FAQ Datenschutz

Aktuelle Fragen für das nächste Datenschutz-Weekly

  • Funktion ecoMode auf Webseiten: Wie ist dies datenschutzrechtlich zu sehen? Zählt dies im Bereich des funktionalen Betriebs der Website und somit zu den technisch notwenigen Cookies?
  • Video-Embedding-Anwendungen auf einer Website (z.B. YouTube): ist die Einwilligung bzw. Widerruf des Users erst bei Klick auf das Video einzuholen, oder ist zwangsläufig ein Cookie Consent Tool beim ersten Aufruf der Website erforderlich?

Nächster Termin Datenschutz-Weekly

25.05.2022 von 12 - 13 Uhr

Frage einsenden

FAQ Datenschutz 

Einwilligungserfordernis für die Anlage eines fortlaufenden Onlineshop Kundenkontos: was ist zu beachten? 

Was steht im Beschluss der DSK?

Aus dem Grundsatz der Datenminimierung ergibt sich:

Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kund*innen unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen.

Grund:

Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich. Für Kund*innen, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist daher regelmäßig ein Gastzugang zu ermöglichen. Ein solcher Zugang verzichtet auf Registrierungs- bzw. Zugangsdaten (z.B. Benutzername/Passwort) für eine erneute Nutzung.

In welchen Fällen kann sich bei der Rechtsgrundlage der Verarbeitung
auch auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden?

Aus dem Beschluss hierzu:

Nach Art. 6 Abs.1 Satz 1 Buchstabe b) DS-GVO ist nur die Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige

Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich.

Aber:

Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kund*innenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.

Welche vertraglichen Anpassungen wären dafür erforderlich?

Wichtig:

der DSK-Beschluss ist nicht rechtsverbindlich, sondern nur eine Rechtsauffassung.

Wer ihn trotzdem einhalten möchte:

Verträge:

•Mit Customer-Service ausstatten --> rechtfertigt Kundenservice über ein Portal

•Mit als Dauerschuldverhältnis (Miete) gestalten --> dauerhafte Verbindung zum Kunden

Stand: 18.05.2022

Ist Werbung per Post uneingeschränkt zulässig? 

Postwerbung ist die einzige Werbung, die nicht im Grundsatz als „unzumutbare Belästigung“ angesehen wird. Postwerbung ist im Grundsatz also nach wie vor zulässig.

Ausnahme:

Hinweis auf dem Briefkasten, dass man keine Werbung erhalten will.

Offensichtliche Postwurfwerbung darf dann nicht eingeworfen werden.

Was muss datenschutzrechtlich alles beachtet werden?

Briefwerbung ist ein datenschutzrechtlicher Vorgang, wenn Name und Anschrift einer natürlichen Person im Empfängerfeld verarbeitet wird
--> Regeln der DSGVO müssen eingehalten werden.

  1. Rechtsgrundlage (Rechtfertigung meist über überwiegende berechtigte Interesse des Werbenden gemäß Art. 6 Abs. 1 lit. f DSGVO) muss gegeben sein
  2. Erfüllung der Informationspflichten nach Art. 13 DSGVO (viele Datenschützer: gedruckte Datenschutzerklärung notwendig)
  3. Aufnahme in das Verzeichnis für Verarbeitungstätigkeiten

Stand: 18.05.2022

Kann die Vorlage eines gefälschten Impfausweises eine fristlose Kündigung rechtfertigen? 

Urteil des ArbG Köln (18. Kammer) vom 23.03.2022 – 18 Ca 6830/21

Konkreter Sachverhalt:

Die Mitarbeiterin arbeitet im Gesundheitssektor. Am 04.10.2021 wurden alle Mitarbeiter - darunter auch die Klägerin - im Rahmen einer Institutskonferenz darüber informiert, dass ab dem 01.11.2021 nur noch vollständig geimpfte Mitarbeiter Kundentermine vor Ort wahrnehmen dürften. Die Beklagte bat darum, dass die Teamleiter im vertrauensvollen Austausch mit ihren Teammitgliedern erkunden, welche Mitarbeiter die Voraussetzungen erfüllen. Am 04. oder 05.10.2021 erklärte die Klägerin gegenüber ihrem Teamleiter ... sie sei „mittlerweile geimpft“ und zum Thema Einsatz beim Kunden in Präsenz wörtlich: „Alles safe“.

Die Klägerin setzte danach ihre Präsenzbesuche in den Kundenunternehmen - darunter auch Pflegeeinrichtungen für Senioren - fort. Nach dem 01.11.2021 absolvierte die Klägerin neun Außentermine, davon vier in Seniorenheimen. Nach Veröffentlichung einer Änderung des Infektionsschutzgesetzes, wonach ab dem 24.11.2021 der Zutritt zum Betrieb nur noch mit gültigem 3-G-Nachweis zulässig war, informierte die Beklagte mit Email vom 22.11.2021 (Anlage …) die Belegschaft über die entsprechende Handhabe im Betrieb. Ein etwaiger Impfnachweis könne durch Screenshot des digitalen Nachweises oder durch Vorlage des Impfausweises erfolgen. Es wurde darauf hingewiesen, dass eine Kopie für die Dokumentation gefertigt werden würde.

Die Klägerin legte am 03.12.2021 ihren Impfausweis bei der Personalabteilung der Beklagten zur Erstellung einer Kopie vor. Auf Nachfrage der Personalreferentin, ob sie auch einen QR-Impfcode habe, erklärte sie, dass sie ein digitales Impfzertifikat nur auf ihrem privaten Mobiltelefon gespeichert habe, welches sie aktuell nicht dabei habe. Da der Beklagten mangels QR-Code eine Gültigkeitsüberprüfung des Impfnachweises mittels der App CovPassCheck nicht möglich war, unterzog die Personalreferentin die Impfausweise von acht Mitarbeitern, die (nur) ihren Impfpass vorgelegt hatten, einer Chargenabfrage.

Aus den Urteilsgründen:

Die außerordentliche fristlose Kündigung der Beklagten vom 13.12.2021 ist durch einen wichtigen Grund im Sinne von § BGB § 626 Abs. BGB § 626 Absatz 1 BGB gerechtfertigt.

