt keine Rolle. Auch die flüchtige Speicherung im Arbeitsspeicher stellt eine Verarbeitung im DSGVO-rechtlichen Sinne dar.

Ergebnis:

Bei einer Videoüberwachung im öffentlichen Bereich, bei der personenbezogene Daten per Stream in Echtzeit übermittelt und nur  nur flüchtig im RAM-Speicher abgelegt werden, ist der Anwendungsbereich der DSGVO eröffnet.

Es müssen damit die datenschutzrechtlichen Vorgaben eingehalten werden, z.B. Rechtsgrundlage (wahrscheinlich Art. 6 Abs.1 S. 1 lit.f. DSGVO), einen Zweck, die Erfüllung von Informationspflichten etc.. Praktisch ist das in sicherheitssensiblen öffentlichen Bereichen (z.B. Abfertigungshalle Flughafen) gut umsetzbar.

Stand: 26.10.2022

Gelten die Aussagen zu Google-Fonts auch für Adobe-Fonts? 

Was ist Adobe-Fonts?

Adobe-Fonts ist eine Sammlung von Schriftarten für die Verwendung auf Websites bereit. Mittels APIs und interaktiven Webverzeichnissen können dann Schriften je nach Bedarf eingebunden werden. Die jeweilige Website greift – wie bei Google Fonts - bei jedem Aufruf auf den US-amerikanischen Server von Adobe zu und lädt die Fonts herunter.

Werden bei der Nutzung von Adobe-Fonts personenbezogene Daten verarbeitet?

Bei der Nutzung von Adobe-Fonts werden wohl (wie bei Google Fonts) IP-Adressen und somit personenbezogene Daten verarbeitet. Somit sind Webseitenbetreiber dazu verpflichtet, einen entsprechenden Cookie-Hinweis zur Einwilligung sowie einen Hinweis in der Datenschutzerklärung vorzuhalten, da es sich bei Adobe um einen US-amerikanischen Anbieter handelt und der Nutzer über die Verarbeitung seiner Daten aufgeklärt werden muss.

Ist Adobe-Fonts (ebenfalls wie die dynamische Einbindung von Google Fonts) nun verboten?

Bei der Nutzung von Adobe-Fonts findet eine Datenverarbeitung analog wie bei Google-Fonts statt. Zwar gibt es aktuell noch kein Urteil (ggf. wegen geringerer Verwendung im Gegensatz zu Google Fonts), dass Adobe-Fonts verboten ist, jedoch dürfte die Verwendung ohne Einwilligung datenschutzrechtlich nicht erlaubt sein, da die Verarbeitung von personenbezogenen Daten nicht komplett ausgeschlossen werden kann.

Die aktuelle Rechtsprechung zu Google Fonts kann somit auch auf Adobe-Fonts übertragen werden.

Stand: 05.10.2022

Kann man GetLeadForms datenschutzkonform nutzen? 

Mit GetLeadForms können mehrstufige Formulare und Chatbots für Websites und Landing Pages erstellt werden, um Leads zu generieren.

GetLeadForms bietet nur Dienste an, die nach europäischen (und damit auch deutschem) Recht ausschließlich per Einwilligung des Users möglich sind. Um GetLeadForms datenschutzkonform nutzen zu können, müssten u.a. folgende Punkte beachtet werden:

  • Beim ersten Besuch der Website muss per „Cookie-Banner“ eine Einwilligung eingeholt werden (erst dann darf z.B. der ChatBot öffnen)

 Achtung! Es darf erst Cookie gesetzt werden, wenn die Einwilligung des Website-Nutzers eingeholt wurde!

  • Außerdem muss auf die Verwendung des Dienstes in der Datenschutzerklärung hingewiesen werden. Ansonsten drohen Abmahnungen und ggf. Bußgelder seitens der Aufsichtsbehörden!
  • GetLeadForms ist ein amerikanischer Anbieter: Die Datenschutzbestimmungen USA sind nicht gleichzusetzen mit den Bestimmungen der DSGVO. Deshalb braucht man mit Anbietern außerhalb der EU eine gesonderte Rechtsgrundlage, da eine Datenübermittlung in Drittländer (hier USA) stattfindet (bis 2020: Privacy Shield) -  Standarddatenschutzklauseln Art. 44 ff. DSGVO
  • LiiDU-Tipp:  Besser einen europäischen Anbieter nutzen, der die Regeln der DSGVO einhält.

Stand: 05.10.2022

Braucht man mit Cookie-Banner-Anbietern einen AV-Vertrag? 

Cookies sind Datenpakete, die von Webbrowsern und Internetseiten erzeugt werden, um individuelle Nutzerdaten zu speichern. Im Internet werden damit vor allem HTTP-Cookies bezeichnet. Das sind Datenpakete, mit denen Webanwendungen personenbezogene Daten sammeln, um beispielsweise Login-Daten, Surfverhalten, Einstellungen und Aktionen in Webapplikationen (z.B. Warenkörbe in Webshops) zu speichern.

Ein Cookie-Banner wird auf Webseiten bspw. dann benötigt, wenn eine Erhebung, Verarbeitung oder Auswertung personenbezogener Daten (v.a. IP-Adressen) technisch nicht notwendig ist (vgl. § 25 TTDSG) und z.B. für Tracking-Analysen vorgenommen wird. Für diese Verarbeitung personenbezogener Daten braucht es eine ausdrückliche Einwilligung des Nutzers, die  z.B. mittels eines Cookie-Banners eingeholt werden kann. 

Alles zum Thema Cookies: siehe FAQ des Landesbeauftragten für Datenschutz und Informationsfreiheit BW

Verarbeitet nun die Anwendung „Cookie-Banner-Tool“ eines Anbieters selbst personenbezogene Daten im Auftrag?

Falls ja, ist der Webseitenbetreiber gesetzlich dazu verpflichtet, einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Anbieter abzuschließen. Die DSGVO schreibt vor,  dass gem. Art. 28 Abs. 3 DSGVO ein Auftragsverarbeitungsvertrag abgeschlossen werden muss, sobald ein Auftragsverarbeitungsverhältnis vorliegt.

Wie wird laut Art. 4 Abs. 8 DSGVO ein Auftragsverarbeiter definiert?
„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.

Das dürfte bei Cookie-Banner-Anwendungen regelmäßig der Fall sein!

Begründung:

Beispiel Cookiebot: Bindet eine Webseite ein Cookiebot-Script ein, wird zwangsweise aufgrund des Internet-Protokolls TCP die IP-Adresse des Nutzers durch die Webseite zu Cookiebot weitergeleitet und dort im Sinne der DSGVO verarbeitet, vgl. Ausführungen dazu bei Dr. DSGVO.

Was muss im AV-Vertrag laut Art. 28 DSGVO geregelt werden?

Im Vertrag werden u.a. die jeweiligen Rechte und Pflichten von Auftragnehmer und Auftraggeber geregelt. Des weiteren wird auch der konkrete Gegenstand, die Art und der Zweck der Verarbeitung definiert. Zudem können noch weitere Regelungen, wie z.B. die Dauer des Auftrags, Regelungen zu Informationspflichten und zum Weisungsrecht oder auch Regelungen zur Rückgabe bzw. Löschung von Daten nach Auftragsbeendigung festgehalten werden.

Ergebnis: In aller Regel braucht man einen AV-Vertrag mit dem Cookie-Banner-Anbieter.

Stand: 05.10.2022

Wa muss ich tun, wenn ich eine Abmahnung wegen Google Fonts erhalten habe? 

Zurzeit werden sehr viele Abmahnung von Mitgliedern der Interessengemeinschaft Datenschutz (kurz: IG Datenschutz) verschickt.
Gefordert werden zwischen EUR 170,- und EUR 800,- Schmerzensgeld.

Webseitenbetreiber haben grundsätzlich die Pflicht, Google Fonts statisch einzubinden, da durch die potenzielle Weitergabe der IP-Adressen der Webseiten-Besucher an Google in den USA eine Persönlichkeitsverletzung gesehen werden kann.

Es gibt das rechtskräftige Urteil des Landgerichts München vom 20.01.2022 – 3 O 17493/29

Hier sollte das Unternehmen, das Google Fonts dynamisch eingebunden hat, einen Schadensersatz wegen Persönlichkeitsrechtsverletzung in Höhe von 100,00 € an den Besucher der Webseite bezahlen.

Folgende Fragen sollten (ggf. in Zusammenarbeit mit einem Rechtsanwalt) geklärt werden:

1. Haben Sie tatsächlich Google Fonts dynamisch eingebunden und kann die Gegenseite den Verstoß nachweisen?

Falls nein, brauchen Sie nicht auf die Abmahnung zu reagieren. Falls ja, lautet die zweite Frage:

2. Welcher Schadensersatz wäre angemessen: EUR 100,-, EUR 170,- oder mehr?

Das ist in jedem Fall eine Frage des Einzelfalls und kann nicht pauschal beantwortet werden.

3. Die vielleicht wichtigste Frage: Ist Herr Ismail bzw. die IG Datenschutz überhaupt berechtigt, solche Abmahnungen auszusprechen?

Hier müsste die Gegenseite zunächst die individuelle Betroffenheit darlegen. Bei der IG Datenschutz ist das in jedem Fall ausgeschlossen (da eine Organisation). Die einzelnen Mitglieder könnten individuell betroffen sein. Allerdings werden diese in den Abmahnungen nicht mit Adresse genannt, was bei einer Anzeige der anwaltlichen Vertretung aber üblich ist.

Des Weiteren werden in der Abmahnung fast ausschließlich Urteile zitiert, die mit Google Fonts nichts zu tun haben. Damit wird der Eindruck erweckt, es gäbe genau zu diesem Thema umfangreiche Rechtsprechung.

Und schließlich kann man auch fragen, ob Herr Ismail die Webseiten eventuell vorsätzlich und mit dem Ziel der Abschöpfung einer Abmahnsumme angesteuert hat. Aufgrund der massenhaften Abmahnungen legt das eine Rechtsmißbräuchlichkeit nahe.

Evtl. wurde daher ein potenzieller Schaden bewusst herbeigeführt. Die Gegenseite müsste darlegen, ob tatsächlich ein individuelles Unwohlsein beim Betroffenen entstanden ist bzw. ein Kontrollverlust und somit ein Schaden, der zu ersetzen wäre. Für einen solchen Fall gibt es kaum Rechtsprechung, deshalb könnte sich hier Widerstand lohnen

Stand: 05.10.2022

Darf ein Dienstleister die Daten ohne die Einwilligung der Endverbraucher verarbeiten, ohne dabei selbst gegen die DSGVO zu verstoßen? 

Konkretisierung der Fragestellung:

Wir (DL-Unternehmen im Bereich B2B) sollen Daten der Kunden (E, Endverbraucher) unserer Kunden (K, B2C) bezüglich ableitbarer Verhalten analysieren. Das bedeutet, es interessiert uns letzten Endes nicht, wie ein Kunde E heißt, wo er genau wohnt, wann er genau geboren ist. 

Unser Kunde K hat dabei die Daten genau vorliegen, also wie heißt die Person E, welche Email-Adresse(n) hat sie, wie lautet die Adresse, Geburtsdatum, ...; kurzum, unser Kunde K weiß soweit "alles" über seine Kunden E, was Datenschützer-Herzen höher schlagen lässt.

Wie dürfen wir (DL) nun die Daten der Endverbraucher E verwenden bzw. wie muss unser Kunde K uns die gewünschten Daten zur Verfügung stellen? 
Uns interessiert wie gesagt NICHT die Adresse, genaues Geburtsdatum, Email-Adresse; Ausschließlich betrachtet werden soll das Geschlecht sowie die Altersspanne (wir dachten an das Alter auf 5 bis 10 Jahre genau, sofern möglich), evtl. eine Umkreis-Angabe zum ungefähren Wohnort / Region des Wohnorts, die bestellten / gekauften Produkte, angesehene Produkte bis zur Kaufentscheidung, ggf. das verwendete Endgerät (Hersteller und Model, nicht Seriennummer!), usw.

An sich dachten wir in einem ersten Schritt der konzeptionellen Überlegungen daran, die Adress- und Namensdaten komplett zu vernachlässigen und noch bei unserem Kunden K eine Verschlüsselung der Email-Adresse vorzunehmen, die von uns als DL nicht wieder zurückgerechnet werden kann ("hashing").* Mit diesen gehashed-ten Email-Adressen könnten wir als DL dann eine ID bilden, die die uns relevanten Informationen anschließend der verschlüsselten ID zuordnen lässt. Hintergrund für diese Notwendigkeit wäre, dass die Infos einzelnen fiktiven Personen zugeordnet und nicht zu einer großen Datenmasse verschmelzen sollen.


In einem vergangenen Datenschutz-Weekly hatten wir über die Begriffe Anonymisierung und Pseudonymisierung gesprochen. Aktuell wäre soweit vermutlich vom Begriff der Pseudonymisierung auszugehen, anhand des Hashes ist das erfolgreiche Durchführen einer Rückrechnung dabei höchst unwahrscheinlich. Unserem Kunde K hingegen würde in dem Szenario voraussichtlich die Zuordnung "genaue Kundendaten" (die K sowieso von E weiß...) zu der verschlüsselten Email-Adresse vorliegen.

Art. 5 Abs. 1 c) DGSVO – Datenminimierung und

Art. 6 DSGVO – Rechtsgrundlage für Verarbeitung notwendig

1. Dienstleister DL muss vom Kunden K also so wenig wie möglich Daten über den Endverbraucher E bekommen.

Idealerweise sollte der Datensatz keine Adressdaten, keine Geburtsdaten, keine Namen und keine Mailadressen umfassen.


2. Wenn der Kunde K die Ergebnisse nach dem Analyseprozess wieder zurückführen kann auf einzelne Personen, dann wäre das ein Analyseverfahren auf Basis personenbezogener Daten, nach denen er die Vorgaben der DSGVO einhalten muss. Dafür braucht er wiederum eine Rechtsgrundlage. Das kann wohl nur durch die vorab eingeholte Einwilligung der Endverbraucher E geschehen.

Ergebnis: Verarbeitet der Kunde K die Daten der Endverbraucher E nach durchgeführter Analyse so, dass er die Daten wieder zusammenführen kann (und damit wieder personenbezogene Daten vorliegen hat), braucht er eine  vorherige Einwilligung der Endverbraucher.

Vor Einführung der DSGVO spielte es keine Rolle, welche Daten an den Dienstleister DL geschickt worden wären, da der Auftragsverarbeiter nicht verantwortlich war für die personenbezogenen Daten.


Seit der Einführung der DGSVO ist die Rechtslage anders:

Er muss … hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, vgl. Art. 28 Abs. 1 DSGVO

Die Verpflichtung geht sogar noch weiter: vgl. Art. 28 Abs. 3, letzter Absatz:

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

Stand: 28.09.2022

Wann ist die Nutzung von WhatsApp für die Kundenkommunikation zulässig? 

Die Nutzung von WhatsApp für die Kundenkommunikation ist u.a. wegen folgender Gründe nicht zulässig:

  • WhatsApp verarbeitet personenbezogene Metadaten (Standort. Uhrzeit, Profilbilder, Profilnamen, Gerätenamen, Kontakte, etc.), eigentlich braucht man hierfür einen AV-Vertrag;
  • WhatsApp greift auf persönliche Daten der Nutzer (z.B. Adressbucheinträge) zu, insbesondere auch von Personen, die nicht bei WhatsApp sind. Name und Telefonnummer sind personenbezogene Daten und bedürften aber vor der Verarbeitung einer ausdrücklichen Zustimmung.
  • WhatsApp ist ein in den USA sitzender Anbieter: aufgrund des Wegfalls des Privacy-Shields sind jetzt Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen, das ist aber aufgrund der Komplexität der Informationen, die im Vorfeld gegeben werden müssten, nicht möglich.
  • WhatsApp vernachlässigt das „ Auskunftsrecht der betroffenen Person“ (Art. 15 DSGVO)
  • etc. ….

Ergebnis:

Es ist mittlerweile allgemeine Rechtsauffassung, dass WhatsApp im geschäftlichen Umfeld nicht datenschutzkonform genutzt werden kann.

Vergleiche auch FAQ-Antwort des BayLDA dazu!

Ist WhatsApp für die Kundenkommunikation datenschutzrechtlich zulässig, wenn der Kunde den Kontakt initiiert?

Wenn der Kunde den Kontakt initiiert, ist die Rechtslage dieselbe.

Begründung:

WhatsApp-Nachricht braucht (in der Regel) einen registrierten Benutzer.

Mögliche Lösung:

WhatsApp allenfalls privat mit privater Nummer nutzen. 

Stand: 05.10.2022

Darf ein Onlineshopbetreiber IP-Adressen seiner Kunden ohne Einwilligung speichern?  

Ausführliche Informationen zur Speicherung von IP-Adressen finden Sie in unserem Blog.

Ist Meetergo datenschutzkonform? 

Ausführliche Informationen über Meetergo finden Sie in unserem Blog.

Die US-Tochter eines deutschen Unternehmens erstellt und betreibt eine Website mit Shop. Nach welchem Recht muss die Datenschutzerklärung ausgestaltet werden? 

Jeder Onlineshop braucht zwingend eine Datenschutzerklärung, da beim Bestellvorgang personenbezogene Daten erhoben, gespeichert und verarbeitet werden (v.a. Adressdaten, E-Mail-Adressen und IP-Adressen).

In vorliegendem Fall ist der Website-Betreiber eine US-Tochter eines deutschen Unternehmens. Die Datenschutzerklärung muss zwingend nach EU-Recht gestaltet werden, sofern sich das Angebot an Kunden in Deutschland bzw. im EU-Raum richtet, da die Anforderungen der DSGVO (u.a. Art. 13 DGSGVO) und des TTDSG (§ 25 TTDSG) jederzeit eingehalten werden müssen (unabhängig vom Sitz des Webseitenbetreibers).

Rein zivilrechtlich gilt das sog. Herkunftslandprinzip, § 3 TMG

Richtet sich das Angebot des Websitebetreibers an US-amerikanische Kundschaft, ist US-Recht zu beachten.

Zu empfehlen sind zwei Websites. Eine für das europäische/deutsche Publikum und eine für das US-amerikanische Publikum.

Stand: 21.09.2022

Worin besteht der Unterschied der drei Einwilligungsarten nach Art. 6 DSGVO,  Art. 49 DSGVO und § 25 TTDSG? 

Was steht im Art. 6 DSGVO?

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

(1)Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a)Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b)die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c)die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d)die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e)die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f)die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Was steht im Art. 49 DSGVO?

Art. 49 DSGVO - Ausnahmen für bestimmte Fälle

(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a)die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,

b)die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,

c)die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,

d)die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,

e)die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,

f)die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,

g)die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

Was steht in § 25 TTDSG?

§ 25 TTDSG - Schutz der Privatsphäre bei Endeinrichtungen

1.Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

2.Die Einwilligung nach Absatz 1 ist nicht erforderlich,

 (1) wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

(2) wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Worin besteht der Unterschied der drei Einwilligungsarten nach Art. 6 DSGVOArt. 49 DSGVO und § 25 TTDSG?

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

Art. 6 DSGVO bildet die Rechtsgrundlage für alle Arten der Verarbeitung personenbezogener Daten.

Art. 49 DSGVO - Ausnahmen für bestimmte Fälle

Art. 49 DSGVO findet Anwendung, wenn eine Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation stattfindet. Die Norm wird restriktiv ausgelegt und gilt für alltägliche immer wiederkehrende Übermittlungen, z.B. Hotelbuchungen, Flugreservierungen, Überweisungen oder Warenbestellungen.

§ 25 TTDSG - Schutz der Privatsphäre bei Endeinrichtungen

§ 25 TTDSG findet Anwendung bei allen Fällen, bei denen personenbezogene Daten über Endeinrichtungen gespeichert werden, die nicht technisch zwingend nötig sind, um den entsprechenden Dienst zu erbringen, z.B. Cookies oder Analysetools.

Stand: 21.09.2022

Wie muss die Abmeldung vom Newsletter gestaltet sein? 

Art. 7 DSGVO - Bedingungen für die Einwilligung

  1. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
  2. Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
  3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
  4. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Muss eine One-Click-Lösung umgesetzt werden oder darf z.B. eine Abfrage des Grundes sowie die erneute Eingabe der Email-Adresse für die Abmeldung erfolgen?

Art. 7 Abs. 3 S. 4 DSGVO regelt datenschutzrechtlich, dass die Abbestellung eines Newsletters genau so einfach durchzuführen ist, wie die Einwilligung. Die Einwilligung zum Newsletter-Empfang ist zwingend über ein Double-Opt in Verfahren (§ 7 Abs. 2 Nr. 3 UWG) einzuholen, damit der Datenverarbeiter stets nachweisen kann, dass die betroffene Person ausdrücklich damit einverstanden ist, dass ihre personenbezogenen Daten verarbeitet werden und keine wettbewerbswidrige Handlung bzw. keine „unzumutbare Belästigung“ stattfindet.

Eine One-Click-Lösung zur Abmeldung ist gesetzlich nicht vorgeschrieben, wird in der Praxis aber überwiegend empfohlen.

Nach Art. 7 Abs. 3 S. 4 DSGVO ist es rein datenschutzrechtlich also zulässig, dass der Widerruf mit zwei Klicks (z.B. Anklicken des Abmeldelinks in der Mail + Anklicken auf „Wollen Sie sich wirklich abmelden?) durchgeführt wird, sofern die Einwilligung auch mit zwei Klicks durchgeführt wurde. Weitere Schritte, wie z.B. die Pflicht sich mit einem Kunden-Log-In in ein Portal einzuloggen, um sich aus dem Newsletter Verteiler auszutragen zu können, dürften eher unzulässig sein. Gerade das Wettbewerbsrecht ist hier nutzerfreundlich auszulegen.

Die Abfrage eines Grundes bzw. die erneute Eingabe der E-Mail-Adresse für die Abmeldung ist dann zulässig, wenn dies hinsichtlich der Einfachheit der Abmeldung, mit der Einfachheit der Einwilligung gleichzusetzen ist.

Ab wann darf nach erfolgter Abmeldung vom Newsletter wirklich kein Newsletter gesandt werden?

Art. 7 DSGVO - Bedingungen für die Einwilligung

...3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein....

Die Abmeldung vom Newsletter ist also unverzüglich umzusetzen. Erfolgt ein erneuter Newsletter-Versand, obwohl eine Abmeldung erfolgte (und damit auch ein Widerruf der Verarbeitung personenbezogener Daten), ist dies als unzumutbare Belästigung nach § 7 Abs. 2 Nr. 3 UWG einzustufen und als unzulässige Datenverarbeitung nach DSGVO. Der Newsletter-Versender ist also in der Pflicht, den Kunden unverzüglich von der Verteilerliste zu streichen, sobald sich ein Kunde vom Newsletter abgemeldet hat. Eine weitere Mail auch am selben Tag ist unzulässig. Der Versender hat dafür Sorge zu tragen, dass die technischen Möglichkeiten so gestaltet sind, dass ab dem Zeitpunkt der Abmeldung keine weitere Mail mehr versendet wird. Der ehemalige Newsletter-Abonnent hat zudem das Recht, seine personenbezogenen Daten auf Wunsch aus der Datenbank löschen zu lassen.

Stand: 21.09.2022

Ist eine Videoüberwachung eines Privathaushaltes im Falle des regelmäßigen Besuch eines Pflegers zulässig? 

Konkreter Sachverhalt:

Eine Person eines Haushaltes nimmt die Dienste mobiler Pflegeleistungen in Anspruch. Offiziell wurde die Videoüberwachung installiert, sodass Familienmitglieder die zu pflegende Person helfen können, falls diese stürzt. Dadurch wird die Pflegekraft jedoch während des gesamten Besuchs überwacht. Es gibt keine Hinweisschilder, Einwilligungen oder diesbezügliche Vereinbarungen.

Vorliegend geht es nicht nur um die eigene private Sphäre. DSGVO ist m.E. also anwendbar. Etwas anderes gilt z.B., wenn Videokameras auf privaten Grundstücken angebracht werden – und nur das eigene Grundstück überwachen. Dies eröffnet den Anwendungsbereich der DSGVO nicht (vgl. Art. 2 Abs. 2 lit.c DSGVO).

Als Rechtsgrundlage stehen aber immer zur Verfügung:

Das Recht auf informationelle Selbstbestimmung („Volkszählurteil von 1983“ - Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG)) sowie das Recht am eigenen Bild nach KUG.

Sobald Dritte von den Überwachungen betroffen sind, müssen also deren berechtigte Interessen berücksichtigt werden
--> Abwägung!

Vorliegend halten wir die dauerhafte Überwachung der Pflegeperson, aber auch der zu pflegenden Person für einen erheblichen Eingriff in das informationelle Selbstbestimmungsrecht.

Welche Möglichkeiten gibt es seitens des Arbeitgebers der Pflegekraft zu reagieren?

Es ist darauf hinzuweisen, dass eine Überwachung der Pflegekräfte nicht geduldet wird
(Fürsorgepflicht des Arbeitgebers).

Die Kamera ist während der Anwesenheit der Pflegekraft abzuschalten.

Sofern die Pflegekraft mit der Videoüberwachung einverstanden ist, darf die Kamera weiterhin auch den Pflegebesuch aufzeichnen. Hierzu ist eine schriftliche Einwilligung von der Pflegekraft einzuholen und sie muss m.E. auch über ihre Rechte aufgeklärt werden.

Stand: 21.09.2022

Was steht im BAG-Urteil bzgl. des Anspruchs auf  immateriellen Schadenersatz bei Verstoß gegen die DSGVO? 

BAG-Urteil vom 05.05.2022 (2 AZR 363/21)

Sachverhalt:

Eine Hausangestellte hat von ihrem Arbeitgeber Auskunft nach Art. 15 DSGVO verlangt, einschließlich der über sei erfassten Arbeitszeit. Im Wege der Stufenklage machte sie zudem eine sich aus der Auskunft ergebende Nachzahlung der Vergütung geltend. Mit einem weiteren Antrag verlangte die Klägerin dann die Zahlung eines in das Ermessen des Gerichts gestellten immateriellen Schadensersatzes „auf der Grundlage von Art. 15 DS-GVO“. Die Arbeitszeitaufzeichnungen wurden zwar von der Beklagten übersandt, allerdings nicht innerhalb der Fristen des Art. 12 Abs. 3 und 4 DSGVO.

Da die Beklagte dem Auskunftsbegehren nicht vollständig nachgekommen sei, habe sie Anspruch auf immateriellen Schadensersatz nach Art. 82 DS-GVO, der mindestens 6.000 EUR betrage.

Entscheidung: EUR 1.000,- Schadensersatz ist angemessen.

Begründung:

Es gibt einen weiten Ermessensspielraum des Gerichts, in dem die Besonderheiten des jeweiligen Einzelfalls zu berücksichtigen sind. Wesentlicher Grund der Klage waren vorliegend die Arbeitszeitaufzeichnungen. Diese waren übersandt worden. Die Klägerin habe nicht vorgetragen, dass ihr durch die zu späte Zusendung ein immaterieller Schaden entstanden sei. Nicht jeder Eingriff in das allgemeine Persönlichkeitsrecht in Form des Rechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 iVm. Art. GG Artikel 1 Satz 1 GG habe einen Entschädigungsanspruch zur Folge. Im vorliegenden Fall sei eine Persönlichkeitsrechtsverletzung der Klägerin nicht so schwerwiegend, dass sie nur durch eine Geldentschädigung in befriedigender Weise ausgeglichen werden könne. Der Klägerin sei es mit ihrem Auskunftsanspruch ausweislich ihres Prozessverhaltens nicht um den Schutz ihrer persönlichen Daten, sondern um die Beschaffung von Informationen zur Vorbereitung eines Zahlungsanspruchs gegen die Beklagte gegangen. Eine rechtswidrige Beschaffung oder Verwendung personenbezogener Daten durch die Beklagte behaupte die Klägerin indes nicht.

Stand: 20.09.2022

Welche Auswirkungen hat das Urteil des EuGH zur Vorratsdatenspeicherung vom 20.09.2022? 

EuGH Urteil zur Vorratsdatenspeicherung

Auswirkungen:

Das Verfahren vor dem Bundesverwaltungsgericht wird nun fortgeführt.

Die Politik hat bereits angekündigt, die Vorratsdatenspeicherung in dieser Form aus dem TKG zu streichen bzw. entsprechend dem EuGH-Urteil zu verändern.

Für den einzelnen Bürger besteht nun Gewissheit, dass der Staat nicht anlasslos Daten auf Vorrat speichern darf. Ausnahme: es liegt eine ernste Bedrohung für die nationale Sicherheit vor.

Es wird nun (hoffentlich) eine politische Debatte darüber geben, wieviel Überwachung in Deutschland notwendig bzw. den Bürgern zumutbar ist. 

Stand: 21.09.2022

Bedürfen Controlling-Mitarbeiter in Unternehmen bzw. Konzernstrukturen besonderer Schulungen? 

Bedürfen Controlling-Mitarbeiter in Unternehmen bzw. Konzernstrukturen besonderer Schulungen/Verpflichtungen, damit mit deren Wissen um Löhne und Gehälter einzelner Personen rechtlich korrekt umgegangen wird?

Wie definiert die DSGVO einen Konzern?

Art. 4 Nr. 19 DSGVO: „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“.

Personenbezogene Daten dürfen laut Erwägungsgrund 48 DSGVO  bei berechtigtem Interesse zu ganz bestimmten Zwecken innerhalb von Konzernstrukturen ausgetauscht werden. Hierfür muss (zumindest) die rechtliche Grundlage des Art. 6 Abs. (1) f DSGVO (Rechtmäßigkeit der Verarbeitung) erfüllt sein.

Gehaltsdaten könnten z.B. auch anonymisiert bzw. pseudonymisiert verarbeitet werden, sodass keine Zuordnung zu natürlichen Personen möglich ist. Grundsätzlich ist immer der Grundsatz der Datensparsamkeit (Art. 5 DSGVO) zu beachten.

Es gibt keine allgemeingültige Regelung, dass Controlling-Mitarbeiter in Unternehmen bzw. Konzernstrukturen bzgl. der Gehaltsdaten spezielle Schulungen absolvieren müssen. 

Wie wird mit der Situation in Konzernstrukturen umgegangen, wenn etwa in einem Unternehmen nur eine Person angestellt ist? Das Controlling z.B. des Mutterkonzerns hat dann die Möglichkeit, die Kostenstelle „Löhne/Gehälter“ dieses Tochterunternehmens einzusehen, in welchem nur eine Person arbeitet – und weiß somit das Gehalt jener Person. 

Antwort: Das Wissen über Gehälter ist  der Position des Controlling-Mitarbeiters immanent. Betroffene Personen müssen darüber auch nicht gesondert informiert werden. Über Geheimhaltungsverpflichtungen kann (und sollte) allerdings die Verschwiegenheit vereinbart werden. Nur aufgrund der Möglichkeit der konkreten Zuordnung von Gehaltsdaten mehr Personen als benötigt im Unternehmen zu beschäftigen, wäre vermutlich wirtschaftlich gesehen wenig sinnvoll.

Stand: 14.09.2022

Kann Calendly datenschutzkonform eingesetzt werden?  

Ausführliche Informationen über Calendly finden Sie in unserem Blog.

Kann das Löschen von personenbezogenen Daten per AGB geregelt werden kann?  

Bei einer kostenpflichtigen App werden sensible Gesundheitsdaten verarbeitet. In Folge einer Lösch- anfrage sollen die Daten gelöscht und nicht mehr gesperrt vorgehalten werden. Kann das Löschen per AGB geregelt werden kann? 

Wie werden Löschungsfristen in der DSGVO geregelt?

Art. 17 DSGVO - Recht auf Löschung

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

Wann kann ein Antrag auf Löschung gestellt werden?

Um eine Löschung nach Art. 17 DSGVO durchsetzen zu können, muss einer der Gründe des Art. 17 Abs. 1 DSGVO vorliegen. Werden die Daten z.B. im Rahmen einer ärztlichen Behandlung gespeichert, kann nicht willkürlich eine Löschung beantragt werden, da seitens der Ärztekammer eine Aufbewahrungsfrist ärztlicher Aufzeichnungen von mindestens 10 Jahren vorgeschrieben ist,
vgl. § 10 Abs. 3 BO.

Werden sensible Gesundheitsdaten z. B. aber in einer privaten und freiwillig verwendeten Fitness-App gespeichert, kann der Betroffene die Löschung der Daten verlangen.


Ergebnis: Die gesetzliche Grundlage für das Recht auf Löschung ergibt sich aus der DSGVO.
In AGB kann nichts Gegenteiliges geregelt werden.

Würde sich etwas  ändern, wenn die Daten nach der Löschaufforderung anonymisierten gespeichert werden?

Nein, prinzipiell ändert eine Anonymisierung der Daten nichts. Zweck und Rechtsgrundlage müssen ja zum Zeitpunkt der Datenerhebung vorgelegen haben (und andauern).
Mit einer Anonymisierung dürfte sich beides ändern.

Hier stellt sich zudem die Frage, ob eine Anonymisierung von sensiblen Gesundheitsdaten überhaupt möglich wäre, wenn der Personenbezug bereits vorhanden war. Es wäre vermutlich lediglich eine Pseudonymisierung (Art. 4 DSGVO) umsetzbar.

Ausweg: Einwilligung des Betroffenen

Stand: 14.09.2022

Gibt es ein Recht auf Löschung von SCHUFA-Einträgen? 

Was steht im Urteil des OLG Stuttgart vom 10.08.2022? (9 U 24/22)

Urteil des OLG Stuttgart (9 U 24/22)

Sachverhalt:

A bekam vom Amtsgericht München aufgrund seiner geleisteter Zahlung im Rahmen seines Verbraucher-Insolvenzverfahrens nach drei Jahren vorzeitig Restschuldbefreiung.  Diese Informationen wurden öffentlich unter www.insolvenzbekanntmachungen.de veröffentlicht. Die beklagte SCHUFA entnahm diese (und weitere ihr verfügbare) Daten über den Kläger, speicherte sie und machte sie ihren Vertragspartners zugänglich, sofern diese ein berechtigtes Interesse an der Kreditfähigkeit des Klägers darlegen konnten.

Auf der Grundlage des von der SCHUFA angewendeten sog. Code of Conduct für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien, vorgelegt vom Verband „Die Wirtschaftsauskunfteien e.V.“ (nachfolgend: CoC, Anl. B4) löscht die SCHUFA personenbezogene Daten taggenau drei Jahre nach Ausgleich gespeicherter Forderungen bzw. - nach Antrag betroffener Personen - wenn die Speicherung nach individueller Prüfung nicht mehr erforderlich ist.

Der Kläger hält eine 6-Monatsfrist für ausreichend. Eine darüber hinausgehende Speicherung seiner Daten sei rechtswidrig. Ausschlaggebend sei § 3 Abs. 1 f. InsBekV, wonach diese Daten aus dem Portal www.insolvenzbekanntmachungen.de nach 6 Monaten zwingend zu löschen sind. Sein Hauptargument: Die weitere Speicherung erschwere ihm entgegen dem mit der Restschuldbefreiung verfolgten Zweck eines wirtschaftlichen Neustarts die Teilnahme am Wirtschaftsleben, obwohl er sich während der Wohlverhaltensperiode vorbildlich verhalten und so viele Schulden getilgt habe, dass die Restschuldbefreiung vorzeitig erteilt worden sei. Insbesondere sei ihm die Finanzierung einer Wohnung oder eines Hauses sowie eines neuen Autos ebenso wenig möglich wie die Überziehung seines Kontos, obwohl es keine gesicherten wissenschaftlichen Erkenntnisse über konkrete Neuverschuldungen mit Zahlungsausfällen und Insolvenzen innerhalb von drei Jahren nach der Restschuldbefreiung gebe.

Urteil des OLG Stuttgart (9 U 24/22) – Klage auf Löschung wurde abgelehnt

Begründung:

Datenverarbeitung nach Art. 6 Abs. 1 lit. f) DSGVO zulässig.

Danach muss die im Rahmen der nach Art. 6 Abs. 1 lit. f) DSGVO vorzunehmenden, konkreten Interessenabwägung zugrunde zu legenden Interessen der Betroffene selbst darlegen. Denn aus der Formulierung der Verarbeitungsbeschränkung in Art. 6 Abs.1 lit. f), 2. Halbs. DSGVO „[…] sofern nicht […]“ ergibt sich ein - vom Betroffenen zu widerlegendes - Regel-Ausnahme-Verhältnis für die Zulässigkeit der zur Wahrung berechtigter Interessen erforderlichen Datenverarbeitung. Diese ist nach Art. 6 Abs. 1 lit. f) DSGVO gerade dann rechtmäßig i. S. d. Art. 5 Abs. 1 DSGVO, wenn sie zur Wahrung berechtigter Interessen erfolgt und die Interessen und Rechte der betroffenen Person nicht überwiegen. Nach der Systematik ist die Verarbeitung also immer dann rechtmäßig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist, selbst wenn Interessen des Betroffenen gegenüberstehen, solange diese nur gleichwertig sind.

Sie wird erst dann rechtswidrig, wenn die Interessen und Rechte des Betroffenen überwiegen, wofür folglich er die Darlegungs- und Beweislast trägt
(so auch Paal/Pauly, Frenzel, aaO., Art. EWG_DSGVO Artikel 6 DS-GVO, Rn. 31; vgl. auch Gola, Schulz, DS-GVO, aaO., Art. 6, Rn. 58).

Vorliegend konnte der Kläger kein überwiegendes Interesse und keine überwiegenden Rechte nachweisen.

Ergebnis:

Die Verarbeitung durch die Beklagte erfolgte aus Art. 6 Abs. 1 lit. f) DSGVO zur Wahrung ihrer eigenen sowie der berechtigten Interessen ihrer Vertragspartner als Dritte, ohne dass überwiegende Interessen des Klägers dem entgegenstehen würde.

(Vorzeitiger) Löschungsantrag ist gescheitert.

Gegenteilige Auffassung:

OLG-Schleswig, Urteil vom 02.07.2021

Die Sache ist vor dem BGH anhängig!

Urteil des OLG Stuttgart (9 U 24/22) – Klage auf Löschung wurde abgelehnt

Fazit:

Eine Verarbeitung personenbezogener Daten, wird erst dann rechtswidrig, wenn die Interessen und Rechte des Betroffenen überwiegen, wofür folglich er die Darlegungs- und Beweislast trägt (so auch Paal/Pauly, Frenzel, aaO., Art. EWG_DSGVO Artikel 6 DS-GVO, Rn. 31; vgl. auch Gola, Schulz, DS-GVO, aaO., Art. 6, Rn. 58).

Stand: 14.09.2022

Braucht man bei der Nutzung eines CDN zwingend einen AV-Vertrag mit dem Anbieter? 

Ist ein AV-Vertrag nach Art. 28 DSGVO nötig?

Wir hatten im Datenschutz-Weekly hier schon einmal die Frage zu Cloudflare beantwortet (siehe FAQ Datenschutz)

Die Antwort war: wenn personenbezogene Daten über den Dienst erhoben werden, sind alle DSGVO-Vorgaben einzuhalten. Im Falle von Cloudflare ist die Rechtslage unsicher, der TÜV-Süd ist hier den Weg über die technisch-notwendigen Cookies gegangen.

LG Braunschweig: Cookiebot über ein CDN (Content Delivery Networks) ist unzulässig

CDN-Leistungen könnten auch als TK-Leistungen eingeordnet werden und wären dann über § 6 TTDSG priviligiert.
Damit wäre das nicht primär ein Datenschutz-Thema.

Ansonsten gilt, was für den DSGVO-konformen Einsatz von Tools notwendig ist:

  • Einwilligungen der Nutzer in Cookies
  • AV-Vertrag abschließen
  • Standardvertragsklauseln abschließen (bei US-Anbieter) und
  • Datenschutzerklärungen anpassen

Stand: 27.07.2022

Wie lange müssen/dürfen Personaldaten aufgehoben werden?   

Was steht in der DSGVO bzgl. der Aufbewahrung von personenbezogenen Daten?

Art. 5 DSGVO - Grundsätze für die Verarbeitung personenbezogener Daten (Grundsatz der Datenminimierung)

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2)  Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Wie lange müssen/dürfen Personaldaten (Allgemeine Daten, Zeitbuchungsdaten, Urlaub, Krankheit) aufgehoben werden? 

§ 26 BDSG - Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

(1) Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Beispiele für weitere Rechtsgrundlagen zu Aufbewahrungspflichten, die neben der DSGVO einzuhalten sind

  • § 195 BGB – Personaldaten müssen 3 Jahre lang aufbewahrt werden (--> erst danach können durch ehemalige Mitarbeiter in der Regel keine arbeitsrechtlichen Ansprüche mehr geltend gemacht werden)
  • Verdienstabrechnungen (6 Jahre), Lohnunterlagen (10 Jahre)
  • Lohnnachweise über Arbeitsstunden und Entgelt (5 Jahre), betrieblichen Altersvorsorge (6 Jahre)

Stand: 27.07.2022

Welche Informationen sind in einer Signatur verpflichtend? 

Pflicht zur E-Mail-Signatur - Rechtsgrundlagen:

  • Selbständige, die im Handelsregister eingetragen sind, § 37a Abs. 1 Handelsgesetzbuch (HGB)
  • Gesellschaft mit beschränkter Haftung (GmbH) und Unternehmergesellschaft (haftungsbeschränkt) (UG), § 35a GmbHG
  • Aktiengesellschaft (AG), § 80 AktG.
  • Offene Handelsgesellschaft (OHG), § 125a Abs. 1 HGB
  • Kommanditgesellschaft (KG), §§ 177a, 125a HGB
  • Genossenschaften (Gen), § 25a GenossenschaftsG

Welche Angaben müssen enthalten sein?

  • Firmenname
  • Adresse/Sitz des Unternehmens/der Gesellschaft
  • Rechtsform
  • Registergericht und Registernummer
  • Gegebenenfalls (je nach Gesellschaftsform): Vertretungsbefugte (auch stellvertretende) Geschäftsführer, Aufsichtsratsvorsitzende,  Vorstandsvorsitzende (alle jeweils mit Vor- und Nachnamen),
    Zweigniederlassungen im Ausland, Land der Registrierung   

 Die DSGVO findet hier keine Anwendung!

Muss in der E-Mail-Signatur, die vom zentralen E-Mail-Postfach eines Unternehmens versendet wird, der Name des Mitarbeiters mit seiner persönlichen Telefonnummer stehen?

Nein, weder der Name noch die persönliche Durchwahlnummer des Mitarbeiters sind Pflichtangaben in der E-Mail-Signatur. Eine allgemeine Nummer der Telefonzentrale sowie der Firmenname sind ausreichend. Datenschutzrechtlich ist das unproblematisch, da auf Datenminimierung geachtet wird und für die (interne) Verarbeitung  eine Rechtsgrundlage vorliegt. 

Wie ist das datenschutzrechtlich zu sehen, wenn das Unternehmen den Namen, geschäftliche Telefonnummer und E-Mail-Adresse des Mitarbeiters bei der Kommunikation mit Kunden angeben möchte?

Es gibt kein Recht auf Anonymität für Mitarbeiter.

Der Punkt unterliegt dem Weisungsrecht des Arbeitgebers. Die datenschutzrechtlichen Grundsätze sind aber natürlich einzuhalten.

Stand: 03.05.2023

Darf man Impressum, AGB und Datenschutzerklärung unter einen Punkt zusammenfassen? 

§ 5 Allgemeine Informationspflichten Telemediengesetz (TMG)

  • Impressum: Informationspflichten über den Diensteanbieter (= idR. der Webseitenbetreiber), vgl. § 5 TMG, §18 Abs. 2 MStV
  • Datenschutzerklärung: klärt über die Verarbeitung personenbezogener Daten auf; Möglichkeit insbesondere den Informationspflichten nach Art. 12, 13 DSGVO nachzukommen
  • AGB: Allgemeine Geschäftsbedingungen eines Unternehmens (-teils)

Welche Vorgaben sind zu beachten?

  • Leichte Auffindbarkeit --> Impressum und Datenschutzerklärung müssen von jeder Seite aus verlinkt sein
  • Eindeutige Kennzeichnung ist erforderlich --> Nutzer muss sofort erkennen können, wo diese Hinweise zu finden sind
  • Eine Zusammenfassung von Impressum und Datenschutzerklärung ist grundsätzlich möglich, sofern bei der Navigation beide Begriffe explizit genannt sind und deutlich erkennbar sind, dass beide Dokumente hier zu finden sind

Unsere Empfehlung:

  • Impressum und Datenschutzerklärung können – müssen aber nicht – auf jeweils auf eigenen Seiten zur Verfügung gestellt werden. Entscheidend ist die transparente Kennzeichnung in der Navigation („Impressum und Datenschutz“)
  • Für AGB gilt dasselbe. Sofern AGB überhaupt auf die Website müssen, können diese (müssen aber nicht) auf einer separaten Seite dargestellt werden. Der Übersichtlichkeit halber empfiehlt sich hier aber wohl eine eigene Unterseite;

Dürfen Impressum, Datenschutzerklärung und AGB auch als PDF in die Website eingefügt sein?

Die Vorgabe, dass das Impressum und die Datenschutzerklärung von jeder einzelnen Unterseite einer Website (egal ob mit Desktop/Mobilgerät) mit maximal zwei Klicks erreichbar sein muss, muss jederzeit zwingend eingehalten werden.

Unsere Empfehlung:

  • Impressum und Datenschutzerklärung immer im HTML-Format einbinden und nicht als PDF
  • Nur so kann sichergestellt werden, dass jeder Nutzer mit jedem Gerät immer darauf zugreifen und es lesen kann
    (z.B. auch bei fehlenden PDF-Readern am Smartphone)
  • Es besteht keine Pflicht, AGB auf der Website bereitzuhalten. Als Kundenservice ist das Zurverfügungstellen der AGB jedoch als PDF zum Ausdrucken für manche Websitebetreiber empfehlenswert und bringt ggf. einen Mehrwert für den Kunden

Stand: 27.07.2022

Ist das Erfassen von Objekten mit einem optischen Sensor datenschutzkonform? 

Die DS-GVO schützt personenbezogene Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Art. 2 Abs. 1 DSGVO

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Konkrete Frage:

Ist das Erfassen von Objekten mit einem optischen Sensor, der die Pixeldaten weder als Datei abspeichern noch an einem Monitor anzeigen kann, datenschutzkonform?

Beck-Kommentar hierzu: Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 2 Rn. 2-10:

Der Begriff Dateisystem (filing system), der im Vorentwurf noch „Datei“ hieß (so wie auch in Art. 2c DSRL), wird definiert in Art. 4 Nr. 6 (→ Art. 4 Rn. 52 ff.) als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“. … Letztlich sind Dateisysteme idS Sammlungen personenbezogener Daten, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können (vgl. Art. 2c DSRL).

Erwägungsgrund 15 zur DSGVO: Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.

Das heißt: der Anwendungsbereich der DSGVO ist eröffnet, es handelt sich nicht um rein anonyme Daten oder Ähnliches.

Damit müssen alle Vorgaben der DSGVO eingehalten werden, vor allem Informationspflichten, Auskunftspflichten, etc. Wenn das der Fall ist, können auch optische Sensoren datenschutzkonform eingesetzt werden.

Die korrekte Fragestellung müsste jedoch lauten:

Paal/Pauly/Ernst DS-GVO Art. 2 Rn. 2-10:

Die DS-GVO gilt neben der ganz oder teilw. automatisierten Datenverarbeitung auch für die nicht automatisierte Verarbeitung personenbezogener Daten, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Der Schutz natürlicher Personen soll schließlich neben der automatisierten gleichermaßen auch die manuelle Verarbeitung von personenbezogenen Daten umfassen (ErwGr 15). Dies gilt allerdings nur dann, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen (ErwGr 15). Die nicht automatisierte Verarbeitung von Daten bezieht sich allein auf den analogen Bereich (insbes. auf Papier).