Demnach kann das Arbeitsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist (nur) dann gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Arbeitsverhältnisses selbst bis zum Ablauf der Kündigungsfrist nicht zugemutet werden kann. Dabei ist zunächst zu prüfen, ob der Sachverhalt ohne seine besonderen Umstände „an sich“ und damit typischerweise als wichtiger Grund geeignet ist. Alsdann bedarf es der weiteren Prüfung, ob dem Kündigenden die Fortsetzung des Arbeitsverhältnisses unter Berücksichtigung der konkreten Umstände des Falls und unter Abwägung der Interessen beider Vertragsteile - jedenfalls bis zum Ablauf der Kündigungsfrist - zumutbar ist oder nicht (vgl. nur BAG, Urteil vom 16. Juli 2015 - BAG Aktenzeichen 2AZR8515 2 AZR 85/15 -, Rn. BAG Aktenzeichen 2AZR8515 2015-07-16 Randnummer 21, juris).

Vorliegend sind diese Voraussetzungen für die Rechtfertigung der streitgegenständlichen Kündigung erfüllt.

Die Klägerin hat in schwerwiegender Weise ihre gegenüber ihrer Arbeitgeberin bestehenden vertraglichen Nebenpflichten (§ BGB § 241 Abs. BGB § 241 Absatz 2 BGB) verletzt und damit einen „an sich“ als Grund für eine außerordentliche Kündigung geeignete Pflichtverletzung begangen.

Wie ist die Erlangung dieser Informationen datenschutzrechtlich zu sehen?

Verstöße gegen das Recht auf den durch Art. 8 Absatz 1 GRCh gebotenen Schutz der personenbezogenen Daten bzw. das aus Art. 2 Absatz 1 i. V. m. 1 Abs. 1 GG abzuleitende Recht auf informationelle Selbstbestimmung (vgl. BVerfG, Urteil vom 24. November 2010 -  Aktenzeichen 1 BvF 2/05 -, BVerfGE 128, Seite 1 Randnummer 150 ff. mwN) können zu prozessualen Verwertungsverboten führen.

Das ist z.B. der Fall, wenn die dem Sachvortrag einer Partei zugrunde liegende Informations- oder Beweisbeschaffung das allgemeine Persönlichkeitsrecht der anderen Partei verletzt, ohne dass dies durch überwiegende Belange gerechtfertigt ist (= verfassungsrechtliches Verwertungsverbot“).

Vorliegend ist kein Verstoß gegeben, da die zu verwertenden Daten unter Einhaltung der einfachgesetzlichen Datenschutzvorschriften erlangt wurden, vgl. Art. 6 Absatz 1 Satz 1 lit. c DSGVO iVm. § 28b Absatz 3 Satz 3 IfSG in der vom 24.11. bis 11.12.2021 geltenden Fassung (aF).

Konkret aus dem Urteil zur Frage, ob die Erlangung der Informationen durch den Arbeitgeber rechtmäßig war:

„Unabhängig vom Vorliegen einer Einwilligung im Sinne von Artikel 6 Absatz 1 Satz 1 lit. a DSGVO war die Beklagte am 03.12.2021 berechtigt, den Impfstatus der Klägerin zu dokumentieren. Denn nach § 28B Absatz 3 Satz 1 IfSG aF war sie ab dem 24.11.2021 (das Datum der Mitarbeiterinformation hierzu (22.11.2021) ist insoweit ebenso irrelevant wie die von der Klägerin beklagte Uneindeutigkeit des entsprechenden Rund-Schreibens) gesetzlich verpflichtet, die Einhaltung der nach § 28B Absatz 1 Satz 1 IfSG aF geltenden 3-G-Zutrittsbeschränkung zum Betrieb zu überwachen und zu dokumentieren.

Nach § 28B Absatz 3 Satz 3 IfSG aF war ihr zu diesem Zweck die Verarbeitung der personenbezogene Daten der Mitarbeiter einschließlich der Daten zum Impfstatus erlaubt. Es ist nicht ersichtlich, dass die Klägerin den Impfausweis nicht zum Nachweis der Zutrittsvoraussetzungen nach § 28B Absatz 1 Satz 1 IfSG aF vorgelegt hätte. Jedenfalls konnte die Beklagte nicht davon ausgehen, dass sie trotz ihres positiven Impfstatus die Einhaltung der 3-G-Regel durch eine Testung (über-) erfüllen wollte. Dass die Nachweis-Vorlage auch der Kontrolle der Einhaltung der 2-G-Vorgabe für die von der Klägerin weiterhin durchgeführten Kunden-Präsenztermine dienen konnte, würde zusätzlich eine Rechtfertigung nach § 26 Absatz 1 Satz 1 BDSG bedeuten.

In Erfüllung der aus § 28B Absatz 3 Satz 1 IfSG aF folgenden Kontroll-Verpflichtung war die Beklagte nach Abs. 3 Satz 3 auch zur Verarbeitung durch Abgleich mit den öffentlich erhältlichen Daten der Chargenabfrage - welche selbst keine personenbezogenen Daten im Sinne von Artikel 4 Nummer 1 DSGVO bzw. des § 46 Nummer 1 BDSG enthielt - berechtigt. Nur so konnte die Beklagte mangels Vorlage des QR-Codes sicherstellen, dass tatsächlich der behauptete Impfstatus gegeben war.“

Stand: 18.05.2022

Durch die Polizei wurde der dienstliche Laptop eines Mitarbeiters beschlagnahmt. Wie geht man mit dieser Einsichtnahme eines Dritten auf möglicherweise personenbezogene Daten um? 

Wie geht man mit dieser Einsichtnahme eines Dritten auf möglicherweise personenbezogene Daten um?

Auszug aus der Strafprozessordnung (StPO)


§ 94 Sicherstellung und Beschlagnahme von Gegenständen zu Beweiszwecken

(1) Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen.

(2) Befinden sich die Gegenstände in dem Gewahrsam einer Person und werden sie nicht freiwillig herausgegeben, so bedarf es der Beschlagnahme.

(3) …

(4) Die Herausgabe beweglicher Sachen richtet sich nach den §§ 111n und 111o.

Wie geht man mit dieser Einsichtnahme eines Dritten auf möglicherweise personenbezogene Daten um?

Fall 1:

Strafverfolgungsbehörde (Polizei oder Staatsanwaltschaft) nimmt die Einsicht vor in Daten, die zu anderen Zwecken vorher erhoben wurdenà zulässig nach § 24 BDSG

§ 24 BDSG Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen

Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder

sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.

Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.

Fall 2:

Falls andere Stellen diese personenbezogenen Daten „nutzen“ à dann Vorgehen gemäß den Vorgaben der DSGVO nach „Datenverlust“

Es gibt die Regelung: keine personenbezogenen Daten lokal speichern

Sollte es eine Strafverfolgungshörde sein, die die Daten beschlagnahmt hat, dann wird sie nochmal wiederkommen und den Server zu beschlagnahmen.