Das heißt: Speicherung in ein Dateisystem ist nur für die nichtautomatisierte Verarbeitung ein Kriterium. Für die automatisierte Verarbeitung (wie in unserem Fall) gilt die DSGVO auch dann, wenn keine klassische Speicherung in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Das heißt, die Frage muss lauten: Ist der Anwendungsbereich der DSGVO eröffnet, wenn Objekte mit einem optischen Sensor erfasst werden, der die Pixeldaten weder als Datei abspeichert noch an einem Monitor anzeigen kann?

Ab wann ist bei der automatisierten Verarbeitung von Daten kein Personenbezug mehr gegeben?

  • Was sagen die Gerichte dazu?
  • Was hätte das für Konsequenzen?

Was sind personenbezogene Daten?

Art. 4 Ziff. 1 DSGVO:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …“

Entscheidend ist, ob eine Angabe einer bestimmten Person zugeordnet werden kann, bzw. wenn der Betroffene mit Referenzdaten ermittelt werden kann. Erst bei absoluter Unmöglichkeit, einen Zusammenhang zwischen einem Datum und einer natürlichen Person herzustellen, fehlt es an der Bestimmbarkeit. Problematisch ist einerseits die Frage, ob auch eine „praktische Irrelevanz“ hierzu ausreicht, andererseits aber jene, ob von einer solchen angesichts der technischen Verknüpfungsmöglichkeiten, die moderne Computersysteme bieten, überhaupt noch gesprochen werden kann., vgl. Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13

Ab wann ist bei der automatisierten Verarbeitung von Daten kein Personenbezug mehr gegeben?

Inwieweit braucht es konkretes Zusatzwissen, damit man von einem Personenbezug sprechen kann? Beispiel IP-Adresse: für Provider kann sie ohne Weiteres einem Nutzer zuordnen. Das ist bei Speicherung durch Dritte nicht der Fall.

EuGH (EuGH ZD 2017, 24 Rn. 46 ff): bei einem gesetzlichen Verbot oder einer praktischen Undurchführbarkeit aufgrund unverhältnismäßigem Aufwands ist das Risiko einer Identifizierung vernachlässigbar. (Aber: schon bei einem Anbieter von Onlinediensten in Bezug auf dynamische IP-Adressen ist ein solches Hindernis nicht gegeben), Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13

Die Verwendung des Begriffs „indirekt“ durch den Unionsgesetzgeber deutet darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht. Rn 41

Stand: 27.07.2022

Wer muss Aufwandsentschädigungen zahlen? 

Konkrete Ausführung der Frage:

Ein Dienstleister beschreibt in seinem AV folgenden Punkt:

7.3 im AVV
Durch Kontrollen entstehende Kosten trägt der Auftraggeber, dies umfasst auch eine Aufwandsentschädigung für die Arbeitszeit des vom Auftragnehmer beanspruchten Personals.

_______________________________________________________

Nach unserer Auffassung muss dieser Punkt aus dem AV gestrichen werden. Begründung: Aus der Verantwortlichkeit für die Einhaltung der datenschutzrechtlichen Anforderungen ergibt sich die Pflicht des Verantwortlichen, den Auftragsverarbeiter im erforderlichen Umfang zu überprüfen. Er muss sich grundsätzlich fortlaufend von der Einhaltung der zugesagten technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter überzeugen. Dementsprechend muss der Auftragsverarbeiter Überprüfungen ermöglichen und dazu beitragen (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO). Diese gesetzlich vorgeschriebene Mitwirkungspflicht darf grundsätzlich nicht von einem gesonderten Entgelt abhängig gemacht werden.

Was regelt die DSGVO zum Thema Auftragsverarbeiter?

Art. 28 DSGVO Auftragsverarbeiter

„...

(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. 2Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. …“

Ist eine solche Vergütungsklausel im AV-Vertrag zulässig?

Wir teilen Ihre Meinung!

Ein weiters Argument für diese Auffassung: Die Vergütungsklausel könnte eine unangemessene Benachteiligung nach § 307 Abs. 2 BGB darstellen, womit die Klausel auch AGB-rechtlich unzulässig wäre.

Begründung:

Bei Auftragsverarbeitungsverträgen nach Art. 28 DSGVO handelt es sich fast immer um vorformulierte Vertragsbedingungen. Es gibt im AGB-Recht nur enge Grenzen, innerhalb derer von den gesetzlichen Regelungen abgewichen werden dürfen. Da nach Art. 28 DSGVO grundsätzlich dem Auftraggeber das Recht zusteht, seine Kontrollmaßnahmen durchzuführen, kann ihm die Ausübung dieses Rechts nur in sehr engen Grenzen erschwert werden. Insbesondere die Übernahme der Personalkosten des Auftragsverarbeiters ist daher aus unserer Sicht mit der Regelung in Art. 28 Abs. 3 lit. h) DSGVO unvereinbar und damit eine unangemessene Benachteiligung i.S.d. § 307 Abs. 2 Nr. 1 BGB. Damit wäre diese Klausel unwirksam.

Wie ist nun in so einem Fall vorzugehen?

Drei Möglichkeiten:

  1. In einem Standardvertrag kann die Klausel eventuell stillschweigend angenommen – und später dann AGB-rechtlich angegriffen werden, wenn sich der Auftragsverarbeiter bei einer Rechnungstellung darauf stützen möchte.
  2. Klausel aus dem Vertrag rausverhandeln, damit Klarheit herrscht (beste Lösung!)
  3. Falls 2. nicht möglich ist, weil sich Vertragspartner widersetzt oder ein großer Player ist, der AV-Verträge generell nicht verhandelt: Vertrag annehmen, aber dieser einen Klausel konkret widersprechen.

Stand: 20.07.2022

Muss eine Auskunft vom Verantwortlichen in Deutschland immer in deutsch erfolgen? 

Zur Sprache der Auskunft haben wir keine Vorgaben gefunden, aber zu den Informationspflichten nach DSGVO:

„Grundsätzlich müssen die Informationen für den jeweiligen Betroffenen nach Art. 12 Abs. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Hierzu gehört es, die Informationen in der gängigen Sprache des Landes zur Verfügung zu stellen, an das sich das Online-Angebot richtet. Die Europäischen Datenschutzaufsichtsbehörden gehen im Working Paper 260 unter Randziffer 13 davon aus, dass eine Übersetzung dann erfolgen sollte, wenn sich das Angebot an Personen mit einer entsprechenden Sprache richtet. Daraus folgt unsere Empfehlung, eine Übersetzung in jede Sprache des Landes vorzunehmen, an das sich der Onlineshop richtet. …

Sofern ein Online-Shop seine Waren in Europa nicht durchgängig in englischer Sprache, sondern auch in einzelnen Landessprachen der europäischen Union anbietet, muss er sicherstellen, dass die Datenschutzinformationen in der jeweiligen Landessprache vorgehalten werden und Auskunftsbegehren ebenfalls in der jeweiligen Landessprache erfolgen können.“

Mehr Infos beim LDA Bayern

Stand: 20.07.2022

Kann ein Betroffener Auskunft über TOMs verlangen? 

Was regelt die DSGVO zu den technischen und organisatorischen Maßnahmen?

Art. 32 DSGVO: Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Was regelt das BDSG-neu zu den technischen und organisatorischen Maßnahmen?

§ 64 BDSG: Anforderungen an die Sicherheit der Datenverarbeitung

(3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),

2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),

3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),

4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),

5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),

6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),

7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),

8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),

9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),

10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),

11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),

12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).

Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden

Was regelt die DSGVO das Thema Auskunft von Verantwortlichen?

Art. 15 DSGVO:

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) …“

Das heißt:  der Verantwortliche ist zur Auskunft nach den gesetzlichen Vorgaben verpflichtet. 

Kann ein Betroffener Auskunft über TOMs von dem Verantwortlichen verlangen?

Betroffenenrechte: Recht auf

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
  • Recht darauf, keiner automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO)
  • Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO i.V.m. § 19 BDSG)

Diese Rechte sind abschließend. In Frage kommt hier nur Art. 15 DSGVO.
Dieser umfasst keine Auskunft über TOMs.

Stand: 20.07.2022

Was ist bei der „Präventionsprüfung zum Thema Absicherung von E-Mail-Accounts“ des BayLDA  zu beachten? 

Was steht in dem Schreiben des BayLDA zur „Präventionsprüfung zum Thema Absicherung von E-Mail-Accounts“? 

Prüfbogen des BayLDA

  1. Phishing-Awareness und allgemeines Sicherheitsbewusstsein
  2. Passwörter, Mehr-Faktor-Authentifizierung und Benutzerverwaltung
  3. Administrative Pflege der Accounts und Konfiguration
  4. Überprüfung des Datenverkehrs
  5. Device und Patch Management sowie Backup-Konzept

Was gibt es bei der Antwort Wichtiges zu beachten?

Zu beachten:

Ja, es ist innerhalb der gesetzten Frist Stellung zu nehmen. Der Antwortbogen ist online unter www.lda.bayern.de/kontrolle auszufüllen und Begründungen sind ebenfalls online einzureichen.
Keine schriftliche Einreichung nötig!

Die Handreichung durchlesen und eventuelle Begründungen damit abgleichen.

Den IT-Sicherheitsbeauftragten und den Datenschutzbeauftragten in die Antwort miteinbinden.

Stand: 20.07.2022

Gilt die DSGVO auch für private Vermieter? 

Ich bin Vermieter einer Privatwohnung, die von einer WEG verwaltet wird.
Ist die DSGVO für mich als Vermieter anwendbar? Was muss ich als Vermieter alles einhalten?

Ist die DSGVO für mich als Vermieter anwendbar?

LG Wiesbaden, Urteil vom 30.09.2021 - 3 S 50/21

Sachverhalt:

  • ein Mieter klagte auf Auskunft nach Art. 15 DSGVO gegen seine Vermieterin, nachdem er erfuhr, dass seine Betriebskostenabrechnung von einer beauftragten GmbH erstellt wurde und der Ehemann der Vermieterin seine Mobilfunknummer und Namen abgespeichert hatte.

Entscheidung:

  • Der Auskunftsanspruch des Mieters wurde auch in der Berufung bestätigt. Insbesondere sei der Anwendungsbereich der DSGVO eröffnet, es finde eine Verarbeitung personenbezogener Daten statt, die Haushaltsausnahme aus Art. 2 Abs. 2 lit. c DSGVO greife nicht. 

Folge aus dem Urteil des LG Wiesbaden, Urteil vom 30.09.2021 - 3 S 50/21

  • Bei Mietverhältnissen (vor allem, wenn nicht nur eine einzige Wohnung vermietet wird) werden personenbezogene Daten verarbeitet, z.B. Schufa-Auskunft, Handynummer, Nebenkostenabrechnung, SEPA-Lastschriftdaten, deshalb greift auch hierfür die DSGVO
  • --> Informationspflicht und Dokumentationspflicht seitens des Vermieters, wie mit Daten umgegangen wird, welche Daten weitergegeben und welche Daten gespeichert werden à Mietern steht grundsätzlich ein Auskunftsanspruch gemäß Artikel 15 DSGVO zu

Was muss ich als Vermieter alles einhalten?

  • Derzeit herrschende Meinung: Alle Regelungen der DSGVO müssen jederzeit eingehalten werden
  • Die Regelungen der DSGVO müssen vor/während/ggf. noch nach Beendigung des Mietverhältnisses beachtet werden, z.B.
    • Vor Mietbeginn: E-Mail Verkehr für die Vereinbarung eines Besichtigungstermins,
      Schufa-Auskunft, etc.
    • Während des Mietverhältnisses: Telefonnummer, Adresse, Name, SEPA-Mandat, Nebenkostenabrechnung, etc.
    • Nach Beendigung des Mietverhältnisses: Name und neue Adresse für Nebenkostenabrechnungen des Vorjahres, steuerliche Aufbewahrungsfristen, etc.

Diese rechtliche Würdigung kann kritisch gesehen werden, vor allem, wenn steuerrechtlich eine private Vermögensverwaltung gegeben ist.

Stand: 13.07.2022

Wann braucht man einen Kündigungsbutton? 

Was ist der rechtliche Hintergrund zum Gesetz für faire Verbraucherverträge?

  • Zum 01.10.2021 traten bereits Teile des Gesetzes für faire Verbraucherverträge in Kraft
  • Es gab Neuregelungen bei Dauerschuldverhältnissen und automatischen Vertragsverlängerungen
  • Zusätzlich wurde dadurch auch eine neue Online-Kündigungsmöglichkeit geschaffen, durch die Regelungen zur „Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr“, § 312k BGB.
  • Seit dem 01. Juli 2022 treffen damit jeden Unternehmer, der Verbrauchern ermöglicht, über eine Website einen Vertrag über ein Dauerschuldverhältnis zu schließen, bestimmte Pflichten, die dem Verbraucher die Kündigung erleichtern sollen

Welche Anforderungen muss ein Kündigungsbutton erfüllen?

  • Die Pflicht betrifft Dauerschuldverhältnisse. Das sind Schuldverhältnisse, die nicht auf eine einmalige Leistungserbringung gerichtet sind, sondern auf gewisse Dauer angelegt sind und ständig neue Leistungspflichten entstehen lassen
  • Es muss eine Kündigungsschaltfläche implementiert werden, über die der Kunde kündigen kann
  • Der Button muss gut lesbar sein
  • Der Button muss mit der Formulierung „Verträge hier kündigen“ oder einer entsprechenden eindeutigen Formulierung beschriftet sein, vgl. § 312k Abs.2 BGB
  • Nach dem Klick auf diese Schaltfläche muss der Kunde zu einer Bestätigungsseite geführt werden
  • Die Schaltfläche muss ständig verfügbar sowie unmittelbar erreichbar und leicht zugänglich sein (vgl. Impressum)
  • Der Verbraucher muss die Kündigungserklärung mit Datum und Uhrzeit auf einem dauerhaften Datenträger speichern können; dabei muss erkennbar sein, dass die Erklärung über die Schaltfläche abgegeben worden ist
  • Der Unternehmer muss dem Verbraucher sofort auf elektronischem Weg die Kündigung unter Angabe folgender Daten bestätigen:
    • Inhalt der Kündigungserklärung,
    • Datum und Uhrzeit des Zugangs der Kündigungserklärung
    • Zeitpunkt, zu dem das Vertragsverhältnis beendet werden soll
  • --> Bei Nichteinhalten hat der Kunde ein jederzeitiges sofortiges Kündigungsrecht!

Gilt die Anforderung an den Kündigungsbutton auch für Verbände/Vereine in Bezug auf die Mitgliedschaft?

BGB: § 312k Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr

Vertrag zwischen Unternehmer und Verbraucher: Definition des Unternehmers in § BGB 14 :
Vereine fallen darunter.

Begründung eines Dauerschuldverhältnisses: Mitgliedschaft ist ein Dauerschuldverhältnis

Vertrag muss im elektronischen Geschäftsverkehr abgeschlossen worden sein:
Definition in BGB: § 312i Allgemeine Pflichten im elektronischen Geschäftsverkehr

(1) Bedient sich ein Unternehmer zum Zwecke des Abschlusses eines Vertrags über die Lieferung von Waren oder über die Erbringung von Dienstleistungen der Telemedien (Vertrag im elektronischen Geschäftsverkehr), hat er dem Kunden

  1. angemessene, wirksame und zugängliche technische Mittel zur Verfügung zu stellen, mit deren Hilfe der Kunde Eingabefehler vor Abgabe seiner Bestellung erkennen und berichtigen kann.

--> Vereinsmitgliedschaft ist keine Ware und auch keine Dienstleistung!
--> kein Kündigungsbutton erforderlich!

Stand: 13.07.2022

Ist ein https-Protokoll verpflichtend? 

Welche Rechte kann man als Besucher einer Website aus der Tatsache ableiten, dass der Seitenbetreiber nur ein http – Protokoll zum Aufruf der Seite anbietet – und nicht ein (verschlüsseltes) https-Protokoll?

Sowohl die DSGVO, das BDSG als aus das TTDSG schützen grundsätzlich personenbezogene Daten beim Website-Besuch. Die Regelungen im TTDSG stammen ursprünglich aus dem IT-Sicherheitsgesetz (das Regelungen für das TMG (alte Fassung) enthielt).

§ 19 Abs. 4 TTDSG regelt, dass Sicherheits-Vorkehrungen für Telemedien zu treffen sind. „Eine Vorkehrung nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

  • Verschlüsselungsverfahren sind an dem Präfix „https://“ in der URL der Website erkennbar(statt „http://“)
  • https = Hypertext Transfer Protocol Secure 
  • Die Verwendung des https-Verfahrens gewährleistet, dass Daten für Dritte nicht lesbar sind (z.B. beim Online-Shopping, Kontaktformularen, Einträgen in Diskussionsforen etc.). Es wird eine geschützte Verbindung zwischen Browser und Server aufgebaut.

Wie kann ich diese Rechte als Betroffener geltend machen?

Mögliche Ansprüche, wenn eine besuchte Website nicht mit dem https-Protokoll verschlüsselt ist:

  • Unterlassungsanspruch: dass in Zukunft keine Weitergabe personenbezogener Daten ohne Einwilligung stattfindet bzw., dass bei Verarbeitung personenbezogener Daten technische und org. Maßnahmen zu treffen sind.
  • Auskunft, welche personenbezogenen Daten verarbeitet wurden bzw. wie lange schon keine SSL-verschlüsselung vorliegt
  • Schadensersatz, z.B. in Form von Schmerzensgeld, Art. 82 DSGVO

Vorgehensweise (wahlweise oder kumulativ):

  • Auskunftsanfrage
  • Abmahnung
  • und/oder zivilrechtliche Klage

Art. 19 Abs.1 TTDSG dürfte dabei ein einklagbares Recht darstellen.

Sowie Beschwerde bei der Aufsichtsbehörde, vgl. § 28 Abs. 1 Ziff. 10 TTDSG.

Stand: 13.07.2022

Was steht im DSK Beschluss bzgl. der Deaktivierung von Facebook-Fanpages? 

Was steht im DSK Beschluss vom 23.03.2022 bzgl. der Deaktivierung von Facebook-Fanpages?

DSK Beschluss vom 23.03.2022

Inhalt:

„Aufgrund ihrer Vorbildfunktion stehen öffentliche Stellen zuvörderst im Fokus. Deshalb werden die Mitglieder der DSK im Rahmen ihrer Zuständigkeit

  • die obersten Landes- bzw. Bundesbehörden über den Inhalt des Kurzgutachtens zeitnah informieren,
  • überprüfen, ob Landes- bzw. Bundesbehörden Facebook-Fanpages betreiben,
  • darauf hinwirken, dass von Landes- bzw. Bundesbehörden betriebene Facebook-Fanpages deaktiviert werden, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können.

      Dieser Nachweis betrifft vor allem

  • den Abschluss einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit mit Facebook, - ausreichende Informationen über die gemeinsamen Datenverarbeitungen gegenüber den die Fanpages Nutzenden gemäß Art. 13 DSGVO,
  • die Zulässigkeit zur Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf diese Informationen gemäß § 25 TTDSG sowie
  • die Zulässigkeit der Übertragung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten.“

Welche strafrechtlichen Konsequenzen und Schadensersatzforderungen wären denkbar?

Ein nicht rechtskonformer Betrieb einer Fanpage wäre im nicht-öffentlichen Bereich wohl bußgeldbewehrt.

Gegen öffentliche Stellen können jedoch keine Bußgelder verhängt werden --> somit kein Druck seitens öffentlicher Stellen, ihre Facebook Fanpages zu deaktivieren?

  • Nach Art. 23 Abs. 1 und 2 BayDSG wären jedoch strafrechtliche Konsequenzen für den Verantwortlichen bzw. dessen Vertreter
    (z.B. Bürgermeister) denkbar:
  • Art. 42 BDSG
  • 202 a ff. StGB, Ausspähen von Daten
  • Mögliche Schadensersatzforderungen von Betroffenen wären zu stützen auf:
  • Amtshaftungsansprüche gegen den Staat, § 838 BGB, Art. 34 GG, Prüfungsschema

Stand: 06.07.2022

Was steht im neuen Bayerischen Digitalisierungsgesetz? 

Gesetzesentwurf (Landtags-Drucksache 18/19572)

Was soll das Bayerische Digitalgesetz bringen?

  • Schaffen eines allgemeinen Rechtsrahmens für die Digitalisierung
    (E-Government voranbringen --> z.B. digitaler Behördengang)
  • Unternehmen = wichtigste Nutzer
    --> Fokus auf Digitalisierung der Verwaltung
  • Digital-Check als Standardverfahren für alle Rechtsnormen
    --> Bürokratieabbau

Ab wann gilt das neue Bayerische Digitalisierungsgesetz?

Der Gesetzesentwurf der Staatsregierung über die Digitalisierung im Freistaat Bayern (Bayerisches Digitalgesetz – BayDiG) (Drucksache 18/19572) ist noch nicht verabschiedet.

Ab wann das Gesetz in Kraft tritt, ist daher noch unklar.

Stand: 06.07.2022

Müssen Kunden bei Asset-Deals über die Weitergabe von Daten informiert werden? 

Ein Mandant betreibt einen Online-Shop und ein Filialgeschäft. Nun werden die beiden getrennt in jeweils eigenen GmbHs weiterbetrieben. Müssen die Kunden des Onlineshops darüber informiert werden und muss der Weitergabe der Daten in die neue GmbH ein Widerspruchsrecht eingeräumt werden?

Müssen die Kunden des Onlineshops darüber informiert werden? 

Der Sachverhalt beschreibt wahrscheinlich einen Asset-Deal. Bei Asset-Deals gibt es einen neuen Verantwortlichen im Sinne des Art. 4 Ziff. 7 DSGVO (im Gegensatz zum Share-Deal, bei dem lediglich Anteile des Unternehmen veräußert werden und deshalb der Verantwortliche gleich bleibt).  

Beim Asset-Deal braucht man somit eine Anspruchsgrundlage, um die personenbezogenen Daten auf das neue Unternehmen übertragen zu können.

Mögliche Anspruchsgrundlagen:

1. Einwilligung, Art. 6 Absatz 1 Satz 1 lit. a DSGVO: oft schwierig umzusetzen in der Praxis

2. Bei Bestandkunden mit laufenden Verträgen oder zur Aufbewahrung der Kundendaten: Art. 6 Abs. 1 Satz 1 lit. b DSGVO

3. Widerspruchslösung bei berechtigtem Interesse: Art. 6 Abs. 1 Satz 1 lit. f DSGVO, sofern die Übertragung der Daten erforderlich ist und die Interessen der jeweiligen Betroffenen nicht überwiegen. Interessenabwägung!

Egal auf welche Rechtsgrundlage die Übertragung gestützt wird: Art. 13, 14 DSGVO sind in jedem Fall einzuhalten à Information an Betroffenen innerhalb eines Monats.

Ergebnis: Ja, Information ist in jedem Falle notwendig.

Muss für die Weitergabe der Daten in die neue GmbH ein Widerspruchsrecht eingeräumt werden?

Eventuell.

  • Entscheidend ist, ob die einzige Rechtsgrundlage, die zur Übertragung der Daten gefunden werden kann, Art. 6 Abs. 1 Satz. 1 lit. f) DSGVO ist.  

Falls ja, ist bereits vor der Übertragung der Daten jeder Betroffene anzuschreiben und nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO im Wege der Widerspruchslösung
(Opt-out-Modell) mit einer ausreichend bemessenen Widerspruchsfrist
(in jedem Fall 4, besser 6 Wochen) zu informieren.

Stand: 06.07.2022

Welche gesetzlichen Anforderungen werden an die Einwilligung zur Verwendung von Bildern mit Personen drauf gestellt? 

Alle Informationen zum Thema Einwilligung, Löschung von Fotos und Bildern und zum Thema Model-Release-Vertrag finden Sie in unserem Blog.

Google Tag Manager: kann dieser datenschutzkonform eingesetzt werden? 

Ausführliche Informationen über den Google Tag Manager finden Sie in unserem Blog.

Welche Angaben gehören in ein Impressum  bzgl. der Rechtsgrundlage der Verantwortlichkeit? 

Man findet oft folgende Hinweise:

1.      Gemäß §55 Abs. 2 RStV

2.      Gemäß §18 Abs. 1 MStV

3.      Gemäß § 6 MDStV

Aber was ist nun richtig?