Alternativ wird ein Auskunftsverfahren nach §§ 22, 23 TTDSG durchgeführt.

Laptop ist verschlüsselt (ob Kennwörter rausgegeben wurden, ist nicht bekannt)

Die Polizei wird vielleicht versuchen, den Administrator dazu zu bewegen, im Rahmen einer Zeugenaussage die Kennwörter herauszugeben. Alternativ wird auch hier ein Auskunftsverfahren nach §§ 22, 23 TTDSG durchgeführt.

VPN wurde abgedreht

Auch hier ist zu erwarten, dass die Staatsanwaltschaft/Polizei nochmal eventuell wegen des Servers wiederkommt.

Empfehlung:

  • mit den Ermittlungsbehörden kooperieren.
  • Im Zweifel wird ohnehin ein Auskunftsverfahren geführt werden.

Stand: 18.05.2022

Muss ich bei einem Werbewiderspruch die Adressen aus einem Newsletterverteiler nehmen? 

Art. 21 DSGVO Widerspruchsrecht

(1)…

(2)Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

(3)Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

Bei Widerspruch gegen Werbung wird eine diesbezügliche Verarbeitung der Daten unzulässig. Dazu gehören dann alle Arten von Werbung, insbesondere:

  • Newsletter,
  • Werbe-E-Mails
  • Telefonanrufe,
  • Briefpost,
  • und alle anderen Arten, z.B. auch Tracking

Antwort auf die oben gestellte Frage:

Bei einem Werbewiderspruch muss der Betroffene auch aus dem Newsletterverteiler genommen werden.

Stand: 11.05.2022

Was sind die gesetzlichen Vorgaben für Werbung per E-Mail? 

Gesetzliche Vorgaben für Werbung per E-Mail:

Werbe E-Mails sind grundsätzlich eine „unzumutbare Belästigung“ nach § 7 Abs. 2 Ziff. 3 UWG  (à also SPAM!) – und damit unzulässig.

Ausnahme 1: Double-Opt-In

Ausnahme 2: § 7 Abs. 3 UWG

Werbe-E-Mails sind damit ausnahmsweise keine unzumutbare Belästigung, wenn

•E-Mail-Adresse im Zusammenhang mit Verkauf einer Ware/Dienstleistung erhalten und

•Direktwerbung für eigene ähnliche Waren/Dienstleistungen und

•Kein Widerspruch des Kunden gegen Verwendung und

•Hinweis bei Erhebung und jeder Verwendung auf jederzeitige Widerspruchsmöglichkeit

Beim Hinweis „bei Erhebung und jeder Verwendung auf jederzeitige Widerspruchsmöglichkeit“ sind zudem die Vorgaben der DSGVO zu berücksichtigen, v.a. Art. 13 DSGVO.

Wichtig:

DSGVO verdrängt über das „berechtigte Interesse“ nach Art. 6 Abs. 1 S. 1 lit. f DSGVO nicht die Regelungen aus dem UWG --> Alle Vorgaben des § 7 Abs. 3 UWG müssen trotzdem eingehalten werden.

Ergebnis:

E-Mail-Werbung ist zulässig, wenn entweder ein Double-Opt-In oder die Ausnahme nach § 7 Abs. 3 UWG vorliegt und gleichzeitig alle datenschutzrechtlichen Vorgaben, insbesondere des Art. 13 DSGVO, eingehalten werden.

Stand: 11.05.2022

Welcher Aufsichtsbehörde unterliegen die Kirchen? 

Sachverhalt:

Die Kläger wenden sich gegen die Beendigung eines Beschwerdeverfahrens durch die Berliner Beauftrage für Datenschutz und Informationsfreiheit.

Mit Schreiben vom Nov. 2019 forderte die Kirchensteuerstelle beim Finanzamt die Kläger auf, Angaben zur Religionszugehörigkeit ihrer beiden minderjährigen Kinder zu machen und übersandte hierzu jeweils einen Fragebogen. Die inhaltlich identisch aufgebauten Fragebögen enthielten Fragen zur Religionszugehörigkeit der Kinder.

Mit Schreiben vom 22. Dezember 2019 forderten die Kläger die Kirchensteuerstelle beim Finanzamt auf, die die Kinder betreffende Datenabfrage zukünftig zu unterlassen. Die Kirchensteuerstelle forderte die Kläger mit Schreiben vom 2. Januar 2020 ihrerseits zur Ausfüllung der Formulare auf.

Daraufhin erhoben die Kläger am 3. August 2020 Beschwerde bei der B. Beauftragten für Datenschutz und Informationsfreiheit. Zur Begründung trugen die Kläger vor, der Inhalt des Fragebogens sei datenschutzrechtlich unzulässig. Es handele sich um eine „anlasslose Rasterfahndung“ nach potentiellen Kirchenmitgliedern.

Mit Bescheid vom 16. September 2020 teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit mit, dass sie für die Überprüfung der Handlungen der Kirchensteuerstelle nicht zuständig sei. Sie begründete die Unzuständigkeit damit, dass die Verwaltung der Kirchensteuer der steuerberechtigten Religionsgemeinschaft obliege. Die Kirchen seien dabei durch sog. Kirchensteuerstellen bei den Finanzämtern beteiligt. Die Kirchensteuerstellen kümmerten sich um die Feststellung der subjektiven Kirchensteuerpflicht. Aufgrund von Art. EWG_DSGVO Artikel 91 Abs. EWG_DSGVO Artikel 91 Absatz 2 Datenschutz-Grundverordnung - DS-GVO - verfügten die Kirchen über spezifische Aufsichtsbehörden, an die die Beschwerde zu richten sei.

Mit Bescheid vom 5. Oktober 2020 wies die Berliner Beauftragte für Datenschutz und Informationsfreiheit die Beschwerde auch im Übrigen zurück. Zur Begründung führte sie aus, sie habe das Finanzamt ... um Stellungnahme gebeten. Das Finanzamt habe mitgeteilt, dass der von den Klägern dargestellte Sachverhalt unzutreffend sei und es keine Daten an die Kirchensteuerstelle weitergeleitet habe. Es könne mithin kein Verstoß gegen datenschutzrechtliche Bestimmungen festgestellt werden.

Mit ihrer Klage vom 12. November 2020 verfolgen die Kläger ihr Begehren weiter.