Die Pflicht zur Angabe des Verantwortlichen ergibt sich aus § 5 TMG. Der Mediendienste-Staatsvertrag (MDStV) trat 2007 außer Kraft und wurde komplett ersetzt durch das TMG.

Zusätzlich gibt es die Pflicht, den redaktionell-journalistisch Verantwortlichen zu benennen (sofern vorhanden). Hier ist richtig der Hinweis auf § 18 Abs. 2 MStV. Er hat § 55 Abs. 2 RStV abgelöst, der Rundfunkstaatsvertrag wurde am 07.11.2020 aufgehoben.

Welche Angaben müssen Diensteanbieter (z.B. Kommunen, Unternehmen, Vereine, etc.) im Impressum machen?

Impressum nach § 5 TMG:

  • Name (bei natürlichen Personen = Vor- und Nachname;
    bei Unternehmen = Unternehmensname + vollständiger Name des Vertretungsberechtigten
  • Rechtsform (bei juristischen Personen oder Personengesellschaften)
  • Anschrift (Straße, Hausnummer, Postleitzahl, Ort)
  • E-Mail-Adresse
  • Telefonnummer
  • Umsatzsteuer- oder Wirtschaftssteuer-Identifikationsnummer (nicht: Umsatzsteuernummer!!)
  • Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister mit Registernummer
  • Ggf. Angaben zur Aufsichtsbehörde

Beispiel für ein korrektes Impressum

Zusätzlich muss beachtet werden, dass nach § 5 Abs. 2 TMG „weitergehende Informationspflichten nach anderen Rechtsvorschriften unberührt bleiben“. Somit ist auch ein Hinweis auf die Online-Streitbeilegungsplattform der Europäischen Kommission und ob eine Teilnahme daran in Betracht kommt, notwendig. Dies ergibt sich aus Art. 14 I S. 1 VO (EU) Nr. 524/2013, § 36 VSBG. Der Link zur Plattform muss leicht auffindbar sein, sodass sich die Platzierung im Impressum anbietet.

Stand: 29.06.2022

Im Rahmen der AVV-Anforderung wurde mitgeteilt, dass kein AVV benötigt wird, da das Unternehmen als „vollständig in eigener Verantwortung“ handelt. Wie ist das zu beurteilen? 

Folgende Ausführungen wurden zur Erläuterung, man brauche keinen AV-Vertrag, gegeben:

NDL (=Neuer DienstLeister) als Datenverantwortlicher

Bei einer möglichen Zusammenarbeit fungiert NDL technisch gesehen nicht als Datenverarbeiter. NDL ist ein für die Verarbeitung Verantwortlicher, der die Zwecke und Mittel der Verarbeitung festlegt. Dies schränkt unsere Bereitschaft oder Verpflichtung, die Anforderungen der DSGVO zu erfüllen und den Schutz der Rechte der betroffenen Personen zu gewährleisten, nicht ein, ganz im Gegenteil.

Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) verlangt nur dann einen Vertrag, der für den Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen verbindlich ist und in dem die Einzelheiten der Verarbeitung festgelegt sind, wenn die Verarbeitung im Auftrag eines für die Verarbeitung Verantwortlichen erfolgt (Art. 28 Abs. 1 und 3 DSGVO). Dies gilt nicht, wenn der Auftragnehmer in eigener Verantwortung über die Art und Weise der Datenverarbeitung entscheiden soll.

NDL ist ein unabhängiges Unternehmen, das es seinen Nutzern ermöglicht, über seine Online-Plattform sowie über die Anwendungen für mobile Geräte Transport- oder Reisedienstleistungen zu buchen. Als solches bestimmt NDL auch im Vertragsverhältnis mit dem Kunden in eigener Verantwortung und in eigenem Interesse, zu welchen Zwecken und mit welchen Mitteln personenbezogene Daten verarbeitet werden. NDL entscheidet also, "warum" und "wie" die personenbezogenen Daten über seine Plattformen verarbeitet werden sollen.

Auf dieser Grundlage ist NDL ein für die Verarbeitung Verantwortlicher und nicht der Auftragsverarbeiter im Namen eines Kunden, denn:

  • NDL bestimmt die Informationen, die gesammelt werden
  • NDL bestimmt die Art und Weise, in der die Verarbeitung durchgeführt wird
  • NDL bestimmt den Zweck oder die Zwecke, für die die Daten verwendet werden sollen
  • NDL bestimmt, ob und an wen die Daten weitergegeben werden sollen
  • NDL legt fest, wie lange die Daten aufbewahrt werden sollen oder ob nicht routinemäßige Änderungen an den Daten vorgenommen werden sollen
  • NDL legt fest, welche IT-Systeme oder andere Methoden zur Erfassung personenbezogener Daten verwendet werden, wie die personenbezogenen Daten gespeichert werden, wie die Sicherheit der personenbezogenen Daten im Einzelnen aussieht, wie sichergestellt wird, dass ein Zeitplan für die Aufbewahrung der Daten eingehalten wird und welche Mittel zur Löschung oder Entsorgung der Daten verwendet werden.

Wie ist das zu beurteilen? 

BayLDA:

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.

Ergebnis:

Es ist in jedem Einzelfall zu prüfen, ob der Schwerpunkt der Leistung eines Vertragspartners in der Verarbeitung personenbezogener Daten liegt. Ist das der Fall, muss (ggf. zusätzlich zum Leistungsvertrag) ein AV-Vertrag abgeschlossen werden. Ist das nicht der Fall, reicht der Abschluss des Vertrages, der die Erbringung der Leistungen zum Gegenstand hat und es muss kein AV-Vertrag abgeschlossen werden.

Stand: 29.06.2022

Schmerzensgeld nach Art. 82 DSGVO wg. Filmaufnahme eines Mitarbeiters im Arbeitsverhältnis Was steht im Urteil vom 01.06.2022? 

Was steht im Urteil vom LAG Schleswig-Holstein: 6 Ta 49/22 vom 01.06.2022?

Beschluss des LAG Schleswig-Holstein: 6 Ta 49/22 vom 01.06.2022

Sachverhalt:

Die Klägerin wandte sich mit dem Verfahren gegen die (teilweise) Versagung von Prozesskostenhilfe. Die Klägerin hatte im Pflegedienst der Beklagten als Pflegehelferin gearbeitet. Sie hatte während des Arbeitsverhältnisses an einem 36-sekündigen Werbevideo teilgenommen. Sie ist in dem Video zunächst unscharf und ab Sekunde 0:11 in Ganzkörperaufnahme zu sehen, wie sie in ein Auto einsteigt, auf dem „Wir suchen Pflegekräfte“ zu lesen ist und ein Audio-Overlay sagt „Steige jetzt mit ein!“. Später ist die Klägerin deutlich und in Portraitgröße im Auto sitzende zu erkennen, während das Audio-Overlay „zwischenmenschliche Beziehungen“ anpreist. Die Klägerin hatte sich nur mündlich zum Videodreh bereit erklärt. Die Beklagte hatte die Klägerin nicht vorab über den Zweck der Datenverarbeitung und ihr Widerrufsrecht in Textform informiert. Die Beklagte veröffentlichte das Video im Internet auf der Plattform „YouTube“. Die Klägerin hatte im arbeitsgerichtlichen Verfahren Unterlassungs- und Schmerzenzgeldansprüche in Höhe von EUR 6.000,- geltend gemacht, das Verfahren endete mit einem (uns unbekannten) Vergleich.

Mit dem vorliegenden verfahren wandte sich die Klägerin gegen die Versagung von Prozesskostenhilfe (diese wurde bezüglich des Schmerzensgeldanspruchs auf einen Gegenstandswert von EUR 2.000,- festgelegt).

Gründe der (teilweisen) Ablehnung:

Mit Beschluss hat das Arbeitsgericht der Klägerin Prozesskostenhilfe bewilligt, für ihren Antrag auf Zahlung von Schmerzensgeld, dies jedoch nur bis zu einer Höhe von 2.000,00 EUR.

Angesichts der konkreten Umstände des Einzelfalls lag für den der Klagforderung zugrundeliegenden Verstoß die Obergrenze einer noch vertretbaren Höhe des begehrten Schmerzensgelds bei 2.000,00 EUR.

  •  immaterieller Schaden ist entstanden nach Art. 82 DSGVO, eine konkrete Darlegung des Schadens ist hier nicht erforderlich
  •  Klägerin wusste um die Aufnahmen und hat am Videodreh sogar freiwillig mitgewirkt
  •  wurde aber nicht in der gebotenen schriftlichen Form und ohne vorherige Unterrichtung über den Verarbeitungszweck und das Widerrufsrecht aufgeklärt.
  •  keine Berührung der Intimsphäre der Klägerin durch die Aufnahmen (Einsteigen ins Auto, im Auto sitzend)
  •  Beklagte hat das Video umgehend aus dem Netz genommen, nachdem die Klägerin sie aufgefordert hatte, die Nutzung des Videos zu unterlassen

--> EUR 2000,- sind angemessene Obergrenze

Stand: 29.06.2022

Google AdWords: Kann es datenschutzrechtlich eingesetzt werden? 

Ausführliche Informationen über Google AdWords finden Sie in unserem Blog.

Löschungsfristen: Muss ein Kunde die Löschung seiner Daten aus unserem Kundenstamm schriftlich beantragen? 

Was steht im Art. 17 Abs.1 DSGVO bzgl. Löschungsfristen?

Art. 17 - Recht auf Löschung ("Recht auf Vergessenwerden")

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

Muss ein Kunde die Löschung seiner Daten aus unserem Kundenstamm schriftlich beantragen?

Nein, ein Antrag auf Löschung kann formlos erfolgen
(d.h. auch per Telefon, per E-Mail oder schriftlich).

Welche Richtlinien oder Vordrucke müssen beachtet werden?

Grundsätzlich:

Einem Löschantrag muss unverzüglich (ohne schuldhaftes Zögern) nachgekommen werden.

Die Antwort, dass ordnungsgemäß gelöscht wurde (oder dass eine Löschung noch nicht möglich ist (z.B. weil Aufbewahrungsverpflichtungen aus gesetzlichen Gründen bestehen)), sollte in jedem Fall in Textform (also mindestens E-Mail) erfolgen.

Vor allem:

1. Prüfen, wer die Rechte geltend macht? Z.B. bei Todesfall: ist die Person Erbe und daher befugt, den Widerruf einer Einwilligung zu beantragen? Anderenfalls muss aber ohnehin geprüft werden, ob noch eine Rechtsgrundlage besteht, die Daten aufzubewahren.

2. Welche Daten sind eigentlich wo gespeichert: Überblick verschaffen 3. Antwort verfassen mit Bestätigung oder Ablehnung der Löschung

Stand: 22.06.2022

Wie hoch sind realistischerweise Bußgelder, wenn man sich gar nicht um den Datenschutz kümmert? 

Gesetzlich gilt folgende Regelung für Bußgelder:

Maximal 10 Millionen Euro oder 2 % des Jahresumsatzes bei leichten Verstöße bzw. 20 Millionen Euro oder 4 % des Jahresumsatzes bei schweren Verstößen.

Realistisch gesehen gilt folgendes:

Je nach Größe des Unternehmens: EUR 100 bis einige Tausend Euro Bußgeld, allerdings ohne vorherige kostenlose Verwarnung.

Viele Infos finden Sie hier

Stand: 22.06.2022

Wie stehen die Behörden "BayLDA" und "BayLfD" zueinander? 

Das BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) ist zuständig für

  • nicht-öffentliche Bereiche in Bayern
  • private Wirtschaftsunternehmen
  • freiberuflich Tätige
  • Vereine
  • Verbände

    Anwendbares Recht: DSGVO und BDSG

Der BayLfD (Bayerischer Landesbeauftragter für den Datenschutz) ist zuständig für

  • öffentliche Stellen
  • und die kommunalen Körperschaften

Anwendbares Recht: DSGVO und BayDSG

Was gilt für öffentliche Einrichtungen wie Schwimmbäder, Schulen und Krankenhäuser?

Für öffentliche Einrichtungen ist der BayLfD der primäre Ansprechpartner. Wenn der Träger der jeweiligen Einrichtung jedoch ein privates Wirtschaftsunternehmen ist, ist das BayLDA zuständig.

Stand: 22.06.2022

Jemand hat an seinem Privathaus eine Kamera angebracht. Eine fremde Person hat den Gartenzaun durch ein Auto beschädigt. Die Video-Aufnahme wurde dann auf Social Media gepostet. Ist das erlaubt? 

 Anbringen von Videokameras auf privaten Grundstücken:

Hierzu auch BGH, Urteil vom 16. 3. 2010 - VI ZR 176/09 (LG Potsdam):

Nach Ansicht des erkennenden Senats kommt es insoweit auf die Umstände des Einzelfalls an. Die Befürchtung, durch vorhandene Überwachungsgeräte überwacht zu werden, ist dann gerechtfertigt, wenn sie auf Grund konkreter Umstände als nachvollziehbar und verständlich erscheint, etwa im Hinblick auf einen eskalierenden Nachbarstreit (vgl. OLG Köln, NJW 2009, NJW Jahr 2009 Seite 1827 = NZM 2009, NZM Jahr 2009 Seite 600) oder auf Grund objektiv Verdacht erregender Umstände. Liegen solche Umstände vor, kann das Persönlichkeitsrecht des (vermeintlich) Überwachten schon auf Grund der Verdachtssituation beeinträchtigt sein. Allein die hypothetische Möglichkeit einer Überwachung durch Videokameras und ähnliche Überwachungsgeräte beeinträchtigt hingegen das allgemeine Persönlichkeitsrecht derjenigen, die dadurch betroffen sein könnten, nicht. Deshalb ist die Installation einer Überwachungsanlage auf einem privaten Grundstück nicht rechtswidrig, wenn objektiv feststeht, dass dadurch öffentliche und fremde private Flächen nicht erfasst werden, wenn eine solche Erfassung nur durch eine äußerlich wahrnehmbare technische Veränderung der Anlage möglich ist und wenn auch sonst Rechte Dritter nicht beeinträchtigt werden.

Was, wenn Videokameras den öffentlichen Bereich mitumfassen?

  • Dann unterliegt die Überwachung der DSGVO und
  • § 4 BDSG
  • Wahrnehmung des Hausrechts ist sehr häufiger Grund

Im vorliegenden Fall war die Videoaufzeichnung wohl zulässig, da es um den Schutz des Gartenzauns (Eigentum) ging

Darf die Videoaufzeichnung auf Social-Media gepostet werden?

Abwägungsfrage. Zum Beispiel bleiben auch rechtswidrig von Privaten erlangte Beweismittel grundsätzlich im Strafverfahren verwertbar. Das heißt: sogar wenn die Veröffentlichung des Videos so sehr gegen die Persönlichkeitsrechte des Täters verstoßen würde, dass eine Veröffentlichung datenschutzrechtlich unzulässig wäre, würde das Ergebnis der Suche zivil- und strafrechtlich verwertet werden dürfen.

Siehe hierzu auch BGH, Urteil vom 15.5.2018 – VI ZR 233/17

1. Die permanente und anlasslose Aufzeichnung des Verkehrsgeschehens ist mit den datenschutzrechtlichen Regelungen des Bundesdatenschutzgesetzes nicht vereinbar.

2. Die Verwertung von so genannten Dashcam-Aufzeichnungen, die ein Unfallbeteiligter vom Unfallgeschehen gefertigt hat, als Beweismittel im Unfallhaftpflichtprozess ist dennoch zulässig.

Stand: 22.06.2022

Ist ein Händler zur Herausgabe von Kundendaten an den Herstellter für eine Rückrufaktion berechtigt? 

Ein Hersteller fragt bei einem Händler nach Kundendaten, um eine Rückrufaktion durchzuführen. Es handelt sich um einen Staubsauger, bei dem ein Bauteil aufgrund von Überhitzung zu einem Brand führen kann („ernstzunehmendes Risiko“). 

  • Ist der Händler zur Herausgabe der Daten berechtigt?
  • Welche Rechtsgrundlage könnte es hierfür geben? Falls es eine Rechtsgrundlage gibt, wie könnte man den Informationspflichten gerecht werden? Wie verhielte sich die Verantwortlichkeit der Datenverarbeitung zwischen den Parteien?

Rechtsgrundlagen bei der Produkthaftung

Keine einheitliche Regelung! Rechtsgrundlagen ergeben sich aus:

  • Vertragsrecht
  • Deliktsrecht (Produzentenhaftung, sie stellt auf Verkehrssicherungspflichten ab)
  • Produkthaftungsgesetz (umfasst ganz speziell auch Händler!)
  • Produktsicherheitsgesetz

Stand: 01.06.2022

Wie verhält sich das Aushängen von Schichtplänen in der Produktionshalle datenschutzrechtlich gesehen? 
  • im Dienstplan sind personenbezogene Daten zu finden (u.a. Personendaten, Arbeitszeiten, Urlaubszeiten, Überstunden etc.)

--> Aushang des Dienstplans ist nur bei Vorliegen einer Rechtsgrundlage erlaubt

Darf der Arbeitgeber die Namen und Arbeitszeiten der Mitarbeiter aushängen? 

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) …

§ 26 BDSG - Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. 

Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen

Bei Einwilligung ist also die gesetzliche Voraussetzung in jedem Fall erfüllt.

Wie aber sieht es ohne Einwilligung aus?

Art. 6 Abs. 1 lit. b) DSGVO: Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist …

Hier: Arbeitsvertrag

Argumente für Veröffentlichung der Schichtpläne:

  • Sicherstellung eines ordnungsgemäßen Betriebsablaufs
  • Möglichkeit des Tausches der Mitarbeiter untereinander
  • Auch Arbeitsgerichts sahen das in der Vergangenheit so (z.B. ArbG Berlin-Brandenburg 6. Kammer. Beschluss vom 07.12.2012, Az.:6 TaBV 880/12: „Der Aushang des Entwurfs eines Dienstplans unter Hinweis auf die noch erforderliche Zustimmung des Betriebsrats verstößt nicht gegen das Mitbestimmungsrecht des Betriebsrats aus § 87 Abs. 1 Nr. 2 BetrVG.(Rn.39)“)

--> Es muss also Abwägung stattfinden!

Zu beachten:

  • nur in nicht-öffentlichen Bereichen aushängen, bestenfalls nur abteilungsintern
  • keinen Hinweis auf Grund der Abwesenheit (Krank, Urlaub, Dienstreise etc.)
  • Pseudonymisierung prüfen
  • technische Lösung , z.B. per App prüfen

Stand: 01.06.2022

Gastzugänge im Online-Shop bezüglich des Beschlusses der DSK: Wie verhält sich der Grundsatz der Datenminimierung hinsichtlich der GoBD?  

In welchen Fällen kann sich bei der Rechtsgrundlage der Verarbeitung auch auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden?

Aus dem Beschluss hierzu:

Nach Art. 6 Abs.1 Satz 1 Buchstabe b) DS-GVO ist nur die Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige

Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich.

Aber:

Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kund*innenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.

Welche vertraglichen Anpassungen wären dafür erforderlich?

Wichtig:

der DSK-Beschluss ist nicht rechtsverbindlich, sondern nur eine Rechtsauffassung.

Wer ihn trotzdem einhalten möchte:

Verträge:

  • Mit Customer-Service ausstatten à rechtfertigt Kundenservice über ein Portal
  • Mit als Dauerschuldverhältnis (Miete) gestalten à dauerhafte Verbindung zum Kunden

Wie verhält sich der Grundsatz der Datenminimierung hinsichtlich der GoBD

GoBD = Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff

Folgende Grundsätze müssen laut BfDI eingehalten werden:

  • Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit
  • Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung
  • Vollständigkeit
  • Einzelaufzeichnungspflicht
  • Richtigkeit
  • zeitgerechte Buchungen und Aufzeichnungen
  • Ordnung und Unveränderbarkeit

Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder

  • Gastzugang: keine Registrierungs- oder Zugangsdaten

Über diesen Zugang dürfen nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten und Informationen der Kund*innen erfasst werden.

Nach Vertragserfüllung nicht mehr benötigte Daten müssen gemäß Art. 17 Abs. 1 lit. a) DS-GVO unverzüglich gelöscht werden.

Werden die Daten im Übrigen nur noch im Rahmen spezialgesetzlich geregelter Aufbewahrungsplichten verarbeitet, z.B. aus dem Handels- oder Steuerrecht, sind technisch-organisatorische Maßnahmen zu ergreifen, um diese Daten von den Daten im operativen Zugriff zu trennen (Datensperrung).

Ein Zugriff der Kund*innen auf die Daten oder das Hinzuspeichern von weiteren Daten durch die Verantwortlichen sind bei einem Gastzugang nicht vorgesehen.“

Stand: 01.06.2022

Hohes Bußgeld gegen die Danske Bank – was ist da der Hintergrund? 

Die dänische Datenschutzbehörde stellt fest, dass die Danske Bank nicht in der Lage war zu dokumentieren, dass sie personenbezogene Daten gemäß den Datenschutzbestimmungen gelöscht hat. Die Behörde hat der Bank daher eine Geldstrafe von 10 Millionen DKK auferlegt.

Bei einem aufsichtsrechtlichen Verfahren der dänischen Datenschutzbehörde hat sich herausgestellt, dass die Bank in mehr als 400 Systemen nicht in der Lage war, zu dokumentieren, dass Regeln für die Löschung und Speicherung personenbezogener Daten festgelegt wurden oder dass personenbezogene Daten manuell gelöscht wurden. Diese Systeme verarbeiten personenbezogene Daten von Millionen von Menschen.

„Eine der Grundprinzipien der DSGVO ist, dass man nur personenbezogene Daten verarbeiten darf, die man benötigt – und wenn man sie nicht mehr benötigt, müssen sie gelöscht werden. Bei einer Organisation von der Größe der Danske Bank, die über viele und komplexe Systeme verfügt, ist es besonders wichtig, dass man auch dokumentieren kann, dass die Löschung tatsächlich erfolgt ist“, sagt Kenni Elm Olsen, Fachberater bei der dänischen Datenschutzbehörde.

Stand: 01.06.2022

Was wurde im Urteil des EuGH vom 28.04.2022 zum Thema Klagebefugnis entschieden? 

Urteil des EuGH vom 28.04.2022-Az. C-319/20)

Vorangehende BGH-Entscheidung:

Eine Verbraucherzentrale hatte 2012 gegen Facebook Ireland wegen unrechtmäßiger Datenverarbeitungen von Facebook-Nutzern geklagt. Der BGH legte die Frage, ob ein Verband für seine Mitglieder klagen darf (auch wenn es keinen entsprechenden Auftrag eines verletzten Verbrauchers gibt nach Art. 80 Abs. 1 DSGVO und auch wenn der klagende Verband keine Verletzung eines konkreten Verbrauchers tatsächlich nachweisen kann nach Art. 80 Abs. 2 DSGVO) dem EuGH vor. Dies war also eine Frage der Klagebefugnis des Verbands.

Konkret musste der EuGH damit also klären, ob ein vom konkreten Verletzungsfall unabhängiges Verbandsklagerecht existiert.

Urteil des EuGH:

Für die Klagebefugnis eines Verbands genügt ein feststellbarer Verstoß gegen die DSGVO, wenn dieser grundsätzlich geeignet ist, die Rechte identifizierter und identifizierbarer Personen zu verletzen. Einer Einzelfallprüfung, ob tatsächlich eine Verletzung stattgefunden hat, bedarf es nicht.

Stand: 01.06.2022

Welche Regeln gelten bei einem Löschkonzept bzgl. Archive und Backups? 

Welche Vorschriften gelten für ein Löschkonzept?

Art. 17 DSGVO regelt die Löschung von Daten.

Diese Punkte sollten in einem Löschkonzept berücksichtigt werden:

  • Nennung der Kategorien der Daten (Kundendaten, Mitarbeiterdaten, Kooperationspartner etc.)
  • Datenart bzw. verarbeitete Daten, z.B. E-Mail-Adressen bei Werbung
  • Rechtsgrundlage der Aufbewahrung
  • Aufbewahrungszeit
  • Löschfristen
  • Nennung der unterschiedlichen Systeme (personenbezogene Daten in Back-Ups, Mailinglisten, Exceltabellen etc.)
  • Klärung der Weitergabe von Daten
  • Bestimmung eines Beauftragten, der sich um Löschung kümmert
  • Dokumentation (Rechenschafts- und Dokumentationspflichten der DSGVO)

Gibt es ein Muster für ein gutes Löschkonzept?

Es gibt kein universelles Muster für ein Löschkonzept.

Jedes Löschkonzept ist unternehmensspezifisch, und kann auch je nach Abteilung sehr unterschiedlich aussehen.

LiiDU-Tipp:

Löschkonzept Schritt für Schritt in einer Excel-Tabelle erstellen:

Alle Punkte der vorherigen Folie Punkt für Punkt durchgehen und sich von Unternehmensbereich zu Unternehmensbereich vorarbeiten.

Wie ist der richtige Umgang mit Archiven und Backups?

  • Datenkopien (aus Datensicherung) sind bei der Löschung zu berücksichtigen
  • Wenn Daten im normal verwendeten System gelöscht werden, müssen sie zeitnah auch im Backup und weiteren Sicherungsmedien gelöscht werden (Aber: Abwägung mit Art. 32 DSGVO vornehmen!)
  • alle  Daten in Sicherungskopien (USB-Sticks, externe Festplatten, Cloud etc.) sind ebenfalls zu vernichten
  • Für das Löschkonzept ist eine klare Unterscheidung zwischen Archiven und Sicherungskopien notwendig
  • Archive: dienen dazu, Daten langfristig vorzuhalten
  • Sicherungskopien bzw. Backups: werden zur Wiederherstellung nach Störungen benötigt
  • personenbezogenen Daten in Archiven unterliegen den Löschregeln der jeweiligen Datenkategorie
  • Für die Löschung von Sicherungskopien müssen eigene Fristen festgelegt werden
  • Mehr zum Thema TOMS für KMU

Gibt es eine Löschpflicht für Backups?

Aus Gesichtspunkten der IT-Sicherheit ist ein klar definiertes Backup und Wiederherstellungsprinzip wichtig. Werden personenbezogene Daten in einem Backup gesichert, muss sichergestellt werden, dass diese Daten verschlüsselt übertragen werden, sodass für den Fall eines Datendiebstahls kein einfaches Auslesen durch Dritte stattfinden kann.  

In jedem Unternehmen sind Löschkonzepte (vgl. CON: Konzepte und Vorgehensweisen CON.6: Löschen und Vernichten – BSI) vorzuhalten, in denen auch die Löschfristen genau definiert werden müssen. Für Backup-Dateien können und müssen entsprechend andere Löschfristen gewählt werden, da es sich hier um Rücksicherung handelt und somit andere Fristen gelten als bei Originaldatenbeständen.


Werden Backups wieder eingespielt, müssen entsprechende Überwachungsprozesse eingerichtet sein, damit bereits gelöschte Daten nicht wieder eingespielt werden (z.B. Newsletter Widersprüche). Sind die gesetzlichen Aufbewahrungspflichten abgelaufen, z.B. medizinische Behandlungsdaten/Steuerdaten, müssen auch die Daten in den Backups nach dieser Zeit gelöscht werden. Eine universelle Löschpflicht gibt es demnach nicht, jedoch richtet sich die Löschpflicht der Backups nach den jeweils gesetzlichen Regelungen. Mehr Infos im Baustein 60 „Löschen und Vernichten“

Stand: 13.12.2023

Ein Kunde wiederholt seine Auskunftsanfrage an jeden der Empfänger, welche in der Antwort der Auskunftsanfrage des Verantwortlichen genannt wurde. Wie verhalten sich diese korrekt? 

Auftragsverarbeiter wird um Auskunft angefragt
Wie verhalten diese sich korrekt? Ist ein Verweis auf den Verantwortlichen ausreichend und richtig?

Art. 15 DSGVO:

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a)die Verarbeitungszwecke;

b) …“

Das heißt: nur der Verantwortliche ist zur Auskunft verpflichtet, nicht der Auftragsverarbeiter.

Siehe auch Paper des Landesbeauftragten für den Datenschutz in Niedersachsen:

Bei einer Auftragsverarbeitung ist der Auftraggeber zur Auskunft verpflichtet, nicht der
Auftragsverarbeiter.“

Auftragsverarbeiter wird um Auskunft angefragt
Wie verhalten diese sich korrekt? Ist ein Verweis auf den Verantwortlichen ausreichend und richtig?

Und: Zur Auftragsverarbeitung ist in Art. 28 Abs. 3 lit. e DSGVO geregelt:

Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;

Ergebnis:

Auftragsverarbeiter ist nicht gesetzlich zur Auskunft verpflichtet, das ist nur der Verantwortliche. Aber er ist im Innenverhältnis dem Verantwortlichen gegenüber ggf. zur Unterstützung bei der Auskunftserteilung verpflichtet. Der Verweis auf den Verantwortlichen ist damit ausreichend und richtig!

Es gibt sogar die Auffassung, dass der Auftragsverarbeiter Auskunftsanfragen von Betroffenen nicht beantworten darf, weil Auftragsverarbeiter als Auftragnehmer Betroffenenrechte nicht ohne Vereinbarung bzw. Weisung des Verantwortlichen ausüben dürfen. Die Daten stehen in Verantwortung des Auftraggebers/Verantwortlichen. Diese Auffassung ist sehr gut vertretbar!

Datenschutzbeauftragter wird um Auskunft angefragt
Fällt diese Verarbeitung unter die Ausnahme „Datenschutzkontrolle“ nach § 34 Abs. 1 Nr. 2 lit. b BDSG? 

Gola/Heckmann/Werkmeister BDSG § 34 Abs. 1 Nr. 2b) -  Datensicherung und Datenschutzkontrolle (lit. b):

„Eine Ausnahme vom Auskunftsrecht kann ebenfalls gemäß Abs. 1 Nr. 2 lit. b hinsichtlich ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienenden Daten begründet werden. …“

„Zur Datensicherung dienende Daten werden in der Regel gespeichert, um einen für einen anderen Zweck tatsächlich benötigten Datenbestand im Falle des Verlustes oder der Zerstörung wiederherstellen zu können. Ein typisches Beispiel sind etwa Sicherungskopien auf externen Speichermedien.“

„Zum Zwecke der Datenschutzkontrolle gespeicherte Daten können solche sein, die über durchgeführte Kontrollen Auskunft geben, wie etwa Protokolldateien. …“

--> Hier steht nichts vom Datenschutzbeauftragten!

Der Datenschutzbeauftragte ist nicht Verantwortlicher und ist daher nicht zur Auskunft nach Art. 15 DSGVO verpflichtet.

Stand: 25.05.2022

Ist bei Video-Embedding-Anwendungen auf einer Website ein Cookie Consent Tool erforderlich? 

Ist zwangsläufig ein Cookie Consent Tool beim ersten Aufruf der Website erforderlich?

Grundsätzlich:

  • Einwilligung muss eingeholt werden, bevor einwilligungsbedürftige Cookies gesetzt werden
  • Wichtig ist hier die technische korrekte Implementierung
  • Nutzer muss über das Setzen dieses Cookies informiert werden

Aber:

Problematisch kann aber bereits das Laden von Skripten, Schriften und Trackern sein (insbesondere wird der DoubleClick Tracker von der Domäne doubleclick.net geladen, ohne dass das Video selbst angeklickt), wenn die Website aufgerufen wird. Auch diese brauchen nach § 25 TTDSG eine Einwilligung, wenn über sie eine Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, stattfindet. Dies geschieht wohl bereits beim Laden der Website an sich – und nicht erst des Videos.

Mehr dazu finden Sie hier.

Stand: 25.05.2022

Funktion „ecoMode“: Wie ist das datenschutzrechtlich zu sehen? 

Was ist die Funktion „ecoMode“?

  • ecoMode“ = Plugin, bzw. Programmierung auf Website
  • Websiteinhalte können dadurch bei Bedarf komprimiert werden
  • Führt zu kürzeren Ladezeiten, aber reduzierten Qualität
  • ecoMode kann per Klick auf der Website eingestellt werden
  • peicherungsdauer: 10 Jahre

Wie ist dies datenschutzrechtlich zu sehen?

Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG:

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

 1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Eine Anwaltskanzlei vertritt folgende Auffassung:

„Unter die unbedingte Erforderlichkeit des § 25 Abs. 2 Nr. 2 TTDSG kann nicht nur die technische Erforderlichkeit zur Bereitstellung des Dienstes fallen, sondern auch die Erforderlichkeit zur Einhaltung gesetzlicher Pflichten oder zur Erbringung vertraglich geschuldeter Leistungen. Erforderlich bleibt eine konkrete Einzelfallbetrachtung, welche auch den Spielraum des ausdrücklich vom Nutzer gewünschten Telemediendienstes berücksichtigt. Dem mancherorts geäußerten Wunsch, Regelbeispiele für die unbedingte Erforderlichkeit in den Wortlaut der Vorschrift mit aufzunehmen, ist der Gesetzgeber nicht nachgekommen. Auf Cookie-Ebene sind beispielweise Cookies zur dauerhaften Speicherung von Spracheinstellungen oder zum Anbieten einer Warenkorbfunktion typische Beispiele für die unbedingte Erforderlichkeit von Cookies.“

Zählt dies im Bereich des funktionalen Betriebs der Website und somit zu den technisch notwendigen Cookies?

Dadurch dass die Website auch mit „schlechterer“ Ladezeit funktionieren würde, zählt dieser Cookie nicht zu den technisch notwendigen Cookies.

Hauptargument:

Die individuelle Einstellung von Websites (z.B. Spracheinstellung) kann zwar technisch notwendig sein, um dem Nutzerwunsch gerecht zu werden. Das gilt aber nur für die jeweils laufende Session (über den Session-Cookie). Bei Laufzeiten von 10 Jahren gilt dieses Argument nicht.

Ergebnis: Nur, wenn die Website ohne das Plugin bzw. die Programmierung überhaupt nicht aufrufbar wäre, würde „ecoMode“ zu den technisch notwendigen Cookies zählen – Einwilligung also einholen!

Stand: 25.05.2022

Gibt es einen Anspruch auf Schadensersatz , wenn sich ein Unternehmen nicht an bestimmte Regeln der DSGVO gehalten hat? 

Art. 82 DSGVO regelt Haftung und Recht auf Schadenersatz.

(1)Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2)Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

Art. 82 DSGVO regelt, dass jede Person dem Grundsatz nach einen Anspruch auf Schadensersatz hat, wenn sich Unternehmen nicht an bestimmte Regeln der DSGVO halten.

Stand: 25.05.2022

Einwilligungserfordernis für die Anlage eines fortlaufenden Onlineshop Kundenkontos: was ist zu beachten? 

Was steht im Beschluss der DSK?

Aus dem Grundsatz der Datenminimierung ergibt sich:

Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kund*innen unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen.

Grund:

Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich. Für Kund*innen, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist daher regelmäßig ein Gastzugang zu ermöglichen. Ein solcher Zugang verzichtet auf Registrierungs- bzw. Zugangsdaten (z.B. Benutzername/Passwort) für eine erneute Nutzung.

In welchen Fällen kann sich bei der Rechtsgrundlage der Verarbeitung
auch auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden?

Aus dem Beschluss hierzu:

Nach Art. 6 Abs.1 Satz 1 Buchstabe b) DS-GVO ist nur die Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige

Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich.

Aber:

Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kund*innenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.

Welche vertraglichen Anpassungen wären dafür erforderlich?

Wichtig:

der DSK-Beschluss ist nicht rechtsverbindlich, sondern nur eine Rechtsauffassung.

Wer ihn trotzdem einhalten möchte:

Verträge:

  • Mit Customer-Service ausstatten --> rechtfertigt Kundenservice über ein Portal
  • Mit als Dauerschuldverhältnis (Miete) gestalten --> dauerhafte Verbindung zum Kunden

Stand: 18.05.2022

Ist Werbung per Post uneingeschränkt zulässig? 

Postwerbung ist die einzige Werbung, die nicht im Grundsatz als „unzumutbare Belästigung“ angesehen wird. Postwerbung ist im Grundsatz also nach wie vor zulässig.

Ausnahme:

Hinweis auf dem Briefkasten, dass man keine Werbung erhalten will.

Offensichtliche Postwurfwerbung darf dann nicht eingeworfen werden.

Was muss datenschutzrechtlich alles beachtet werden?

Briefwerbung ist ein datenschutzrechtlicher Vorgang, wenn Name und Anschrift einer natürlichen Person im Empfängerfeld verarbeitet wird
--> Regeln der DSGVO müssen eingehalten werden.

  1. Rechtsgrundlage (Rechtfertigung meist über überwiegende berechtigte Interesse des Werbenden gemäß Art. 6 Abs. 1 lit. f DSGVO) muss gegeben sein
  2. Erfüllung der Informationspflichten nach Art. 13 DSGVO (viele Datenschützer: gedruckte Datenschutzerklärung notwendig)
  3. Aufnahme in das Verzeichnis für Verarbeitungstätigkeiten

Stand: 18.05.2022

Kann die Vorlage eines gefälschten Impfausweises eine fristlose Kündigung rechtfertigen? 

Urteil des ArbG Köln (18. Kammer) vom 23.03.2022 – 18 Ca 6830/21

Konkreter Sachverhalt:

Die Mitarbeiterin arbeitet im Gesundheitssektor. Am 04.10.2021 wurden alle Mitarbeiter - darunter auch die Klägerin - im Rahmen einer Institutskonferenz darüber informiert, dass ab dem 01.11.2021 nur noch vollständig geimpfte Mitarbeiter Kundentermine vor Ort wahrnehmen dürften. Die Beklagte bat darum, dass die Teamleiter im vertrauensvollen Austausch mit ihren Teammitgliedern erkunden, welche Mitarbeiter die Voraussetzungen erfüllen. Am 04. oder 05.10.2021 erklärte die Klägerin gegenüber ihrem Teamleiter ... sie sei „mittlerweile geimpft“ und zum Thema Einsatz beim Kunden in Präsenz wörtlich: „Alles safe“.

Die Klägerin setzte danach ihre Präsenzbesuche in den Kundenunternehmen - darunter auch Pflegeeinrichtungen für Senioren - fort. Nach dem 01.11.2021 absolvierte die Klägerin neun Außentermine, davon vier in Seniorenheimen. Nach Veröffentlichung einer Änderung des Infektionsschutzgesetzes, wonach ab dem 24.11.2021 der Zutritt zum Betrieb nur noch mit gültigem 3-G-Nachweis zulässig war, informierte die Beklagte mit Email vom 22.11.2021 (Anlage …) die Belegschaft über die entsprechende Handhabe im Betrieb. Ein etwaiger Impfnachweis könne durch Screenshot des digitalen Nachweises oder durch Vorlage des Impfausweises erfolgen. Es wurde darauf hingewiesen, dass eine Kopie für die Dokumentation gefertigt werden würde.

Die Klägerin legte am 03.12.2021 ihren Impfausweis bei der Personalabteilung der Beklagten zur Erstellung einer Kopie vor. Auf Nachfrage der Personalreferentin, ob sie auch einen QR-Impfcode habe, erklärte sie, dass sie ein digitales Impfzertifikat nur auf ihrem privaten Mobiltelefon gespeichert habe, welches sie aktuell nicht dabei habe. Da der Beklagten mangels QR-Code eine Gültigkeitsüberprüfung des Impfnachweises mittels der App CovPassCheck nicht möglich war, unterzog die Personalreferentin die Impfausweise von acht Mitarbeitern, die (nur) ihren Impfpass vorgelegt hatten, einer Chargenabfrage.

Aus den Urteilsgründen:

Die außerordentliche fristlose Kündigung der Beklagten vom 13.12.2021 ist durch einen wichtigen Grund im Sinne von § BGB § 626 Abs. BGB § 626 Absatz 1 BGB gerechtfertigt.

Demnach kann das Arbeitsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist (nur) dann gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Arbeitsverhältnisses selbst bis zum Ablauf der Kündigungsfrist nicht zugemutet werden kann. Dabei ist zunächst zu prüfen, ob der Sachverhalt ohne seine besonderen Umstände „an sich“ und damit typischerweise als wichtiger Grund geeignet ist. Alsdann bedarf es der weiteren Prüfung, ob dem Kündigenden die Fortsetzung des Arbeitsverhältnisses unter Berücksichtigung der konkreten Umstände des Falls und unter Abwägung der Interessen beider Vertragsteile - jedenfalls bis zum Ablauf der Kündigungsfrist - zumutbar ist oder nicht (vgl. nur BAG, Urteil vom 16. Juli 2015 - BAG Aktenzeichen 2AZR8515 2 AZR 85/15 -, Rn. BAG Aktenzeichen 2AZR8515 2015-07-16 Randnummer 21, juris).

Vorliegend sind diese Voraussetzungen für die Rechtfertigung der streitgegenständlichen Kündigung erfüllt.

Die Klägerin hat in schwerwiegender Weise ihre gegenüber ihrer Arbeitgeberin bestehenden vertraglichen Nebenpflichten (§ BGB § 241 Abs. BGB § 241 Absatz 2 BGB) verletzt und damit einen „an sich“ als Grund für eine außerordentliche Kündigung geeignete Pflichtverletzung begangen.

Wie ist die Erlangung dieser Informationen datenschutzrechtlich zu sehen?

Verstöße gegen das Recht auf den durch Art. 8 Absatz 1 GRCh gebotenen Schutz der personenbezogenen Daten bzw. das aus Art. 2 Absatz 1 i. V. m. 1 Abs. 1 GG abzuleitende Recht auf informationelle Selbstbestimmung (vgl. BVerfG, Urteil vom 24. November 2010 -  Aktenzeichen 1 BvF 2/05 -, BVerfGE 128, Seite 1 Randnummer 150 ff. mwN) können zu prozessualen Verwertungsverboten führen.

Das ist z.B. der Fall, wenn die dem Sachvortrag einer Partei zugrunde liegende Informations- oder Beweisbeschaffung das allgemeine Persönlichkeitsrecht der anderen Partei verletzt, ohne dass dies durch überwiegende Belange gerechtfertigt ist (= verfassungsrechtliches Verwertungsverbot“).

Vorliegend ist kein Verstoß gegeben, da die zu verwertenden Daten unter Einhaltung der einfachgesetzlichen Datenschutzvorschriften erlangt wurden, vgl. Art. 6 Absatz 1 Satz 1 lit. c DSGVO iVm. § 28b Absatz 3 Satz 3 IfSG in der vom 24.11. bis 11.12.2021 geltenden Fassung (aF).

Konkret aus dem Urteil zur Frage, ob die Erlangung der Informationen durch den Arbeitgeber rechtmäßig war:

„Unabhängig vom Vorliegen einer Einwilligung im Sinne von Artikel 6 Absatz 1 Satz 1 lit. a DSGVO war die Beklagte am 03.12.2021 berechtigt, den Impfstatus der Klägerin zu dokumentieren. Denn nach § 28B Absatz 3 Satz 1 IfSG aF war sie ab dem 24.11.2021 (das Datum der Mitarbeiterinformation hierzu (22.11.2021) ist insoweit ebenso irrelevant wie die von der Klägerin beklagte Uneindeutigkeit des entsprechenden Rund-Schreibens) gesetzlich verpflichtet, die Einhaltung der nach § 28B Absatz 1 Satz 1 IfSG aF geltenden 3-G-Zutrittsbeschränkung zum Betrieb zu überwachen und zu dokumentieren.

Nach § 28B Absatz 3 Satz 3 IfSG aF war ihr zu diesem Zweck die Verarbeitung der personenbezogene Daten der Mitarbeiter einschließlich der Daten zum Impfstatus erlaubt. Es ist nicht ersichtlich, dass die Klägerin den Impfausweis nicht zum Nachweis der Zutrittsvoraussetzungen nach § 28B Absatz 1 Satz 1 IfSG aF vorgelegt hätte. Jedenfalls konnte die Beklagte nicht davon ausgehen, dass sie trotz ihres positiven Impfstatus die Einhaltung der 3-G-Regel durch eine Testung (über-) erfüllen wollte. Dass die Nachweis-Vorlage auch der Kontrolle der Einhaltung der 2-G-Vorgabe für die von der Klägerin weiterhin durchgeführten Kunden-Präsenztermine dienen konnte, würde zusätzlich eine Rechtfertigung nach § 26 Absatz 1 Satz 1 BDSG bedeuten.

In Erfüllung der aus § 28B Absatz 3 Satz 1 IfSG aF folgenden Kontroll-Verpflichtung war die Beklagte nach Abs. 3 Satz 3 auch zur Verarbeitung durch Abgleich mit den öffentlich erhältlichen Daten der Chargenabfrage - welche selbst keine personenbezogenen Daten im Sinne von Artikel 4 Nummer 1 DSGVO bzw. des § 46 Nummer 1 BDSG enthielt - berechtigt. Nur so konnte die Beklagte mangels Vorlage des QR-Codes sicherstellen, dass tatsächlich der behauptete Impfstatus gegeben war.“

Stand: 18.05.2022

Durch die Polizei wurde der dienstliche Laptop eines Mitarbeiters beschlagnahmt. Wie geht man mit dieser Einsichtnahme eines Dritten auf möglicherweise personenbezogene Daten um? 

Wie geht man mit dieser Einsichtnahme eines Dritten auf möglicherweise personenbezogene Daten um?

Auszug aus der Strafprozessordnung (StPO)


§ 94 Sicherstellung und Beschlagnahme von Gegenständen zu Beweiszwecken

(1) Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen.

(2) Befinden sich die Gegenstände in dem Gewahrsam einer Person und werden sie nicht freiwillig herausgegeben, so bedarf es der Beschlagnahme.

(3) …

(4) Die Herausgabe beweglicher Sachen richtet sich nach den §§ 111n und 111o.

Wie geht man mit dieser Einsichtnahme eines Dritten auf möglicherweise personenbezogene Daten um?

Fall 1:

Strafverfolgungsbehörde (Polizei oder Staatsanwaltschaft) nimmt die Einsicht vor in Daten, die zu anderen Zwecken vorher erhoben wurdenà zulässig nach § 24 BDSG

§ 24 BDSG Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen

Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder

sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.

Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.

Fall 2:

Falls andere Stellen diese personenbezogenen Daten „nutzen“ à dann Vorgehen gemäß den Vorgaben der DSGVO nach „Datenverlust“

Es gibt die Regelung: keine personenbezogenen Daten lokal speichern

Sollte es eine Strafverfolgungshörde sein, die die Daten beschlagnahmt hat, dann wird sie nochmal wiederkommen und den Server zu beschlagnahmen.

Alternativ wird ein Auskunftsverfahren nach §§ 22, 23 TTDSG durchgeführt.

Laptop ist verschlüsselt (ob Kennwörter rausgegeben wurden, ist nicht bekannt)

Die Polizei wird vielleicht versuchen, den Administrator dazu zu bewegen, im Rahmen einer Zeugenaussage die Kennwörter herauszugeben. Alternativ wird auch hier ein Auskunftsverfahren nach §§ 22, 23 TTDSG durchgeführt.

VPN wurde abgedreht

Auch hier ist zu erwarten, dass die Staatsanwaltschaft/Polizei nochmal eventuell wegen des Servers wiederkommt.

Empfehlung:

  • mit den Ermittlungsbehörden kooperieren.
  • Im Zweifel wird ohnehin ein Auskunftsverfahren geführt werden.

Stand: 18.05.2022

Muss ich bei einem Werbewiderspruch die Adressen aus dem Verteiler nehmen? 

Art. 21 DSGVO Widerspruchsrecht

(1)…

(2)Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

(3)Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

Bei Widerspruch gegen Werbung wird eine diesbezügliche Verarbeitung der Daten unzulässig. Dazu gehören dann alle Arten von Werbung, insbesondere:

  • Newsletter,
  • Werbe-E-Mails
  • Telefonanrufe,
  • Briefpost,
  • und alle anderen Arten, z.B. auch Tracking

Antwort auf die oben gestellte Frage:

Bei einem Werbewiderspruch muss der Betroffene auch aus dem Newsletterverteiler genommen werden.

Stand: 11.05.2022

Was sind die gesetzlichen Vorgaben für Werbung per E-Mail? 

Ausführliche Infos zur Zulässigkeit von Werbung per E-Mail finden Sie in unserem Blog.