Aus den Entscheidungsgründen:

Der Bescheid der B. Beauftragten für Datenschutz und Informationsfreiheit vom 16. September 2020, nach dem die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegenüber der Kirchensteuerstelle keine aufsichtsrechtlichen Befugnisse habe, ist nicht zu beanstanden. Die Annahme der eigenen Unzuständigkeit erfolgte ermessensfehlerfrei. Der kirchliche Datenschutz unterliegt insoweit der kirchlichen und nicht einer besonderen staatlichen Aufsicht (1), vor allem ist das kirchliche Datenschutzrecht als umfassende Datenschutzregel im Sinne der DS-GVO zu verstehen (2). Die Kirchensteuerstelle unterliegt der Aufsicht der kirchlichen Aufsichtsbehörden (3) und die Aufsicht betrifft nicht nur Mitglieder der jeweiligen Religionsgemeinschaft (4).

Stand: 11.05.2022

Dürfen Presseorgane ihre Website kostenpflichtig ohne Cookies, Tracking und Werbung anbieten und bei der kostenlosen Variante nur mit Cookies, Tracking und Werbung? 

Ursprünglich: Cookie-Wall, bei der der Nutzer die Inhalte einer Seite nur betrachten kann, wenn er der Setzung von Cookies zustimmt, ist unzulässig (BGH-Rechtsprechung zum Opt-Out).

Zulässig ist seit 2020 eine Cookie-Wall, wenn der Nutzer eine Alternative zur Einwilligung von Cookies hat (siehe BBH-Beitrag vom 03.06.2020), auch, wenn diese nur kostenpflichtig ist.

Dies resultiert vor allem aus der Einschätzung des edpd (European Data Protection Board, Leitlinie 05/2020 zur Einwilligung nach DSGVO, dort vor allem Rn. 38-41 und 86).

Damit eine Einwilligung freiwillig erteilt werden kann, darf der Zugang zu Diensten und Funktionen nicht von der Einwilligung eines Nutzers in die Speicherung von Informationen in seinem Gerät oder der Zugang zu bereits darin gespeicherten Informationen abhängig gemacht werden (sogenannte Cookie-Mauern bzw. Cookie-Walls).

Das heißt: ein kostenloses Angebot nur mit Setzung von Cookies ohne eine Alternative, ist wegen Verstoßes gegen das Merkmal der Freiwilligkeit der Einwilligung unzulässig.

Bei Kostenpflichtigkeit gilt: Da es keine gesetzliche Verpflichtung gibt, ein bestimmtes Telemediendiensteangebot kostenfrei anzubieten, ist die kostenpflichtige Alternative ohne Cookies zulässig.

Kostenlose „Cookie-Variante“: hier müssen alle gesetzlichen Vorgaben eingehalten werden. Also: Einwilligung bei nahezu allen Cookies und Tracking-Tools, außer, sie fallen unter die Ausnahme in Art. 25 TTDSG.

Antwort: Grundsätzlich ja, wenn alle Vorgaben eingehalten werden.

Stand: 11.05.2022

Wie ist FontAwesome datenschutzrechtlich zu bewerten? 

Was ist „FontAwesome“?

FontAwesome bietet eine Web Icon Library. Um die Icons anzeigen und laden zu können, werden bei FontAwesome (wie bei der der Verlinkung von GoogleFonts) die IP-Adresse beim Aufruf übertragen. Somit werden personenbezogene Daten im Sinne der DSGVO erfasst.

Für die Verarbeitung personenbezogener Daten, die FontAwesome vornimmt, benötigt man eine Rechtsgrundlage nach Art. 6 DSGVO.

--> Einwilligung!

Fällt FontAwesome in die gleiche Kategorie wie Google Fonts?

Antwort:

Ja, wenn Google Fonts dynamisch per Link eingebunden wird, kann man FontAwesome damit vergleichen.

Zum Thema Google-Fonts finden Sie auch in unserem FAQ Bereich auf der Website.

Stand: 04.05.2022

Was sind die Anforderungen für eine Einwilligung nach Art. 49 I a DSVGO im Falle der Verarbeitung von besonderen personenbezogenen Daten nach Art. 9 I DSVGO (Gesundheitsdaten) in einem Drittland wie den USA? 

Ausnahmen  für bestimmte Fälle, Art. 49 DSGVO

Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig: 1.die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.

Folgen aus dem Art. 49 Abs. 1 lit.a DSGVO:

  1. Ausdrückliche Einwilligung des Nutzers
  2. freiwillig, informiert und für den konkreten Fall
  3. Einschließlich der vorherigen Unterrichtung über die für den Nutzer bestehenden möglichen Risiken derartiger Datenübermittlungen

Oder muss beispielsweise folgender Hinweis vor der Verarbeitung erfolgen?

Hinweis auf die Verarbeitung Ihrer erhobenen Daten in den USA durch Google, Airtable, Survey Sparrow: Indem Sie auf „Akzeptieren“ klicken, willigen Sie zugleich gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO ein, dass Ihre Daten in den USA verarbeitet werden. Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden, zu Kontroll- und zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können. 

Antwort: Ja, sofern ein solcher Hinweis nicht nur ein Hinweis ist, sondern der Nutzer ausdrücklich für jeden Einzelfall eingewilligt hat. Bei der vorgeschlagenen Formulierung fehlt m.E. ein Hinweis auf das Nichtvorliegen von Betroffenenrechten und dass keine angesessenen Garantien für die USA vorliegen.

Genügt hierbei ein Hinweis in der Datenschutzerklärung (die mit einem „Klick“ erreichbar ist), dass die Verarbeitung in einem Drittland stattfindet?

Antwort:

Nein!

Es braucht nach dem klaren Gesetzeswortlaut eine informierte Einwilligung.

Stand: 04.05.2022

Wie ist der Einsatz von z.B. Ghostery – ein datenschutzorientierter Werbeblocker, aus Datenschutzsicht zu sehen? 

Beschreibung nach Wikipedia:

Ghostery ist eine Software, die den Anwender beim Surfen auf versteckte Dienste hinweist, die im Hintergrund private Daten an Seitenbetreiber übermitteln, und diese auf Wunsch blockiert. Das Programm ist als Software-Erweiterung für verschiedene Webbrowser Firefox, Safari, Chrome, Edge, Opera und Internet Explorer einsetzbar, sowie als eigenständige Webbrowser-App für Android und Apple iOS.

Anmerkungen:

•Sehr komfortabel anwendbar

•Aber: Es wird nicht auf alle versteckten Dienste hingewiesen

•Eine Weitergabe von Daten erfolgt laut Unternehmen nur, wenn ausdrücklich vom User eingewilligt wird.

Aus datenschutzrechtlicher Sicht nicht perfekt, aber der Einsatz an sich ist aus unserer Sicht unbedenklich.

Stand: 04.05.2022

Für wen gilt eigentlich das IT-Sicherheitsgesetz 2.0 ? 