Welcher Aufsichtsbehörde unterliegen die Kirchen? 

Sachverhalt:

Die Kläger wenden sich gegen die Beendigung eines Beschwerdeverfahrens durch die Berliner Beauftrage für Datenschutz und Informationsfreiheit.

Mit Schreiben vom Nov. 2019 forderte die Kirchensteuerstelle beim Finanzamt die Kläger auf, Angaben zur Religionszugehörigkeit ihrer beiden minderjährigen Kinder zu machen und übersandte hierzu jeweils einen Fragebogen. Die inhaltlich identisch aufgebauten Fragebögen enthielten Fragen zur Religionszugehörigkeit der Kinder.

Mit Schreiben vom 22. Dezember 2019 forderten die Kläger die Kirchensteuerstelle beim Finanzamt auf, die die Kinder betreffende Datenabfrage zukünftig zu unterlassen. Die Kirchensteuerstelle forderte die Kläger mit Schreiben vom 2. Januar 2020 ihrerseits zur Ausfüllung der Formulare auf.

Daraufhin erhoben die Kläger am 3. August 2020 Beschwerde bei der B. Beauftragten für Datenschutz und Informationsfreiheit. Zur Begründung trugen die Kläger vor, der Inhalt des Fragebogens sei datenschutzrechtlich unzulässig. Es handele sich um eine „anlasslose Rasterfahndung“ nach potentiellen Kirchenmitgliedern.

Mit Bescheid vom 16. September 2020 teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit mit, dass sie für die Überprüfung der Handlungen der Kirchensteuerstelle nicht zuständig sei. Sie begründete die Unzuständigkeit damit, dass die Verwaltung der Kirchensteuer der steuerberechtigten Religionsgemeinschaft obliege. Die Kirchen seien dabei durch sog. Kirchensteuerstellen bei den Finanzämtern beteiligt. Die Kirchensteuerstellen kümmerten sich um die Feststellung der subjektiven Kirchensteuerpflicht. Aufgrund von Art. EWG_DSGVO Artikel 91 Abs. EWG_DSGVO Artikel 91 Absatz 2 Datenschutz-Grundverordnung - DS-GVO - verfügten die Kirchen über spezifische Aufsichtsbehörden, an die die Beschwerde zu richten sei.

Mit Bescheid vom 5. Oktober 2020 wies die Berliner Beauftragte für Datenschutz und Informationsfreiheit die Beschwerde auch im Übrigen zurück. Zur Begründung führte sie aus, sie habe das Finanzamt ... um Stellungnahme gebeten. Das Finanzamt habe mitgeteilt, dass der von den Klägern dargestellte Sachverhalt unzutreffend sei und es keine Daten an die Kirchensteuerstelle weitergeleitet habe. Es könne mithin kein Verstoß gegen datenschutzrechtliche Bestimmungen festgestellt werden.

Mit ihrer Klage vom 12. November 2020 verfolgen die Kläger ihr Begehren weiter.

Aus den Entscheidungsgründen:

Der Bescheid der B. Beauftragten für Datenschutz und Informationsfreiheit vom 16. September 2020, nach dem die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegenüber der Kirchensteuerstelle keine aufsichtsrechtlichen Befugnisse habe, ist nicht zu beanstanden. Die Annahme der eigenen Unzuständigkeit erfolgte ermessensfehlerfrei. Der kirchliche Datenschutz unterliegt insoweit der kirchlichen und nicht einer besonderen staatlichen Aufsicht (1), vor allem ist das kirchliche Datenschutzrecht als umfassende Datenschutzregel im Sinne der DS-GVO zu verstehen (2). Die Kirchensteuerstelle unterliegt der Aufsicht der kirchlichen Aufsichtsbehörden (3) und die Aufsicht betrifft nicht nur Mitglieder der jeweiligen Religionsgemeinschaft (4).

Stand: 11.05.2022

Dürfen Presseorgane ihre Website kostenpflichtig ohne Cookies, Tracking und Werbung anbieten und bei der kostenlosen Variante nur mit Cookies, Tracking und Werbung? 

Ursprünglich: Cookie-Wall, bei der der Nutzer die Inhalte einer Seite nur betrachten kann, wenn er der Setzung von Cookies zustimmt, ist unzulässig (BGH-Rechtsprechung zum Opt-Out).

Zulässig ist seit 2020 eine Cookie-Wall, wenn der Nutzer eine Alternative zur Einwilligung von Cookies hat (siehe BBH-Beitrag vom 03.06.2020), auch, wenn diese nur kostenpflichtig ist.

Dies resultiert vor allem aus der Einschätzung des edpd (European Data Protection Board, Leitlinie 05/2020 zur Einwilligung nach DSGVO, dort vor allem Rn. 38-41 und 86).

Damit eine Einwilligung freiwillig erteilt werden kann, darf der Zugang zu Diensten und Funktionen nicht von der Einwilligung eines Nutzers in die Speicherung von Informationen in seinem Gerät oder der Zugang zu bereits darin gespeicherten Informationen abhängig gemacht werden (sogenannte Cookie-Mauern bzw. Cookie-Walls).

Das heißt: ein kostenloses Angebot nur mit Setzung von Cookies ohne eine Alternative, ist wegen Verstoßes gegen das Merkmal der Freiwilligkeit der Einwilligung unzulässig.

Bei Kostenpflichtigkeit gilt: Da es keine gesetzliche Verpflichtung gibt, ein bestimmtes Telemediendiensteangebot kostenfrei anzubieten, ist die kostenpflichtige Alternative ohne Cookies zulässig.

Kostenlose „Cookie-Variante“: hier müssen alle gesetzlichen Vorgaben eingehalten werden. Also: Einwilligung bei nahezu allen Cookies und Tracking-Tools, außer, sie fallen unter die Ausnahme in Art. 25 TTDSG.

Antwort:

Grundsätzlich ja, wenn alle Vorgaben eingehalten werden.

Stand: 11.05.2022

Wie ist FontAwesome datenschutzrechtlich zu bewerten? 

Ausführliche Informationen über Font Awesome finden Sie in unserem Blog.

Was sind die Anforderungen für eine Einwilligung nach Art. 49 I a DSVGO im Falle der Verarbeitung von besonderen personenbezogenen Daten nach Art. 9 I DSVGO (Gesundheitsdaten) in einem Drittland wie den USA? 

Ausnahmen  für bestimmte Fälle, Art. 49 DSGVO

Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig: 1.die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.

Folgen aus dem Art. 49 Abs. 1 lit.a DSGVO:

  1. Ausdrückliche Einwilligung des Nutzers
  2. freiwillig, informiert und für den konkreten Fall
  3. Einschließlich der vorherigen Unterrichtung über die für den Nutzer bestehenden möglichen Risiken derartiger Datenübermittlungen

Oder muss beispielsweise folgender Hinweis vor der Verarbeitung erfolgen?

Hinweis auf die Verarbeitung Ihrer erhobenen Daten in den USA durch Google, Airtable, Survey Sparrow: Indem Sie auf „Akzeptieren“ klicken, willigen Sie zugleich gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO ein, dass Ihre Daten in den USA verarbeitet werden. Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden, zu Kontroll- und zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können. 

Antwort: Ja, sofern ein solcher Hinweis nicht nur ein Hinweis ist, sondern der Nutzer ausdrücklich für jeden Einzelfall eingewilligt hat. Bei der vorgeschlagenen Formulierung fehlt m.E. ein Hinweis auf das Nichtvorliegen von Betroffenenrechten und dass keine angesessenen Garantien für die USA vorliegen.

Genügt hierbei ein Hinweis in der Datenschutzerklärung (die mit einem „Klick“ erreichbar ist), dass die Verarbeitung in einem Drittland stattfindet?

Antwort:

Nein!

Es braucht nach dem klaren Gesetzeswortlaut eine informierte Einwilligung.

Stand: 04.05.2022

Wie ist der Einsatz von z.B. Ghostery – ein datenschutzorientierter Werbeblocker, aus Datenschutzsicht zu sehen? 

Beschreibung nach Wikipedia:

"Ghostery ist eine Software, die den Anwender beim Surfen auf versteckte Dienste hinweist, die im Hintergrund private Daten an Seitenbetreiber übermitteln, und diese auf Wunsch blockiert. Das Programm ist als Software-Erweiterung für verschiedene Webbrowser Firefox, Safari, Chrome, Edge, Opera und Internet Explorer einsetzbar, sowie als eigenständige Webbrowser-App für Android und Apple iOS"

Anmerkungen:

  • Sehr komfortabel anwendbar
  • Aber: Es wird nicht auf alle versteckten Dienste hingewiesen
  • Eine Weitergabe von Daten erfolgt laut Unternehmen nur, wenn ausdrücklich vom User eingewilligt wird.

Aus datenschutzrechtlicher Sicht nicht perfekt, aber der Einsatz an sich ist aus unserer Sicht unbedenklich.

Stand: 04.05.2022

Für wen gilt eigentlich das IT-Sicherheitsgesetz 2.0 ? 

1. Kritische Infrastrukturbetreiber

2. Digitale Dienste, wie

  • Online-Suchmaschinen,
  • Cloud-Computing-Dienste und
  • Online-Marktplätze

Definition
Online-Shops, über die Einzelhändler ihre eigenen Waren vertreiben, sind keine Marktplätze im Sinne des § 2 BSIG.

Ein Online-Marktplatz ist eine Plattform, die als Dienstleistung eines Dritten einer Vielzahl von Verkäufern angeboten wird, um gebündelt ihre Waren an Käufer zu vermitteln. Normzweck ist der Schutz der quasi-infrastrukturellen Bedeutung des Marktplatzes. Fällt er aus, drohen wirtschaftliche Folgen für eine Mehrzahl von Verkäufern und Käufern, nicht nur für einen Einzelanbieter.

Gilt es für alle Unternehmen, auch solche, die keine kritischen Infrastrukturbetreiber sind?

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)

§ 8c Besondere Anforderungen an Anbieter digitaler Dienste (1)Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten. (2)Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

  1. der Sicherheit der Systeme und Anlagen,

  2. der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,

  3. dem Betriebskontinuitätsmanagement,

  4. der Überwachung, Überprüfung und Erprobung,

  5. der Einhaltung internationaler Normen.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden.

Stand: 04.05.2022

Ist der Einbau eines Funkwasserzählers ein Eingriff in das informationelle Selbstbestimmungsrecht des Mieters? 

BayVGH, Beschluss vom 07.03.2022, Az.: 4 CS 21.2254


Sachverhalt:


Ein Ehepaar wurde im Mai 2021 unter Anordnung des Sofortvollzugs dazu verpflichtet, einem
Beauftragten des kommunalen Wasserversorgungsunternehmens Zugang zu ihrer Wohnung zu
gewähren , um ihm die Überprüfung und erforderlichenfalls den Austausch des bisherigen
analogen Wasserzählers gegen einen digitalen Zähler mit Funkfunktion zu ermöglichen.
Das Paar wandte sich hiergegen mit einem Eilantrag und machten geltend, dass dem Betrieb von
Funkwasserzählern datenschutzrechtliche und gesundheitliche Bedenken entgegenstünden.
Nach Ablehnung des Eilantrags durch das Verwaltungsgericht erhoben die Antragsteller
Beschwerde zum BayVGH.

Der Beschluss des BayVGH
Aus der Begründung

Der vom Gesetzgeber nur unter engen Voraussetzungen zugelassene Einsatz von elektronischen Wasserzählern mit Funkfunktion verstößt nicht gegen höherrangiges Recht. Im fortlaufenden Betrieb solcher Messgeräte liegt weder ein unzulässiger Eingriff in das Recht auf informationelle Selbstbestimmung, noch ergeben sich auch nach derzeitigem Erkenntnisstand Gesundheitsgefahren für die Bewohner.

Der Betrieb eines Funkwasserzählers ist keine Verletzung des Grundrechts auf informationelle Selbstbestimmung. Auch wenn der Betrieb Rückschlüsse auf den Wasserverbrauch einzelner Personen ermöglichen sollte, ist die Verarbeitung der personenbezogenen Daten gerechtfertigt.

Die Versorgung mit Trinkwasser und die Messung des Verbrauchs mittels Wasserzählern sei eine zur Daseinsvorsorge gehörende gemeindliche Pflichtaufgabe und diene dem öffentlichen Interesse. Die Verarbeitung der Daten stelle keinen so schweren Rechtseingriff dar, dass bei einer Gesamtabwägung das Interesse des öffentlichen Wasserversorgers an der Nutzung der Funkwasserzähler zurückstehen müsse. Der Einsatz von Funkwasserzählern könne im Hinblick auf das Grundrecht der Unverletzlichkeit der Wohnung sogar als eine besonders schonende Art der Datenerfassung angesehen werden, weil er das Betreten von privaten Räumen entbehrlich mache.

Nach derzeitigem Erkenntnisstand entstünden durch den Betrieb von Funkwasserzählern auch keine unzumutbaren Gesundheitsgefahren, weil die Strahlenleistung im Vergleich zu einem Handy um ein Vielfaches niedriger sei und die Funkwasserzähler in der Regel nicht in unmittelbarer Nähe zu den Bewohnern, sondern im Keller an der zentralen Hauswasserzuleitung angebracht würden.

Stand: 04.05.2022

Gibt es eine rechtliche Pflicht zur E-Mail-Archivierung? 

Es muss nicht jede E-Mail archiviert werden.

Archiviert werden müssen E-Mails, die für eine ordnungsgemäße Buchführung und/oder steuerrechtlich relevant sind. Gesetzliche Grundlage ist die AO (Abgabenordnung), die GoB (Grundsätze für ordnungsgemäße Buchführung) und GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).

Reine Kommunikation, die genauso mündlich hätte stattfinden können oder die Vertriebs- oder Marketingthemen betrifft, muss nicht aufbewahrt werden.

Hängen hinter den Mailadressen aber ganze Postfächer mit Inhalten, die unter die Aufbewahrungspflichten fallen, dann gelten dafür die echten Aufbewahrungsfristen nach den gesetzlichen Vorgaben (also nach AO, GoB, GOBD, etc.). Im Regelfall muss zwischen 6 und 10 Jahren gespeichert werden, wenn es sich um Inhalte handelt, die für eine ordnungsgemäße Buchführung, für die Steuer usw. notwendig sein könnten.

Bei Unternehmen, die ein eigenes Programm für Buchhaltung, etc. haben und dieses aus den Mailaccounts heraus komplett vervollständigen, ist keine eigene E-Mail-Archivierungspflicht gegeben. Z.B. haben Rechtsanwälte oft eine Schnittstelle zum Datev-Anwaltsprogramm. Damit wird alles, was für die Mandatsbearbeitung wichtig sein könnte und per Mail eingeht, im Datev-System abgespeichert und in den E-Mail-Postfächern verbleibt die reine „Kommunikation“ und die sollte dann regelmäßig gelöscht werden.

E-Mails müssen dann archiviert werden, wenn ihre Inhalte nach den gesetzlichen Vorgaben aufbewahrungspflichtig sind.

Revisionssichere Archivierung

Aus dem „Code of Practice“, erstmals veröffentlicht durch den Fachverband der Dokumentenmanagementbranche, Verband Organisations- und Informationssysteme (VOI) im Jahr 1996, gehen außerdem folgende Grundsätze hervor:

Die 10 Grundsätze zur Revisionssicherheit von elektronischen Dokumenten:

  • Jedes Dokument wird unveränderbar archiviert.
  • Kein E-Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
  • Jedes Dokument muss mit geeigneten Techniken (z. B. durch das Indexieren mit Metadaten) wieder auffindbar sein.
  • Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist.
  • Kein Dokument darf während der Dauer der Aufbewahrungsfrist vernichtet werden.
  • Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können.
  • Alle Dokumente müssen zeitnah wiedergefunden werden können.
  • Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist.
  • Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist.
  • Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB, AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen.

Ist E-Mail-Archivierung beim Einsatz von Microsoft Exchange on premise oder M365 verpflichtend?

Nur, wenn inhaltlich gesetzliche Aufbewahrungspflichten betroffen sind.

Wenn es ein reines Kommunikationstool ist und zusätzlich eine Anwendung verwendet wird, in der alle notwendigen Unterlagen abgespeichert werden, besteht keine zusätzliche Pflicht zur Archivierung von E-Mails.

Anderenfalls schon.

Erfüllt die Funktion „Archiv“ aus Exchange online Plan 2 die rechtlichen Anforderungen an E-Mail-Archivierung?

Was ist Exchange online Plan 2?

Enthält E-Mail, Kontakte, Aufgabenverwaltung und Kalender und einen unlimitierten Archivierungsspeicher. Ist also ein weiteres Postfach, mit zeitlich unbegrenzter Speicherung und Wiederherstellungsfunktionen.

Antwort:

M.A. nach werden die wichtigsten Archivierungsvorgaben, nämlich die selektive Zuordnungsmöglichkeit zum jeweiligen Vorgang und die wichtige Vorgabe aus der DSGVO, nämlich regelmäßig löschen zu können, nicht erfüllt.

Stand: 27.04.2022

Wie weit ist das neue „EU-Datengesetz“? 

EU-Data-Act-Verordnung

Im Februar 2022: Gesetzesvorschlag der EU-Kommission des sogenannten Data Acts.

Ziel:
Zugang zu Daten und die Nutzung von Daten soll gefördert werden.
So soll ein „Datenbinnenmarkt“ entstehen, der die Wettbewerbsfähigkeit der EU erhöht.

5 wichtige Regelungsbereiche des Data-Acts:

  • Recht der Nutzer auf Zugang und Nutzung nutzergenerierter Daten
  • Verbot unfairer Vertragsklauseln in standardisierten Datenlizenzverträgen
  • Recht auf Datenzugang und -nutzung durch öffentliche Stellen
  • Bestimmungen, die eine Erleichterung des Wechsels von Datenverarbeitungsdiensten (insb. Cloud- und Edge-Anbieter) ermöglichen sollen
  • Anforderungen an die Interoperabilität von Datenverarbeitungsdiensten sowie an die internationale Datenübertragung

--> sehr weiter Anwendungsbereich, da nicht nur auf personenbezogene Daten bezogen.

Mehr Infos

Februar 2022: Gesetzesvorschlag der EU-Kommission des sogenannten Data-Acts.

Weiterer Verlauf des Gesetzgebungsverfahrens:

Verschiedene Lesungen im EU-Parlament und dem Rat der EU, am Ende müssen beide mit Mehrheit zustimmen.

Skizzierter Ablauf

In welchem Verhältnis wird dieses Gesetz bzw. diese Verordnung zur DSGVO stehen?

Parallele Geltung. Grundsätzlich ist der Anwendungsbereich des Data Acts mit der Einbeziehung auch nicht personenbezogener Daten (Maschinendaten) weiter, als der der DSGVO.

Einzelheiten sind noch unklar.

Stand: 27.04.2022

Speicherung von Informationen in der Endeinrichtung nach § 25 Abs. 2 TTDSG: wann brauche ich keine Einwilligung? 

Wann ist die Speicherung von Informationen in der Endeinrichtung nach § 25 Abs. 2 TTDSG „unbedingt erforderlich“, damit der Anbieter eines Telemediendienstes einen vom Nutzer „ausdrücklich gewünschten“ Telemediendienst zur Verfügung stellen kann?

Mit anderen Worten:

Wann brauche ich keine Einwilligung?

Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG:

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

 1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Hamburger Beauftragte für Datenschutz und Informationsfreiheit sagt folgendes:

„Außerhalb der genannten Voraussetzungen ist die Nutzung von Cookies, Web Storage, Browser-Fingerprinting und ähnlichen Technologien nur nach einer den Erfordernissen der DSGVO entsprechenden Einwilligung zulässig. Die Ausnahmen sind bereits dem Wortlaut nach eng auszulegen. So findet sich in Abs. 2 Nr. 2 die Formulierung „unbedingt erforderlich“, was vor dem Hintergrund der Gesetzesbegründung als technische, nicht jedoch wirtschaftliche Notwendigkeit zu verstehen ist. Regelmäßig wird daher die Reichweitenmessung, das Nutzertracking für Werbezwecke usw. für die Zurverfügungstellung eines Telemediendienstes nicht unbedingt erforderlich und daher nach dem TTDSG einwilligungspflichtig sein.“

Mehr Infos

Eine Rechtsanwaltskanzlei vertritt folgende Auffassung:

„Unter die unbedingte Erforderlichkeit des § 25 Abs. 2 Nr. 2 TTDSG kann nicht nur die technische Erforderlichkeit zur Bereitstellung des Dienstes fallen, sondern auch die Erforderlichkeit zur Einhaltung gesetzlicher Pflichten oder zur Erbringung vertraglich geschuldeter Leistungen. Erforderlich bleibt eine konkrete Einzelfallbetrachtung, welche auch den Spielraum des ausdrücklich vom Nutzer gewünschten Telemediendienstes berücksichtigt. Dem mancherorts geäußerten Wunsch, Regelbeispiele für die unbedingte Erforderlichkeit in den Wortlaut der Vorschrift mit aufzunehmen, ist der Gesetzgeber nicht nachgekommen. Auf Cookie-Ebene sind beispielweise Cookies zur dauerhaften Speicherung von Spracheinstellungen oder zum Anbieten einer Warenkorbfunktion typische Beispiele für die unbedingte Erforderlichkeit von Cookies.“

Mehr Infos

Ergebnis:

Die Ausnahme nach § 25 Abs. 2 TTDSG ist für den Fall vorgesehen, dass Speicherung oder Zugriff für Telemedienanbieter unbedingt erforderlich sind, um Nutzer:innen einen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen. Nach konservativer Auffassung sind damit die technisch erforderlichen Cookies gemeint. Sie dienen z.B. dem Betrieb einer Webseite,  der Umsetzung von technischer Sicherheit oder auch der Speicherung von Warenkörben in Onlineshops. Letzteres ist aber eng verbunden mit der vertraglich geschuldeten Leistung, die technisch umgesetzt werden muss.

Wer also z.B. Browser-Fingerprinting einsetzt, um eine notwendige technische Sicherheit einer Website umzusetzen (und dies auch entsprechend begründen kann), braucht keine Einwilligung des Nutzers, sondern kann von der unbedingten Erforderlichkeit der Anwendung ausgehen, sofern er sie begründen kann.

Stand: 27.04.2022

Welche Löschfristen gelten für Fotografien, die Bildnisse zeigen? 

Alle Informationen zum Thema Einwilligung, Löschung von Fotos und Bildern und zum Thema Model-Release-Vertrag finden Sie in unserem Blog.

Dürfen wir nach dem Beschluss der DSK-Konferenz vom 23.03.2022 den Gemeinde Facebook-Auftritt noch betreiben?  

Ergebnis des Kurzgutachtens der Tascforce Facebook Fanpages vom 18.03.2022:

„Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben.

Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.“

Ergebnis der DSK-Konferenz vom 23.03.2022:

Die DSK nimmt das von der Taskforce Facebook-Fanpages erstellte Kurzgutachten zur Frage der datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vom 18.03.2022 zur Kenntnis und stimmt der Bewertung zu.

Es bildet für die Mitglieder der DSK eine wichtige Grundlage ihrer aufsichtsbehördlichen Tätigkeit gegenüber öffentlichen und nichtöffentlichen Stellen.

Aufgrund ihrer Vorbildfunktion stehen öffentliche Stellen zuvörderst im Fokus. Deshalb werden die Mitglieder der DSK im Rahmen ihrer Zuständigkeit

  • die obersten Landes- bzw. Bundesbehörden über den Inhalt des Kurzgutachtens zeitnah informieren,
  • überprüfen, ob Landes- bzw. Bundesbehörden Facebook-Fanpages betreiben,
  • darauf hinwirken, dass von Landes- bzw. Bundesbehörden betriebene Facebook-Fanpages deaktiviert werden, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können.

Dieser Nachweis betrifft vor allem:

  • den Abschluss einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit mit Facebook,
  • ausreichende Informationen über die gemeinsamen Datenverarbeitungen gegenüber den die Fanpages Nutzenden gemäß Art. 13 DSGVO,
  • die Zulässigkeit zur Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf diese Informationen gemäß § 25 TTDSG sowie
  • die Zulässigkeit der Übertragung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten

Hinweis von LiiDU:
Künftig dürfen nur, wenn diese hier genannten Nachweise erbracht werden, Facebook-Fanpages betrieben werden.