1. Kritische Infrastrukturbetreiber

2. Digitale Dienste, wie

•Online-Suchmaschinen,

•Cloud-Computing-Dienste und

•Online-Marktplätze

Definition
Online-Shops, über die Einzelhändler ihre eigenen Waren vertreiben, sind keine Marktplätze im Sinne des § 2 BSIG.

Ein Online-Marktplatz ist eine Plattform, die als Dienstleistung eines Dritten einer Vielzahl von Verkäufern angeboten wird, um gebündelt ihre Waren an Käufer zu vermitteln. Normzweck ist der Schutz der quasi-infrastrukturellen Bedeutung des Marktplatzes. Fällt er aus, drohen wirtschaftliche Folgen für eine Mehrzahl von Verkäufern und Käufern, nicht nur für einen Einzelanbieter.

Gilt es für alle Unternehmen, auch solche, die keine kritischen Infrastrukturbetreiber sind?

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)

§ 8c Besondere Anforderungen an Anbieter digitaler Dienste (1)Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten. (2)Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:

  1. der Sicherheit der Systeme und Anlagen,

  2. der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,

  3. dem Betriebskontinuitätsmanagement,

  4. der Überwachung, Überprüfung und Erprobung,

  5. der Einhaltung internationaler Normen.

(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden.

Stand: 04.05.2022

Ist der Einbau eines Funkwasserzählers ein Eingriff in das informationelle Selbstbestimmungsrecht des Mieters? 

BayVGH, Beschluss vom 07.03.2022, Az.: 4 CS 21.2254


Sachverhalt:


Ein Ehepaar wurde im Mai 2021 unter Anordnung des Sofortvollzugs dazu verpflichtet, einem
Beauftragten des kommunalen Wasserversorgungsunternehmens Zugang zu ihrer Wohnung zu
gewähren , um ihm die Überprüfung und erforderlichenfalls den Austausch des bisherigen
analogen Wasserzählers gegen einen digitalen Zähler mit Funkfunktion zu ermöglichen.
Das Paar wandte sich hiergegen mit einem Eilantrag und machten geltend, dass dem Betrieb von
Funkwasserzählern datenschutzrechtliche und gesundheitliche Bedenken entgegenstünden.
Nach Ablehnung des Eilantrags durch das Verwaltungsgericht erhoben die Antragsteller
Beschwerde zum BayVGH.

Der Beschluss des BayVGH
Aus der Begründung

Der vom Gesetzgeber nur unter engen Voraussetzungen zugelassene Einsatz von elektronischen Wasserzählern mit Funkfunktion verstößt nicht gegen höherrangiges Recht. Im fortlaufenden Betrieb solcher Messgeräte liegt weder ein unzulässiger Eingriff in das Recht auf informationelle Selbstbestimmung, noch ergeben sich auch nach derzeitigem Erkenntnisstand Gesundheitsgefahren für die Bewohner.

Der Betrieb eines Funkwasserzählers ist keine Verletzung des Grundrechts auf informationelle Selbstbestimmung. Auch wenn der Betrieb Rückschlüsse auf den Wasserverbrauch einzelner Personen ermöglichen sollte, ist die Verarbeitung der personenbezogenen Daten gerechtfertigt.

Die Versorgung mit Trinkwasser und die Messung des Verbrauchs mittels Wasserzählern sei eine zur Daseinsvorsorge gehörende gemeindliche Pflichtaufgabe und diene dem öffentlichen Interesse. Die Verarbeitung der Daten stelle keinen so schweren Rechtseingriff dar, dass bei einer Gesamtabwägung das Interesse des öffentlichen Wasserversorgers an der Nutzung der Funkwasserzähler zurückstehen müsse. Der Einsatz von Funkwasserzählern könne im Hinblick auf das Grundrecht der Unverletzlichkeit der Wohnung sogar als eine besonders schonende Art der Datenerfassung angesehen werden, weil er das Betreten von privaten Räumen entbehrlich mache.

Nach derzeitigem Erkenntnisstand entstünden durch den Betrieb von Funkwasserzählern auch keine unzumutbaren Gesundheitsgefahren, weil die Strahlenleistung im Vergleich zu einem Handy um ein Vielfaches niedriger sei und die Funkwasserzähler in der Regel nicht in unmittelbarer Nähe zu den Bewohnern, sondern im Keller an der zentralen Hauswasserzuleitung angebracht würden.

Stand: 04.05.2022

Gibt es eine rechtliche Pflicht zur E-Mail-Archivierung? 

Es muss nicht jede E-Mail archiviert werden.

Archiviert werden müssen E-Mails, die für eine ordnungsgemäße Buchführung und/oder steuerrechtlich relevant sind. Gesetzliche Grundlage ist die AO (Abgabenordnung), die GoB (Grundsätze für ordnungsgemäße Buchführung) und GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).

Reine Kommunikation, die genauso mündlich hätte stattfinden können oder die Vertriebs- oder Marketingthemen betrifft, muss nicht aufbewahrt werden.

Hängen hinter den Mailadressen aber ganze Postfächer mit Inhalten, die unter die Aufbewahrungspflichten fallen, dann gelten dafür die echten Aufbewahrungsfristen nach den gesetzlichen Vorgaben (also nach AO, GoB, GOBD, etc.). Im Regelfall muss zwischen 6 und 10 Jahren gespeichert werden, wenn es sich um Inhalte handelt, die für eine ordnungsgemäße Buchführung, für die Steuer usw. notwendig sein könnten.

Bei Unternehmen, die ein eigenes Programm für Buchhaltung, etc. haben und dieses aus den Mailaccounts heraus komplett vervollständigen, ist keine eigene E-Mail-Archivierungspflicht gegeben. Z.B. haben Rechtsanwälte oft eine Schnittstelle zum Datev-Anwaltsprogramm. Damit wird alles, was für die Mandatsbearbeitung wichtig sein könnte und per Mail eingeht, im Datev-System abgespeichert und in den E-Mail-Postfächern verbleibt die reine „Kommunikation“ und die sollte dann regelmäßig gelöscht werden.

E-Mails müssen dann archiviert werden, wenn ihre Inhalte nach den gesetzlichen Vorgaben aufbewahrungspflichtig sind.