Stand: 06.04.2022

Muss bei Gesundheitsdaten die betroffene Person über die Weitergabe dieser entnommenen Proben in anonymisierter Form an z.B. Labore informiert werden? 

Wenn die Proben rein dem Gesundheitsschutz oder wissenschaftlichen Zwecken dienen sollen, greift Art. 9 Abs. 2 lit h. i DSGVO. und Erwägungsgrund 52

--> Verarbeitung sogar in nicht anonymisierter Form zulässig, wenn Voraussetzungen vorliegen.

Sind die Proben anonymisierbar?

Antwort:

  • Ja, natürlich, weil derzeit keine Gendatenbank der Bundesbürger existiert. Aber:
  • vielleicht gibt es irgendwann eine solche Datenbank, in der alle Bürger „aufgeschlüsselt“ liegen.
  • Dann braucht es erst recht ein wirksames Datenschutzrecht, das den Zugriff darauf streng regelt.
  • Die Polizei hat bereits über die Strafprozessordnung (v.a. § 483 STPO) die Möglichkeit, entsprechende Datenbanken zu unterhalten.
  • Es gibt zudem eine DNA-Analysedatei des BK, über die Identifizierungsmuster gespeichert werden

Stand: 06.04.2022

Wie sieht ein DSGVO-konformes Kontaktformular aus? 

Ein DSGVO-konformes Kontaktformular sollte folgende Punkte abdecken:

1. Datensparsamkeit: so wenige Daten wie möglich erheben

2. Zweckbindung: Daten nur zu einem bestimmten Zweck verwenden

3. Mit Datenschutzerklärung der Transparenz- und Informationspflicht nachkommen:

  • Information, dass personenbezogene Daten erhoben werden,
  • Information, welche Daten genau erhoben werden,
  • warum diese Daten erhoben werden,
  • was mit den Daten gemacht wird und
  • wie lange die Daten gespeichert werden.
  • Gutes Beispiel (ohne die ReCaptcha-Thematik)

Was kann man falsch machen beim Kontaktformular?

  • Man kann vergessen eine Datenschutzerklärung bereitzuhalten
  • Keine SSL-Übertragung anzubieten
  • Alle möglichen Informationen als Pflichtangaben abzufragen

Welche Einwilligungen braucht man?

Man braucht keine gesonderte Einwilligung des Nutzers, weil die Absendung des Kontaktformulars bereits die Einwilligung darstellt!

Wie bewerkstelligt man DS-GVO-konforme Spam-Verhinderung beim Anmeldeformular?

Vorschläge:

  • Captcha: oft unlesbar und gilt oft als unelegante Lösung
  • reCaptcha: datenschutzrechtlich bedenklich, wegen der Analyse ohne Einwilligung

Beispiel - Mehr Informationen finden Sie hier

  • Honeypots: Schwierigkeiten bei der Einbindung
  • Newslettertools: können auch für die datenschutzkonforme Anbindung der Anmeldeformulare sorgen 

Wie "tief" muss die Verarbeitung der Daten im Kontaktformular in der Datenschutzerklärung erläutert werden?

Nicht tief. Es müssen die gesetzlichen Anforderungen erfüllt sein.

Gutes Beispiel

Ziff. 13

Was ist im Verfahrensverzeichnis zu beachten?

Im Verfahrensverzeichnis sollte die Website ein eigenes Verzeichnis haben – außer es ist eine reine Informationsseite.

Dort kann der Punkt „Kontaktformular“ als Unterpunkt aufgenommen werden.

Stand: 30.03.2022

Wie bekommen wir Matomo mit dem TTDSG in Einklang? 

Ausführliche Informationen über Matomo finden Sie in unserem Blog.

Unter welchen Voraussetzungen ist der Einsatz von Google Optimize unbedenklich? 

Ausführliche Informationen über Google Optimize finden Sie in unserem Blog.

Unter welchen Voraussetzungen muss man einen AV-Vertrag abschließen? 

Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.

Ein Verein ist in NRW beim Registergericht gemeldet, die Geschäftsstelle des Vereins ist in Bayern. Welches Landesamt für Datenschutzaufsicht ist die zuständige Behörde? 

Ein Verein, dessen Zweck nicht auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist, erlangt Rechtsfähigkeit durch Eintragung in das Vereinsregister des zuständigen Amtsgerichts, vgl. § 21 BGB.

Damit eine Geschäftsstelle eingerichtet werden kann, muss dies in der Vereinssatzung geregelt sein.
Es ist deshalb ratsam, schon bei Vereinsgründung eine Regelung aufzunehmen, die grundsätzlich die Einrichtung einer Geschäftsstelle ermöglicht. Ob, wann und wo diese dann tatsächlich eingerichtet wird, bleibt der Beschlussfassung in der Mitgliederversammlung vorbehalten. Es sollte in der Satzung auch geregelt werden, welche Aufgaben die Geschäftsstelle hat (z.B. Bearbeitung von Anträgen für die Aufnahme neuer Mitglieder, Postbearbeitung, Aktualisierungen der Mitgliederkartei, Einkauf von Büroartikeln, …).

In der Praxis sind Verwaltungssitz und Vereinssitz meist identisch. Es ist jedoch möglich, dass Vereins- und Verwaltungssitz auseinanderfallen.

Das heißt im vorliegenden Fall wäre das Vorliegen von zwei Zuständigkeiten (Bayern und NRW) grundsätzlich möglich.

Konkret zur Zuständigkeit:  Art. 55 DSGVO

  1. Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
  2. Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.
  3. Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

Art. 56 Zuständigkeit der federführenden Aufsichtsbehörde

  1. Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung. (One-Stop-Shop)
  2. Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt. (= Lokale Fälle)
  3. …. https://dsgvo-gesetz.de/art-56-dsgvo/

Unabhängig von Zuständigkeitsfragen können sich betroffene Personen mit Beschwerden an jede Datenschutzaufsichtsbehörde wenden!

Ergebnis:

Hier ist die Hauptniederlassung der Vereinssitz in NRW. Es kann aber nach Art. 56 Abs. 2 DSGVO jede Aufsichtsbehörde zuständig sein, wenn in ihrem Gebiet eine Datenschutzverletzung begangen  wurde.

Das Verfahren zum Ablauf regelt Art. 60 DSGVO.

Stand: 23.03.2022

Eine Bürgerin möchte, dass ihre Daten aus dem Internet gelöscht werden. Was ist zu tun? 

BETROFFENENRECHTE:

Eine Bürgerin möchte jetzt, dass ihre Daten, die 2015 in einem Amtsblatt einer Gemeinde standen, weil sie Dozentin von Bildungsveranstaltungen der VHS der Gemeinde war, komplett aus dem Internet gelöscht werden. Diesem Wunsch ist die Gemeinde nachgekommen, soweit sie Zugriff hatten.

Allerdings wurde das PDF auch auf Websites wie docplayer.org und kipdf.com hochgeladen, was nicht die Gemeinde gemacht hat.

Die beiden Websites sind britisch bzw. amerikanisch und haben kein Impressum, keine Kontaktdaten bzw. es wird auf eine Mail an info@... nicht reagiert.

  • 1. Wie weit geht die Verantwortung des Verantwortlichen, Daten, die ohne seine Zustimmung im Internet weiterverbreitet wurden, zu löschen bzw. löschen zu lassen?
  • 2. Muss man etwas tun und was kann man tun, wenn sich der Betreiber der betreffenden Websites außerhalb Europas befindet und nicht zu erreichen ist?
  • 3. Wie ist der Sachverhalt, wenn die Dozentin das gewerblich gemacht und dafür Geld erhalten hat und/oder es einen Vertrag darüber gibt?

Wie weit geht die Verantwortung des Verantwortlichen, Daten, die ohne seine Zustimmung

im Internet weiterverbreitet wurden, zu löschen bzw. löschen zu lassen?

Hier muss unterschieden werden:

  • 1. Wurden die Daten bereits ohne rechtliche Grundlage verbreitet, gibt es eine Verpflichtung der verantwortlichen Stelle, einer Löschung auch auf anderen Websites nachzugehen.
  • 2. Wurden die Daten rechtmäßigerweise öffentlich zugänglich gemacht, dann ist es nicht Aufgabe des Verantwortlichen, Löschung dieser Daten auf anderen Websites nachzugehen.

Muss man etwas tun und was kann man tun, wenn sich der Betreiber der betreffenden Websites außerhalb Europas befindet und nicht zu erreichen ist?

Evtl. Recht auf Vergessenwerden, Art. 17 DSGVO à Antrag bei Google, die Listung der Inhalte zu löschen.

Google entscheidet nach dem Löschungsantrag über die Entfernung. Gute Aussichten auf Löschung haben Grundrechtsverletzungen. Hier ist das informationelle Selbstbestimmungsrecht der betroffenen Dozentin betroffen à Inhalt im Netz ist zu löschen.

Wird Löschungsantrag abgelehnt: betroffene Person kann sich an die zuständige Aufsichtsbehörde der Suchmaschine wenden.

Wie ist die Rechtslage, wenn die Dozentin das gewerblich gemacht und dafür Geld erhalten hat und/oder es einen Vertrag darüber gibt?

Bei einem Vertrag über die Leistungen der Dozentin, sollte auch die Veröffentlichung eines Fotos, Ihres Namens etc. geregelt werden. Je klarer die diesbezügliche Regelung, desto besser.

Falls das nicht der Fall ist, muss der Vertrag ausgelegt werden.

Stand: 23.03.2022

Rechtsprechung des OLG Dresden - Schadensersatz 

Ein Geschäftsführer wird zur Zahlung von EUR 5.000 Schadensersatz für eine Datenschutzverletzung verurteilt.

OLG Dresden, Urteil vom 30.11.2021, Az. 4 U 1158/21

Sachverhalt:

Ein Verein holte nach einem Mitgliedsantrag umfangreiche Informationen über die Person ein, u.a. über Vorstrafen. Daraufhin wurde der Mitgliedsantrag abgelehnt. Die betroffene Person klagte u.a. auf Schadenersatz gegen die GmbH und gegen des Geschäftsführer.

Zum Urteil:

1. Der Geschäftsführer einer GmbH ist neben der Gesellschaft „Verantwortlicher“ im Sinne der DSGVO.

2. Eine Erhebung von Daten muss zunächst bei der betroffenen Person stattfinden – und erst danach bei Dritten, sofern dies für den Verantwortlichen nicht ausnahmsweise unzumutbar ist.

3. Die Datenerhebung von Vorstrafen des Betroffenen ist nur unter den Voraussetzungen des Art. 10 DSGVO zulässig.

4. EUR 5.000,- als immaterieller Schaden ist angemessen (… Dies bedeutet aber nicht, dass die Geldentschädigung zwingend „Strafcharakter“ haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben.“)

Stand: 16.03.2022

Wir sind eine Privatschule. Eine Mutter einer Schülerin hat und Auskunft nach Art. 15 DSGVO verlangt. Was ist zu tun? 

Es gibt Vorlagen verschiedener Bundesländer für die Schulen, um auch dort den Datenschutz DSGVO-konform umzusetzen.

Vorlagen für typische Verarbeitungstätigkeiten in Schulen

Die Auskunft ist gemäß 15 DSGVO zu erteilen. Demnach ist zu prüfen, ob der Antragsteller eine Berechtigung hat, die Auskunft zu verlangen (eine Mutter hat das in aller Regel für sich und ihr Kind). Danach ist binnen Monatsfrist zu antworten.

Hier Templates des BayLDA für die Auskunftserteilung

Hier ein ausführliches Merkblatt des Bayerischen Landesbeauftragten für den Datenschutz zum Thema Auskunft

Stand: 16.03.2022

Wie ist das Newsletter-Tool „Mailchimp“ datenschutzrechtlich zu bewerten? 

Ausführliche Informationen über Mailchimp finden Sie in unserem Blog.

Office365 bzw. Microsoft365: wie ist die Einsetzbarkeit im öffentlichen Bereich datenschutzrechtlich zu bewerten? 

Ausführliche Informationen über Microsoft Office 365 finden Sie in unserem Blog.

Wie kann ich in der Datenschutzerklärung der Homepage hervorheben, das wir Google Fonts lokal eingebunden haben? 

Die lokale Einbindung von Google-Fonts muss gar nicht in die Datenschutzerklärung aufgenommen werden.

Begründung:
Es werden keine personenbezogenen Daten verarbeitet.

Stand: 09.03.2022

Nehmen die Beschwerden und gemeldeten Datenschutzverletzungen bei Aufsichtsbehörden zu – oder ab? 

Die Beschwerden und die gemeldeten Datenschutzverletzungen nehmen zu!

Im Jahr 2011 gab es beim Bayerischen Landesamt für Datenschutzaufsicht 687 Beschwerden, im Jahr 2018 bereits 3643 Beschwerden und im Jahr 2020 sogar 6185 Beschwerden. Bei den gemeldeten Datenschutzverletzungen haben sich die Zahlen in den letzten 10 Jahren ähnlich entwickelt. 2011 lag der Wert bei 10, 2018 bei 2471 und 2020 wurden 3752 Datenschutzverletzungen gemeldet. Es ist also sowohl bei den Beschwerden als auch bei den Datenschutzverletzungen ein signifkanter Anstieg zu verzeichnen.

Stand: 09.03.2022

Ist Cloudflare datenschutzkonform einsetzbar? 

Ausführliche Informationen über Cloudflare finden Sie in unserem Blog.

Was sagt das Urteil "Schadensersatz bei fehlerhafter Schufa-Einmeldung" aus?  

Urteil des LG Lüneburg vom 14.07.2020 – 9 O 145/19

Sachverhalt:

Der Kläger wurde von seiner Hausbank wegen der Überziehung eines Dispo-Kredits von EUR 20,- an die Schufa gemeldet. Er machte gerichtlich den Widerruf der Meldung und die Zahlung immateriellen Schadensersatzes geltend.

Entscheidung:

  1. Anspruch auf Widerruf der von der Beklagten veranlassten Datenübermittlung an die Schufa ist gem. §§ BGB § 1004 Abs. BGB § 1004 Absatz 1, BGB § 823 BGB analog iVm Art. 6 Abs. 1 DSGVO gegeben. Kein überwiegendes Interesse der Bank erkennbar nach Art. 6 Abs.1 S. 1 lit. f) DSGVO. Insbesondere liegt kein Fall des § 32 Abs. 2 DSGVO vor.
  2. Der Anspruch auf Schadensersatz von EUR 1000,- ergibt sich aus Art. 82 Abs. 1 DSGVO.

Folge:

Verbraucher kann seine Rechte aus BGB mit seinen Rechten aus der DSGVO kombinieren.

Wiederholt ist jetzt bereits ein Anspruch auf Schadensersatz durchgesetzt worden!

Aktuelles zum Schufa-Scoring

Im Sommer 2023 wird ein EuGH Urteil erwartet. Im Urteil wird u.a. eine Aussage erwartet, ob die „Berechnung eines Scores für eine Privatperson als automatisierte Entscheidung über eine Kreditvergabe zu verstehen ist und wie lange Auskunfteien über eine Restschuldbefreiung informieren dürfen“. (Schufa)

Sollte das Gericht dem Generalanwalt folgen , wird die Schufa zukünftig Daten nur noch über einen Zeitraum von bis zu 6 Monaten speichern dürfen und nicht mehr – wie bisher – bis zu 3 Jahren.

Stand: 03.05.2023

Schützt das Geschäftsgeheimnisgesetz (GeschGehG) personenbezogene Daten?   

Nein, nicht ausdrücklich. Aber manchmal indirekt:

Ein Geschäftsgeheimnis im Sinne dieses Gesetzes ist

eine Information

  1. a) die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist
    und daher von wirtschaftlichem Wert ist und
  2. b) die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
  3. c) bei der ein berechtigtes Interesse an der Geheimhaltung besteht;

--> Hier der Gesetzestext

Das Geschäftsgeheimnisgesetz schützt Informationen von wirtschaftlichem Wert --> Art. 14 GG

Die DSGVO schützt die informationelle Selbstbestimmung von Personen --> Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG

Stand: 09.03.2022

Darf ein Dienstleister auf dem Firmenrechner ein Screencast erstellen?  

Die konkrete Fragestellung lautet:

Eine Firma beauftragt einen externen Dienstleister (z.B. IT-Unternehmen) mit der Wartung des Systems.

Darf von der Tätigkeit des Dienstleisters auf dem Firmenrechner ein Screencast erstellt werden?

Falls ja: welche Voraussetzungen gelten hier? Muss z.B. der Dienstleister über die Aufnahme informiert werden?

Regelfall:

Man kennt die Person, die die Tätigkeiten vornimmt
 --> Verarbeitung personenbezogener Daten!

-->Screencast kann erstellt werden, sofern eine Einwilligung vorliegt.

--> Falls keine Einwilligung vorliegt: Stichprobenkontrolle
(gestützt auf Art. 6 Abs. 1 S. 1 lit. f DSGVO) zulässig.

Stand: 09.03.2022

Wir (Softwareagentur) haben bei diversen Webseiten unserer Kunden Google Fonts verwendet und bisher nicht lokal eingebunden. Was müssen wir jetzt tun? 

Vorschlag für die nächsten Schritte:

  1. Kunden informieren über aktuelles Urteil https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/
  2. Google Fonts lokal beim Kunden einbinden
  3. Verantwortlich nach Außen ist die „Verantwortliche Stelle“ = Impressum der Website
  4. Im Innenverhältnis kann evtl. Rückgriff genommen werden. Fragen in diesem Umfeld aber im Einzelnen ungeklärt.

 Dr. Korch in der NJW 2021, 978: folgende Fragen müssten an den EuGH gestellt werden:

  1. Ab wann besteht eine Erheblichkeits- oder Bagatellschwelle?
  2. Welche Anforderungen sind an die konkrete Darlegung eines Schadenspostens zu stellen, insbesondere, ob auch der Kontrollverlust oder das Gefühl der Ohnmacht genügt.
  3. Zur Beweislast hinsichtlich der haftungsausfüllenden Kausalität, insbesondere, wenn entgegen dem Wortlaut Beweiserleichterungen bis hin zur Beweislastumkehr angenommen werden.
  4. Ob ein materieller Schaden auch mit der vorgeschlagenen Methode der „dreifachen Schadensberechnung“ bestimmt werden kann.
  5. Ob dem Betroffenen ein Mitverschuldenseinwand, wie ihn § BGB § 254 BGB im nationalen Recht vorsieht, entgegengehalten werden kann.

Stand: 23.02.2022

Woraus ergibt sich der Anspruch auf Schadensersatz aus dem Google Fonts Urteil des LG München vom 20.01.2022? Wie hoch könnte ein solcher Schadensersatzanspruch theoretisch ausfallen? 
  1. Aus Art. 82 Abs. 1 DSGVO; Auszug aus dem Urteil:

„Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (…). Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden.“

  1. Theoretische Höhe des Schadensersatzes:

Bußgeld:
gestaffelt von 2%/10 Mio. EUR bis 4%/20 Mio. EUR, bezogen auf den weltweit erzielten Jahresumsatz des Unternehmens, je nachdem welcher der Beträge höher ist, https://dsgvo-gesetz.de/art-83-dsgvo/

Strafrecht:
jeweiliges nationales Recht

Stand: 23.02.2022

Ist Google Optimize datenschutzkonform einsetzbar?  

Ausführliche Informationen über Google Optimize finden Sie in unserem Blog.

Ist Zoom datenschutzkonform einsetzbar?  

Ausführliche Informationen über Zoom finden Sie in unserem Blog.

Ist Microsoft-Teams datenschutzkonform einsetzbar? 

Ausführliche Informationen über Microsoft Teams finden Sie in unserem Blog.

Verpflichtung auf das Datengeheimnis: Braucht man neben dem Arbeitsvertrag noch eine zusätzliche Vereinbarung mit den Angestellten?  
Wann werden Verarbeitungsverzeichnisse benötigt?  

In Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) steht:

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

Grundsätzlich ist jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) und auch jeder Auftragsverarbeiter zur Erstellung und Führung eines Verfahrensverzeichnisses verpflichtet.

Ausnahmen: Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern, es sei denn: Die verantwortliche Stelle /Auftragsverarbeiter führt Verarbeitungen personenbezogener Daten durch, die

•ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (dazu gehören regelmäßig Fälle von Scoring und Überwachungsmaßnahmen) oder

•die nicht nur gelegentlich erfolgen (z.B. die regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten) oder

•die besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (Religionsdaten, Gesundheitsdaten, usw.) oder strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO betreffen.

Das Vorliegen einer der Fallgruppen reicht, um ein solches Verzeichnis führen zu müssen --> sehr viele Unternehmen.

Auch die DSK stellt deshalb fest:

Da „jedes Risiko für die Rechte und Freiheiten bezüglich der Verarbeitung zu betrachten ist, wird vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten sein“, siehe Kurzpapier Nr. 1 der DSK

So kann ein Verarbeitungsverzeichnis beispielsweise aussehen:

Praxishilfen des BayLDA

Beispiel Onlineshop

Stand: 26.10.2022

Ich bin Datenschutzbeauftragte in meiner Firma geworden: Womit fange ich am besten an?  

Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog

Wie kann ich herausfinden, welche Cookies technisch notwendig sind?  

Eine klare Trennschärfe zwischen nicht-erforderlichen und technisch notwendigen Cookies ist bis dato nicht vorhanden. Daher ist die korrekte Einordnung der Cookies für Webseitenbetreiber oftmals nach schwierig. Das führt in der Praxis dazu, dass aufgrund von Rechtsunsicherheiten teilweise Einwilligungen für Verarbeitungen eingeholt werden, die nicht einwilligungsbedürftig sind.

Daher wird gefordert, dass einheitliche Kriterien für die Einordnung von unbedingt erforderlichen Cookies gesetzlich im TTDSG verankert werden sollten. Bisher hat sich der Bundesgesetzgeber jedoch nicht klar dazu geäußert.

Technisch notwendige Cookies

Unbedingt erforderliche Cookies werden von den Aufsichtsbehörden in folgende Bereiche eingeteilt:

Quelle: Kommentar von Säcker/Körber/Werkmeister TTDSG § 25 Rn. 34-38:

„  (1) User-Input-Cookies (Session-ID) für die Dauer einer Sitzung oder in bestimmten Fällen persistente Cookies, deren
     Gültigkeitsdauer auf wenige Stunden beschränkt ist,

    (2 )Authentifizierungscookies für die Dauer einer Sitzung, wenn eine Authentifizierung des Endnutzers erforderlich ist,

    (3) nutzerorientierte Sicherheitscookies zur Erkennung von Authentifizierungsmissbrauch für eine begrenzte längere Dauer,

    (4) Multimedia-Player-Sitzungscookies, wie Flash-Player-Cookies für die Dauer einer Sitzung,

    (5) Lastverteilungs-Sitzungscookies für die Dauer der Sitzung,

    (6) persistente Cookies zur Anpassung der Benutzeroberfläche für die Dauer einer Sitzung (oder etwas länger),

    (7) Third-Party-Content-Sharing-Cookies sozialer Plugins für angemeldete Mitglieder eines sozialen Netzwerks.“

Nicht unbedingt erforderliche Cookies

Nach Auffassung der Aufsichtsbehörden sind „nicht unbedingt erforderliche Cookies“ u.a.

• Tracking-Cookies sozialer Plugins

• Third-Party-Cookies zu Werbezwecken

• First-Party-Analysecookies

Stand: 03.05.2023

Wann muss man eine Datenschutz-Folgenabschätzung (DSFA) durchführen? 

Was ist überhaupt eine Datenschutzfolgeabschätzung (DSFA)?

Art. 35 DSGVO - Datenschutz-Folgenabschätzung

Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung‎ vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte --> Risikoanalyse!

Muss immer eine DSFA durchgeführt werden, wenn man Übermittlungen in ein Drittland ohne Angemessenheitsbeschluss vorsieht?

Die DSGVO sieht für die Übermittlung personenbezogener Daten in Drittländer besondere Anforderungen vor (Art. 44 ff)

Wichtigste Möglichkeiten für Drittstaatenübermittlung:

1.Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (Art. 45)
--> Datenübermittlung brauchen keine weitere Genehmigung

2.Datenübermittlung auf Basis von SSC --> TIA

Viele Informationen dazu hier

Angenommen man nutzt einen Dienst aus den USA und hat ein Transfer Impact Assessment (TIA) durchgeführt ohne vorher eine DSFA gemacht zu haben – Empfiehlt es sich nachträglich noch eine DSFA zu machen oder reicht die TIA aus?

Eine DSFA muss durchgeführt werden, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Bei vorliegen bestimmter Fälle muss eine DSFA durchgeführt werden.

Und es gibt Regelbeispiele, wann eine DSFA durchzuführen ist, Art. 35 Abs. 3 DSGVO

Bestandteile der DSFA

Die Bestandteile, die eine DSFA haben muss (Mindestbestandteile) sind in Art. 35 Abs. 7 DSGVO festgelegt:

„(7) Die Folgenabschätzung enthält zumindest Folgendes:

a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und

d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.“

Mehr Infos vom LDA Bayern

Was ist ein TIA?

Definition von TIA: Transfer Impact Assessment (Risikobewertung)

Es ist zu prüfen, ob der Empfänger der Daten durch sein nationales Recht (im Drittland) gezwungen sein kann, gegen die Regelungen aus den Standardvertragsklauseln zu verstoßen.

Ein TIA ist grundsätzlich immer durchzuführen, wenn neue Standardvertragsklauseln (SCCs) abgeschlossen werden.
Eine Ausnahme davon besteht nur dann, wenn eine europäischer Auftragsverarbeiter Daten von einem Drittlands-Verantwortlichen erhält und diese „Drittlands-Daten“ ohne sie mit europäischen Daten zu vermischen an den Verantwortlichen zurücksendet.

Ausführliche Informationen zum TIA finden Sie in unserem Blog

Braucht man zusätzlich zum TIA noch eine DSFA?

Sowohl bei Durchführung einer Datenschutzfolgenaschätzung als auch bei einem TIA müssen die Verarbeitungsvorgänge genau beschrieben und dokumentiert werden.

Sobald Datenverarbeitungen mit einem Drittland auf Basis der SSC stattfinden, ist zwingend ein TIA durchzuführen.

Eine Datenschutz-Folgenabschätzung und ein Transfer Impact Assessment haben teilweise überlappende Bestandteile. Jedoch sind es dem Grundsatz nach zwei unterschiedliche Dokumente.

Wir empfehlen beides durchzuführen.

Stand: 17.05.2023

Was steht im Urteil des LG München vom 20.01.2022 zum Thema „Einbindung von Google-Fonts auf einer Website“, Az. 3 O 17493/20? 

Sachverhalt:

Der Beklagte hatte Google Fonts per Link auf seiner Webseite eingebettet (und nicht lokal auf seinem Server gespeichert).

Der Kläger sah darin einen Anspruch gegen den Beklagten auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog.

Rechtliche Würdigung:

  1. IP-Adresse ist ein personenbezogenes Datum
  2. Einbindung von Google Fonts ist datenschutzwidrig und kann nicht durch das berechtigte Interesse nach Art. 6 Abs.1 f) DSGVO abgedeckt werden.
  3. Unterlassungsanspruch, Auskunftsanspruch und Schadensersatz über EUR 100,- wurde vom Gericht bejaht.

Hier finden Sie das Urteil zum Thema "Google Fonts" 

Die Konsequenzen aus diesem Urteil sind ganz klar:

  • Es ist nicht von einem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO auszugehen.
  • Google Fonts solle dringend lokal eingebunden werden (und nicht per Link). Hier finden Sie eine Erklärung, wie die Einbindung von Google Fonts auf Ihrer Website funktioniert. 

Stand: 16.02.2022

Wie gehen Datenschutz-Aufsichtsbehörden mit angezeigten Datenschutzverstößen um? 

Die Beschwerden nehmen zu. Auch „unbedeutende“ Verstöße gegen die DSGVO werden verfolgt.

Das BayLDA hat hierfür eine Statistik veröffentlicht. In 2020 gab es 6185 Beschwerden und Kontrollanregungen. Dabei wurden 230 Bußgelder verhängt. Das sind nicht mal 5% aller Vorgänge.

Im September 2022 wurde der Tätigkeitsbericht des LDA Bayern für das Jahr 2021 veröffentlicht.

Im Jahr 2021 gingen 6009 Beschwerden und Kotrollanregungen bei der Aufsichtsbehörde ein.

Die Zahl von Meldungen von Verstößen gegen Art. 33 DSGVO ist erneut auf hohem Niveau mit 3946 Meldungen, darunter sind u.a. Cyberangriffe, Softwarefehler, Fehlversand oder auch Verlust oder Diebstahl verortet.

Bußgeldbescheide wurden lediglich 11 erlassen, 60 weitere Vorgänge befanden sich Ende des Berichtzeitraums noch in Bearbeitung. Diese Zahl ist im Vergleich zum Vorjahr signifikant gesunken.

Eine aktuelle Auflistung von Datenschutzverstößen findet man auf dem DSGVO-Portal

Stand: 03.05.2023

Welche Möglichkeiten gibt es, um die rechtskonforme Verwendung von Cookies zu prüfen? 

Zur Überprüfung von Webseiten empfiehlt es sich, so viele Browser wie möglich zu nutzen/installieren:

Auf Windows können folgende Browser zur Untersuchung genutzt werden:

- Microsoft Edge
Firefox 
Chrome 
Brave 
Opera 

Auf iOS kann der Browser Safari zur Untersuchung genutzt werden.

Beim Firefox empfiehlt sich die Installation von Plug-Ins, insbesondere:
- NoScript
- Ghostery: Die Software Ghostery weist beim Surfen auf versteckte Anwendungen hin und blockiert sie auf Wunsch. 
- Privacy Badger
- Cookies and Headers Analyser
Das Plug-in uMatrix wird leider vom Entwickler nicht mehr gepflegt.
Es gibt noch eine Reihe von Werbeblockern. Damit wird das Browsen aber schnell ungemütlich, weil viele Webseiten die Blocker erkennen und dann nicht funktionieren.

Mit dem Tool von Decareto kann man sich umfassende technische Prüfberichte von Website erstellen lassen. 

Darüber hinaus gibt es eine Fingerprinting-Statistik-Studie der Friedrich-Alexander-Universität Erlangen (Fachbereich Informatik der FAU):
Bei der Teilnahme erhält man Detailinformationen und Aussagen zu:
  - Ist der Fingerprint einzigartig bezüglich des einzelnen Teilnehmers ?
  - Ist der Browser eindeutig über die Zeit verfolgbar ?

Wir danken Hr. Schmid (Dipl.-Ing. (Univ.) Lutz J. Schmid, Schmid Datensicherheit GmbH, Tel.: 0961-4712941. Mobil: 0160-98492962, E-Mail: info@schmid-datensicherheit.de, URL: www.schmid-datensicherheit.de für seinen Beitrag und seine Hinweise.

Stand: 09.02.2022

Welche Auswirkungen hat der LG Wiesbaden-Beschluss zum „Cookiebot“?  

Der Dienst „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Dabei werden die tatsächlich eingesetzten Cookies kontrolliert und solche Cookies blockiert, für die eine Zustimmung nicht erteilt wurde.

Dabei werden (nach Ansicht des Antragstellers) auch personenbezogene Daten des Nutzers an den Server von „Cookiebot“ übermittelt. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse, sei der Endnutzer eindeutig identifizierbar.

Im Eilverfahren vor dem VG Wiesbaden wollte nun der Antragsteller erreichen, dass es der Hochschule RheinMain untersagt wird, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden.

Das Gericht hat dem Antrag stattgegeben (Az.: 6 L 738/21.WI) 
--> Panik bei öffentlichen Einrichtungen und  Unternehmen

Aber! Die Entscheidung wurde vom Berufungsgericht (Hessischen Verwaltungsgerichtshof) aufgehoben. Es fehle die Eilbedürftigkeit, die man für einen solchen Antrag im Eilverfahren brauche. 

Verfahrensstand:

Urteil

Der Hessische Verwaltungsgerichtshof (Beschluss vom 17.01.2022, Az. 10 B 2486/21) hat die Einstweilige Verfügung aufgehoben: „Das Verwaltungsgericht hätte die vom Antragsteller begehrte einstweilige Anordnung nicht erlassen dürfen.“.

Grund:

Es liegt kein Anordnungsgrund vor bzw. wurde ein solcher nicht glaubhaft gemacht (z.B. ist Antragsteller auf die Nutzung der Website angewiesen oder erfährt er wesentliche Nachteile durch die Nichtnutzung) .

Derzeit darf Cookiebot also eingesetzt werden. Es muss abgewartet werden, wie das Gericht im Hauptsacheverfahren in dieser Sache entscheiden wird.

Bis dahin kann der Dienst genutzt werden, ohne dass von einem Verstoß gegen die DSGVO ausgegangen werden muss. Es ist (derzeit) zu empfehlen auf einen Anbieter zu setzen, der seine Daten nur in der EU hostet.

Stand: 03.05.2023

Wie sieht ein rechtskonformer Cookie-Banner aus? 

Ein rechtskonformer Cookie-Banner sieht so aus:

  1. Nutzer muss alle (nicht notwendigen) Cookies ablehnen können? (Nicht ausreichend: „Alle akzeptieren“, „Einstellungen“)
  2. Alle Buttons müssen die gleiche Farbe und Größe haben
  3. Alle Cookies müssen der richtigen Kategorie zugeordnet sein
  4. Cookies müssen erläutert sein und ausreichende Informationen aufweisen
  5. Einstellungen im Cookie-Banner müssen nachträglich geändert werden können
  6. Problemfall: Cookies von US-amerikanischen Anbietern

Stand: 09.02.2022

Braucht man immer einen Cookie-Banner? 

Nein, man braucht nicht immer einen Cookie-Banner.

Wer keine oder nur technisch notwendige Cookies setzt, braucht keine Einwilligung über einen Banner.

Wenn Cookies gesetzt werden, die technisch nicht notwendig sind, ist eine Einwilligung gemäß § 25 TTDSG erforderlich.

Aber:

Aufklärung in der Datenschutzerklärung über die technisch notwendigen Cookies ist aber trotzdem notwendig, vgl. Art. 13 DSGVO.

Ist ein Consent-Banner für eine passwortgeschützte Webseite mit Third-Party-Einbindungen notwendig, wenn die Webseite auf einem öffentlichen PC auf einem Messegelände läuft?

Wenn Cookies gesetzt werden, die technisch nicht notwendig sind, ist eine Einwilligung gemäß § 25 TTDSG erforderlich sowie die Aufklärung nach Art. 13 DSGVO. Werden personenbezogene Daten verarbeitet, müssen die Vorgaben der DSGVO immer eingehalten werden, egal wo und wie eine Website ausgespielt wird, da der Nutzer beim Surfen auf der Website ggf. Spuren hinterlässt, die wiederrum natürlichen Personen zugeordnet werden können.

Aber für den Fall, dass die Website ausschließlich öffentlich auf einem Messegelände läuft, bleiben die Personen, die die Website benutzen, anonym!

Wenn keine personenbezogenen Daten beim Surfen verarbeitet werden (da der Rechner öffentlich zugänglich ist und von unterschiedlichsten Usern benutzt wird und damit kein Rückschluss auf den User selbst erfolgen kann (bzw. nur Übertragung der IP-Adresse des PCs auf der Messe)
--> Somit ist hier keine Einwilligung und kein Cookie-Banner notwendig!

Stand: 28.02.2024

Welche gesetzlichen Regeln gelten beim Einsatz von Cookies? 

Seit 01.12.2022 gilt § 25 TTDSG

Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Telemediendienste müssen Datenschutzanforderungen erfüllen, nämlich

1.SSL-Verschlüsselung der Website

2.Datenschutzerklärung auf der Website richtig und vollständig

3.Cookie-Banner richtig gestalten; hier v.a. Einwilligungsmanagement genau prüfen, insbesondere:

  • Cookies dürfen sich nicht vor Auswahl installieren
  • Banner müssen einen „Ablehnen-Button“ haben,
  • die Auswahlbuttons müssen farblich korrekt gestaltet sein,
  • die einzelnen Cookies müssen richtig eingruppiert sein,
  • es muss eine Möglichkeit zum Widerruf geben,
  • Keine Voreinstellungen, außer die in § 25 TTDSG erlaubten technisch notwendigen.

Stand: 09.02.2022

Wo finde ich eine Auflistung von Datenschutzverstößen? 

Eine Auflistung von Datenschutzverstößen findet man auf dem DSGVO-Portal

Stand: 02.02.2022

Ist der Einsatz von Paypal als Bezahlmethode DSGVO-konform? 

Ausführliche Informationen über Paypal finden Sie in unserem Blog.

Brauche ich in meinem Shop auf AMAZON eine Datenschutzerklärung? 

Ja, man braucht eine Datenschutzerklärung auf Amazon.

Die gesetzlichen Vorgaben aus DSGVO, BDSG und TTDSG sind immer einzuhalten, sobald der Anwendungsbereich eröffnet ist.

Vorliegend ist es vor allem bereits vor Vertragsschluss der Art. 13 DSGVO, der eingehalten werden muss (Informationspflichten).

AMAZON bietet einen eigenen Speicherort für die Datenschutzerklärung, nämlich den Reiter „Datenschutzrichtlinie“ unter „Ihre Informationen und Richtlinien“.

Stand: 02.02.2022

Darf ich eine Liste mit dem Impfstatus von Kollegen versenden? 

Zur Erläuterung der Frage:

"Wir spielen jede Woche in einem Verein zusammen Fussball in der Halle. Es gilt 2G+.
Damit nicht jeder vor dem Spiel seinen Nachweis vorzeigen muss, wurde eine Liste mit den Geimpften (samt Datum der Impfung und Namen) erstellt. Am Eingang wird dann überwiegend nur noch abgehakt.
Darf man die Liste an einzelne Spieler schicken, die jeweils abwechselnd die Eingangskontrolle durchführen?"

Um die Fragestellung bzgl. der listenmäßigen Erfassung (und Weitergabe) des Impf-/Genesenenstatus zu konkretisieren, muss vorab die Regelung 2G+ definiert werden. 

Was ist 2G plus?

2G plus bedeutet, dass nur Menschen Zutritt haben, die vollständig geimpft oder von einer COVID-19-Infektion genesen sind und die zusätzlich auch noch aktuell schnellgetestet sind. Das "plus" steht für den Antigen-Schnelltest, dem sich Geimpfte und Genesene unterziehen müssen. Bei 2G plus haben Ungeimpfte keinen Zutritt. Z.B. haben am 7. Januar Bundesregierung und Länderchefs beschlossen, dass in der Gastronomie künftig 2G plus gilt. Dies gilt nicht in Bayern - das beschloss das bayerische Kabinett am 11. Januar.

Impf-/Genesenennachweis und aktueller Schnelltest müssen kontrolliert werden, ansonsten droht Bußgeld.

Sobald die Spieler den Impf-/Genesenennachweis erbringen, kann dieser vom Vorstand oder einem Vertreter dokumentiert werden, sodass nur noch der aktuelle Schnelltest kontrolliert werden muss.

Voraussetzung:

Die Registrierung des Impfstatus zählt zur Verarbeitung von Gesundheitsdaten. Nach Art. 9 Abs. 2 lit. a DSGVO kann eine solche Speicherung zulässig sein, wenn der Betroffene ausdrücklich und freiwillig eingewilligt hat. Wichtig ist hierbei, dass eine echte Wahl besteht.

Ergebnis:

Wenn die Spieler der Verarbeitung zugestimmt haben, kann die Liste auch an Vertreter des Vereinsvorstands weitergegeben werden. Am besten sollten die Spieler auch dieser Weitergabe ausdrücklich und freiwillig zustimmen.

Stand: 02.02.2022

Gilt die DSGVO auch für Selbständige und kleine Unternehmen bis 10 Mitarbeiter? 

Ja, die DSGVO gilt auch für Selbstständige und kleine Unternehmen.

Die gesetzlichen Vorgaben aus DSGVO, BDSG und TTDSG sind immer einzuhalten, sobald der Anwendungsbereich eröffnet ist.

Der sachliche Anwendungsbereich der DSGVO ist bei automatisierter Verarbeitung von personenbezogenen Daten gemäß Art. 2 Abs. 2 immer eröffnet - und bei nichtautomatisierter Verarbeitung dann, wenn die Daten in einem Dateisystem gespeichert sind.

Nicht zu verwechseln ist dies mit der Notwendigkeit der Bestellung eines Datenschutzbeauftragten nach § 38 BDSG.

  • 38 Abs. 1 BDSG

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 679/2016 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 679/2016 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Stand: 02.02.2022

Welche Relevanz hat das Experten-Gutachten zu U.S.-Überwachungsgesetzen für die Datenschutzpraxis? 

Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit und amtierender Vorsitzender der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) sagt zur Einordnung des Gutachtens:

„Die Ergebnisse des in Auftrag gegebenen, unabhängigen Gutachtens steuern wichtige Aspekte zur Analyse der Rechtsverhältnisse in den USA bei. Die unabhängigen Datenschutzaufsichtsbehörden werden nun darüber beraten, wie die Ergebnisse in die Aufsichts- und Beratungspraxis einfließen.“

Stand: 02.02.2022

Was steht im Experten-Gutachten zu U.S.-Überwachungsgesetzen? 

Hintergrund:

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte 2021 zusammen mit den anderen deutschen Datenschutz-Aufsichtsbehörden Hr. Prof. Stephen I. Vladeck, University of Texas, Austin, Experte im US-amerikanischen Geheimdienstrecht, mit der Begutachtung von Fragen beauftragt, die in der aufsichtlichen Praxis häufig wiederkehren.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörde des Bundes und der Länder (DSK) hat am 25.01.2022 die Ergebnisse dieses Gutachtens (v.a. zur Reichweite bestimmter Zugriffsrechte von US-amerikanischen Sicherheitsbehörden) veröffentlicht.

Inhalt:

Der Begriff „electronic communication service provider“ die Anwendbarkeit von Section 702 des US-amerikanischen Foreign Intelligence Surveillance Act (FISA) ist weit zu verstehen. Er umfasst nicht nur

  • klassische IT- und Telekommunikationsunternehmen, sondern auch:
  • andere Unternehmen, wie z.B. Banken, Fluggesellschaften, Hotels und Versanddienstleister

Ausreichend: Bereitstellung z.B. eines E-Mail-Dienstes für Mitarbeiter

Rechtsfolgen (Auszüge):

1.Zugriffsmöglichkeit der US-Behörden auf sämtliche Daten des Unternehmens, nicht nur auf Daten des jeweiligen Dienstes (also z.B. nicht nur E-Mails).

2.Daten europäischer Unternehmen, die in den USA aktiv sind, unterfallen dem FISA 702 ebenso. Zumindest dann, wenn die Daten auf US-Servern liegen.

3.Europäische Bürgerinnen und Bürger haben kaum Möglichkeiten, Rechtsschutz in den USA zu erlangen.

Hier finden Sie das Rechtsgutachten

Stand: 02.02.2022

Gibt es aktuelle Gerichtsurteile zur Abmahnungsfähigkeit von DSGVO-Verstößen?  

Urteil des OLG Stuttgart vom 27.02.2020, Az. 2 U 257/19

Sachverhalt:

Der Beklagte, ein gewerblicher eBay Händler, hielt für potenzielle Kunden keine Erklärung zum Datenschutz vor. Er verstößt damit gegen Art. 13 DSGVO.

Die Klägerin war der IDO-Verband (Interessenverband für das Rechts- und Finanzconsulting deutscher Online-Unternehmen).

Die durch die Klägerin ausgesprochene Abmahnung blieb erfolglos. Das LG Stuttgart hatte die Klage mit der Begründung abgewiesen, dass die DSGVO als abschließende Regelung dem UWG vorgehe mit der Folge, dass Datenschutzverstöße nicht als Wettbewerbsverstöße abgemahnt werden könnten (Urteil v. 20.05.2019, Az. 35 O 68/18).

Entscheidung:  

Die Regelungen des Art. 80 DSGVO sind nicht abschließend.

Verstöße gegen die DSGVO sich nach Wettbewerbsrecht abmahnfähig, wenn sie die Marktverhaltensregeln verletzten.

Die Informationspflichten nach Art. 13 DSGVO stellen laut OLG Stuttgart eine solche Markverhaltensregel da, denn diese Informationen hätten eine verbraucherschützende Funktion und sind damit wettbewerbsrechtlich relevant.

Wettbewerbsverbände sind somit nach § 8 Abs. 3 Nr. 2 UWG i. V. m. § 8 Abs. 1 und § 3 a UWG befugt, Verstöße gegen Bestimmungen der DSGVO wettbewerbsrechtlich geltend zu machen, bei denen es sich um Markverhaltensregelungen handelt.

Bereits 2018 entschied das OLG Hamburg für eine Abmahnfähigkeit der DSGVO, sofern die konkrete Norm im Einzelfall eine Regelung des Marktverhaltens darstellt (OLG Hamburg, Urteil v. 25.10.2018, 3 U 66/17).

Der EuGH hat im April 2022 eine Abmahnfähigkeit im Rahmen eines Vorabentscheidungsverfahrens bejaht, jedoch nur durch Verbände. Die Frage, ob Wettbewerber dies dürfen, wurde weiter offen gelassen (EuGH, Urteil v. 28.04.2022, C-319/20).

Der BGH hat im Januar 2023 die konkrete Frage nach einer Abmahnung durch Wettbewerber dem EuGH vorgelegt. Danach wird endgültig klar sein, ob die Tendenz der Abmahnfähigkeit bestätigt wird (BGH, Beschluss v. 12.01.2023, Az. I ZR 222/19 und I ZR 223/19)

Stand: 03.05.2023

Welche Angaben zum Datenschutzbeauftragten sind auf einer Website notwendig? 

Ausführliche Infos zum Thema interne und externe Datenschutzbeauftragte (DSB) finden Sie in unserem Blog.

Wie soll man mit der Anforderung an eine Zertifizierung nach §42 DSGVO umgehen? 

Das BayLDA gibt folgende Hinweise zum Thema Zertifzierung nach DSGVO

Zertifizierung
Datenschutzzertifikate

Datenschutzzertifikate nach Art. 42 DS-GVO sind freiwillig und können entweder von der zuständigen Datenschutzaufsichtsbehörde oder einer dafür akkreditierten Zertifizierungsstelle erteilt werden. Das BayLDA wird mangels personeller Ressourcen als Aufsichtsbehörde selbst nicht zertifizieren, ist jedoch maßgeblich in den Akkreditierungsprozess involviert, so dass zukünftig erfolgreich akkreditierte Stellen diese Aufgabe übernehmen werden. Momentan gibt es noch keine akkreditierten Zertifizierungsstellen und somit auch noch keine Zertifikate.

Das Verzeichnis aller in Deutschland akkreditierter Stellen finden Sie hier

Stand: 26.01.2022

Verstößt Google-Analytics gegen die DSGVO?  

Ausführliche Informationen über Google Analytics finden Sie in unserem Blog.

Was regelt das TTDSG? 

Das TTDSG regelt:

  • Datenschutz für Telekommunikations-Anbieter (§§ 3 bis 18),
  • Datenschutz für Telelemediendiensteanbieter (§§ 19 bis 24)
  • Cookies (§§ 25, 26) und
  • Straf- und Bußgeldvorschriften (§§ 27, 28)

Zweck des TTDSG:

v.a. Anpassung der TK- und TM-Anbieter an die geänderten Anforderungen der DSGVO und verbindliche gesetzliche Cookie-Regelung.

Regelt das TTDSG auch den personenbezogenen Datenschutz?

Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Fazit

Das TTDSG regelt den personenbezogenen Datenschutz in Bezug auf das Telekommunikationsrecht und Telemedienrecht.

Darüber hinaus sind über § 25 TTDSG auch weitere personen- und auch nicht personenbezogene Daten betroffen (§ 25 TTDSG), denn „Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“ können auch nicht-personenbezogene Daten sein.  

Stand: 17.05.2023

envelopephonemap-markerlocationchevron-down