Revisionssichere Archivierung

Aus dem „Code of Practice“, erstmals veröffentlicht durch den Fachverband der Dokumentenmanagementbranche, Verband Organisations- und Informationssysteme (VOI) im Jahr 1996, gehen außerdem folgende Grundsätze hervor:

Die 10 Grundsätze zur Revisionssicherheit von elektronischen Dokumenten:

  • Jedes Dokument wird unveränderbar archiviert.
  • Kein E-Dokument darf auf dem Weg ins Archiv oder im Archiv selbst verloren gehen.
  • Jedes Dokument muss mit geeigneten Techniken (z. B. durch das Indexieren mit Metadaten) wieder auffindbar sein.
  • Es muss genau das Dokument wiedergefunden werden, das gesucht worden ist.
  • Kein Dokument darf während der Dauer der Aufbewahrungsfrist vernichtet werden.
  • Jedes Dokument muss in genau der gleichen Form, wie es erfasst wurde, wieder angezeigt und gedruckt werden können.
  • Alle Dokumente müssen zeitnah wiedergefunden werden können.
  • Alle Aktionen im Archiv, die Veränderungen in der Organisation und Struktur bewirken, sind derart zu protokollieren, dass die Wiederherstellung des ursprünglichen Zustandes möglich ist.
  • Elektronische Archive sind so auszulegen, dass eine Migration auf neue Plattformen, Medien, Softwareversionen und Komponenten ohne Informationsverlust möglich ist.
  • Das System muss dem Anwender die Möglichkeit bieten, die gesetzlichen Bestimmungen (BDSG, HGB, AO etc.) sowie die betrieblichen Bestimmungen des Anwenders hinsichtlich Datensicherheit und Datenschutz über die Lebensdauer des Archivs sicherzustellen.

Ist E-Mail-Archivierung beim Einsatz von Microsoft Exchange on premise oder M365 verpflichtend?

Nur, wenn inhaltlich gesetzliche Aufbewahrungspflichten betroffen sind.

Wenn es ein reines Kommunikationstool ist und zusätzlich eine Anwendung verwendet wird, in der alle notwendigen Unterlagen abgespeichert werden, besteht keine zusätzliche Pflicht zur Archivierung von E-Mails.

Anderenfalls schon.

Erfüllt die Funktion „Archiv“ aus Exchange online Plan 2 die rechtlichen Anforderungen an E-Mail-Archivierung?

Was ist Exchange online Plan 2?

Enthält E-Mail, Kontakte, Aufgabenverwaltung und Kalender und einen unlimitierten Archivierungsspeicher. Ist also ein weiteres Postfach, mit zeitlich unbegrenzter Speicherung und Wiederherstellungsfunktionen.

Antwort:

M.A. nach werden die wichtigsten Archivierungsvorgaben, nämlich die selektive Zuordnungsmöglichkeit zum jeweiligen Vorgang und die wichtige Vorgabe aus der DSGVO, nämlich regelmäßig löschen zu können, nicht erfüllt.

Stand: 27.04.2022

Wie weit ist das neue „EU-Datengesetz“? 

EU-Data-Act-Verordnung

Im Februar 2022: Gesetzesvorschlag der EU-Kommission des sogenannten Data Acts.

Ziel:
Zugang zu Daten und die Nutzung von Daten soll gefördert werden.
So soll ein „Datenbinnenmarkt“ entstehen, der die Wettbewerbsfähigkeit der EU erhöht.

5 wichtige Regelungsbereiche des Data-Acts:

  • Recht der Nutzer auf Zugang und Nutzung nutzergenerierter Daten
  • Verbot unfairer Vertragsklauseln in standardisierten Datenlizenzverträgen
  • Recht auf Datenzugang und -nutzung durch öffentliche Stellen
  • Bestimmungen, die eine Erleichterung des Wechsels von Datenverarbeitungsdiensten (insb. Cloud- und Edge-Anbieter) ermöglichen sollen
  • Anforderungen an die Interoperabilität von Datenverarbeitungsdiensten sowie an die internationale Datenübertragung

--> sehr weiter Anwendungsbereich, da nicht nur auf personenbezogene Daten bezogen.

Mehr Infos

Februar 2022: Gesetzesvorschlag der EU-Kommission des sogenannten Data-Acts.

Weiterer Verlauf des Gesetzgebungsverfahrens:

Verschiedene Lesungen im EU-Parlament und dem Rat der EU, am Ende müssen beide mit Mehrheit zustimmen.

Skizzierter Ablauf

In welchem Verhältnis wird dieses Gesetz bzw. diese Verordnung zur DSGVO stehen?

Parallele Geltung. Grundsätzlich ist der Anwendungsbereich des Data Acts mit der Einbeziehung auch nicht personenbezogener Daten (Maschinendaten) weiter, als der der DSGVO.

Einzelheiten sind noch unklar.

Stand: 27.04.2022

Speicherung von Informationen in der Endeinrichtung nach § 25 Abs. 2 TTDSG: wann brauche ich keine Einwilligung? 

Wann ist die Speicherung von Informationen in der Endeinrichtung nach § 25 Abs. 2 TTDSG „unbedingt erforderlich“, damit der Anbieter eines Telemediendienstes einen vom Nutzer „ausdrücklich gewünschten“ Telemediendienst zur Verfügung stellen kann?

Mit anderen Worten:

Wann brauche ich keine Einwilligung?

Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG:

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

 1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Hamburger Beauftragte für Datenschutz und Informationsfreiheit sagt folgendes:

„Außerhalb der genannten Voraussetzungen ist die Nutzung von Cookies, Web Storage, Browser-Fingerprinting und ähnlichen Technologien nur nach einer den Erfordernissen der DSGVO entsprechenden Einwilligung zulässig. Die Ausnahmen sind bereits dem Wortlaut nach eng auszulegen. So findet sich in Abs. 2 Nr. 2 die Formulierung „unbedingt erforderlich“, was vor dem Hintergrund der Gesetzesbegründung als technische, nicht jedoch wirtschaftliche Notwendigkeit zu verstehen ist. Regelmäßig wird daher die Reichweitenmessung, das Nutzertracking für Werbezwecke usw. für die Zurverfügungstellung eines Telemediendienstes nicht unbedingt erforderlich und daher nach dem TTDSG einwilligungspflichtig sein.“

Mehr Infos

Ein Rechtsanwalt vertritt folgende Auffassung:

„Unter die unbedingte Erforderlichkeit des § 25 Abs. 2 Nr. 2 TTDSG kann nicht nur die technische Erforderlichkeit zur Bereitstellung des Dienstes fallen, sondern auch die Erforderlichkeit zur Einhaltung gesetzlicher Pflichten oder zur Erbringung vertraglich geschuldeter Leistungen. Erforderlich bleibt eine konkrete Einzelfallbetrachtung, welche auch den Spielraum des ausdrücklich vom Nutzer gewünschten Telemediendienstes berücksichtigt. Dem mancherorts geäußerten Wunsch, Regelbeispiele für die unbedingte Erforderlichkeit in den Wortlaut der Vorschrift mit aufzunehmen, ist der Gesetzgeber nicht nachgekommen. Auf Cookie-Ebene sind beispielweise Cookies zur dauerhaften Speicherung von Spracheinstellungen oder zum Anbieten einer Warenkorbfunktion typische Beispiele für die unbedingte Erforderlichkeit von Cookies.“

Mehr Infos

Ergebnis:

Die Ausnahme nach § 25 Abs. 2 TTDSG ist für den Fall vorgesehen, dass Speicherung oder Zugriff für Telemedienanbieter unbedingt erforderlich sind, um Nutzer:innen einen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen. Nach konservativer Auffassung sind damit die technisch erforderlichen Cookies gemeint. Sie dienen z.B. dem Betrieb einer Webseite,  der Umsetzung von technischer Sicherheit oder auch der Speicherung von Warenkörben in Onlineshops. Letzteres ist aber eng verbunden mit der vertraglich geschuldeten Leistung, die technisch umgesetzt werden muss.

Wer also z.B. Browser-Fingerprinting einsetzt, um eine notwendige technische Sicherheit einer Website umzusetzen (und dies auch entsprechend begründen kann), braucht keine Einwilligung des Nutzers, sondern kann von der unbedingten Erforderlichkeit der Anwendung ausgehen, sofern er sie begründen kann.

Stand: 27.04.2022

Welche Löschfristen gelten für Fotografien, die Bildnisse zeigen? 

Folgende Gesetze müssen hier zur Beantwortung hinzugezogen werden:

UrhG: Urheberrecht besteht 70 Jahre bei Fotografien (§ 64 UrhG);
hat mit Löschungspflichten nichts zu tun, sondern nur mit Urheberrechten, v.a. Verwertungsrechten nach §§ 15 ff. UrhG

KUG: bei Bildnissen muss eine Einwilligung vorliegen nach § 22 KUG oder eine Ausnahme nach § 23 KUG. Wenn Einwilligung widerrufen wird --> Löschung!

DSGVO: Löschung bei Zweckerreichung oder Wegfall des Zwecks, oder die anderen Gründe des Art. 17 DSGVO

• Geht DSGVO oder KUG vor, wenn es um die Prüfung der Zulässigkeit einer Veröffentlichung geht?
--> DSGVO gilt neben dem KUG!

• Im BDSG-neu gibt es keine Ausnahme für „Meinungsfreiheit“

Rechtslage derzeit etwas unklar v.a. für private Fotos, auf denen Menschen als „Beiwerk“ zu sehen sind

• Rechtslage aber für die Mehrzahl der Anwendungsgebiete klar: Fotos mit Menschen drauf bei Schulfeiern, Ausflüge, Veranstaltungen, Websites etc.: Einwilligung einholen!

• Gleiches Ergebnis gilt für Löschfristen: Wenn Einwilligung widerrufen wurde: löschen!
Ansonsten: je nach Vereinbarung.

Stand: 06.04.2022

Dürfen wir nach dem Beschluss der DSK-Konferenz vom 23.03.2022 den Gemeinde Facebook-Auftritt noch betreiben?  

Ergebnis des Kurzgutachtens der Tascforce Facebook Fanpages vom 18.03.2022:

„Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben.

Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.“

Ergebnis der DSK-Konferenz vom 23.03.2022:

Die DSK nimmt das von der Taskforce Facebook-Fanpages erstellte Kurzgutachten zur Frage der datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vom 18.03.2022 zur Kenntnis und stimmt der Bewertung zu.

Es bildet für die Mitglieder der DSK eine wichtige Grundlage ihrer aufsichtsbehördlichen Tätigkeit gegenüber öffentlichen und nichtöffentlichen Stellen.

Aufgrund ihrer Vorbildfunktion stehen öffentliche Stellen zuvörderst im Fokus. Deshalb werden die Mitglieder der DSK im Rahmen ihrer Zuständigkeit

•die obersten Landes- bzw. Bundesbehörden über den Inhalt des Kurzgutachtens zeitnah informieren,

•überprüfen, ob Landes- bzw. Bundesbehörden Facebook-Fanpages betreiben,

•darauf hinwirken, dass von Landes- bzw. Bundesbehörden betriebene Facebook-Fanpages deaktiviert werden, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können.

Dieser Nachweis betrifft vor allem:

•den Abschluss einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit mit Facebook,

ausreichende Informationen über die gemeinsamen Datenverarbeitungen gegenüber den die Fanpages Nutzenden gemäß Art. 13 DSGVO,

•die Zulässigkeit zur Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf diese Informationen gemäß § 25 TTDSG sowie

•die Zulässigkeit der Übertragung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten

Hinweis von LiiDU:
Künftig dürfen nur, wenn diese hier genannten Nachweise erbracht werden, Facebook-Fanpages betrieben werden.

Stand: 06.04.2022

Muss bei Gesundheitsdaten die betroffene Person über die Weitergabe dieser entnommenen Proben in anonymisierter Form an z.B. Labore informiert werden? 

Wenn die Proben rein dem Gesundheitsschutz oder wissenschaftlichen Zwecken dienen sollen, greift Art. 9 Abs. 2 lit h. i DSGVO. und Erwägungsgrund 52

--> Verarbeitung sogar in nicht anonymisierter Form zulässig, wenn Voraussetzungen vorliegen.

Sind die Proben anonymisierbar?

Antwort:

•Ja, natürlich, weil derzeit keine Gendatenbank der Bundesbürger existiert. Aber:

• vielleicht gibt es irgendwann eine solche Datenbank, in der alle Bürger „aufgeschlüsselt“ liegen.

• Dann braucht es erst recht ein wirksames Datenschutzrecht, das den Zugriff darauf streng regelt.

• Die Polizei hat bereits über die Strafprozessordnung (v.a. § 483 STPO) die Möglichkeit, entsprechende Datenbanken zu unterhalten.

• Es gibt zudem eine DNA-Analysedatei des BK, über die Identifizierungsmuster gespeichert werden

Stand: 06.04.2022

Wie sieht ein DSGVO-konformes Kontaktformular aus? 

Ein DSGVO-konformes Kontaktformular sollte folgende Punkte abdecken:

1. Datensparsamkeit: so wenige Daten wie möglich erheben

2. Zweckbindung: Daten nur zu einem bestimmten Zweck verwenden

3. Mit Datenschutzerklärung der Transparenz- und Informationspflicht nachkommen:

• Information, dass personenbezogene Daten erhoben werden,

• Information, welche Daten genau erhoben werden,

• warum diese Daten erhoben werden,

• was mit den Daten gemacht wird und

• wie lange die Daten gespeichert werden.

Gutes Beispiel (ohne die ReCaptcha-Thematik)

Was kann man falsch machen beim Kontaktformular?

• Man kann vergessen eine Datenschutzerklärung bereitzuhalten

• Keine SSL-Übertragung anzubieten

• Alle möglichen Informationen als Pflichtangaben abzufragen

Welche Einwilligungen braucht man?

Man braucht keine gesonderte Einwilligung des Nutzers, weil die Absendung des Kontaktformulars bereits die Einwilligung darstellt!

Wie bewerkstelligt man DS-GVO-konforme Spam-Verhinderung beim Anmeldeformular?

Vorschläge:

  • Captcha: oft unlesbar und gilt oft als unelegante Lösung
  • reCaptcha: datenschutzrechtlich bedenklich, wegen der Analyse ohne Einwilligung

Beispiel - Mehr Informationen finden Sie hier

  • Honeypots: Schwierigkeiten bei der Einbindung
  • Newslettertools: können auch für die datenschutzkonforme Anbindung der Anmeldeformulare sorgen 

Wie "tief" muss die Verarbeitung der Daten im Kontaktformular in der Datenschutzerklärung erläutert werden?

Nicht tief. Es müssen die gesetzlichen Anforderungen erfüllt sein.

Gutes Beispiel

Ziff. 13

Was ist im Verfahrensverzeichnis zu beachten?

Im Verfahrensverzeichnis sollte die Website ein eigenes Verzeichnis haben – außer es ist eine reine Informationsseite.

Dort kann der Punkt „Kontaktformular“ als Unterpunkt aufgenommen werden.

Stand: 30.03.2022

Wie bekommen wir Matomo mit dem TTDSG in Einklang? 

Was ist Matomo?

Matomo hieß vor 2018 Piwik und ist ein Web-Analysetool. Seine Hauptfunktion ist, Bewegungen auf Websites zu analysieren, um aufgrund der gewonnen Erkenntnisse die Website optimieren zu können.

Was ist datenschutzrechtlich zu beachten?

Das Tool kann

ganz ohne die Erhebung personenbezogener Daten eingesetzt werden (Privacy-Einstellungen), indem, dass die letzten Ziffern der IP-Adresse anonymisiert wird.

• auch komplett ohne Cookies eingesetzt werden (in der Privacy-Einstellung „alle Tracking-Cookies deaktivieren“). (Achtung: Matomo nutzt in der Standardeinstellung Cookies. In diesem Fall muss also in jedem Fall ein Cookie-Banner mit Einwilligungsmöglichkeit verwendet werden.)

Werden diese Punkte eingehalten, braucht man – rein datenschutzrechtlich gesehen – keine Einwilligung (und damit keinen Banner!)

Und: ein Hinweis in der Datenschutzerklärung dürfte optional sein.

Was aber ist TTDSG-rechtlich zu beachten?

Es gibt § 25 TTDSG, wonach die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.

--> gilt also vor allem für Cookies! Allerdings soll nach dem Willen des Gesetzgebers und wohl auch nach dem Wortlaut des § 25 TTDSG die Einwilligungspflicht nicht nur für Cookies gelten, sondern für sämtliche Mechanismen, die entweder Informationen auf Nutzerendgeräten speichern oder von diesen auslesen.

Damit wäre eine Einwilligungspflicht für Matomo relevant, da auch bei Deaktivierung von Cookies mit dem sogenannten „Device Fingerprinting“ ein bestimmtes Nutzerverhalten nachvollzogen werden kann.

Device Fingerprinting: Vom Nutzer nicht zu erkennende Technologien, die vom verwendeten Endgerät spezifische Informationen (z.B. Gerätetyp, das Betriebssystem) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.

Es ist fraglich, ob bei diesem Device Fingerprinting so auf Geräte-Informationen zugegriffen wird, dass bereits deswegen von einer eigenständigen Einwilligungspflicht ausgegangen werden kann.

Es gibt keine Urteile dazu! Mehr dazu finden Sie hier.

Stand: 30.03.2022

Haben sich die EU und USA auf ein neues Datenschutzabkommen geeinigt? 

EU-Kommission und die USA haben am 25.03.2022 durch ihre ranghöchsten Vertreter bekanntgegeben, dass man sich auf ein neues Datenschutzabkommen zwischen den USA und Europa geeinigt hat. Hier ein Textauszug aus der Veröffentlichung:

The European Commission and the United States reached an agreement in principle for a

Trans-Atlantic Data Privacy Framework.

Key principles

• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies

• A new set of rules and binding safeguards to limit access to data by U.S. intelligence authorities to what is necessary and proportionate to protect national security; U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards

A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court

• Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce

• Specific monitoring and review mechanisms

Hier finden Sie den ganzen Text

Es gibt noch keinen rechtlichen Text, der veröffentlicht wäre.

Nach der (oben verlinkten) Ankündigung, wird nun erst die Vereinbarungen in rechtliche Texte übertragen. Das wird Monate dauern.

Max Schrems hat erklärt, dass jedes neue Abkommen, das die Anforderungen des EU-Rechts nicht erfüllt, innerhalb weniger Monate vor dem EuGH angefochten werden wird, z. B. durch zivilrechtliche Verfahren und einstweilige Verfügungen.

Stand: 30.03.2022

Unter welchen Voraussetzungen ist der Einsatz von Google Optimize unbedenklich? 

Google Optimize ist ein A/B-Testing-Tool

Grundsätzlich: Auch ohne Cookies ist Google Analytics einwilligungspflichtig, insbesondere wegen der Verarbeitung der Analysedaten immer in den USA.

Im Speziellen: Sofern man Google Optimize zur anonymen Auswertung nutzen kann, dann ist das DSGVO-konform. Wenn Voraussetzung aber die Nutzung von Google-Analytics ist (=Standardfall!), dann nur mit Einwilligung der Nutzer.

Voraussetzungen eines rechtskonformen Einsatzes wären damit:

  1. Einwilligung der Nutzer
  2. Abschluss von Standardvertragsklauseln
  3. Aufnahme in die Datenschutzerklärung
  4. Daten-Transfer-Folgenabschätzung

Hier finden Sie eine gute Übersicht mit Checkliste

Stand: 23.03.2022

Unter welchen Voraussetzungen muss man einen AV-Vertrag abschließen? 

Um einen Auftragsverarbeitungsvertrag abschließen zu müssen, muss eine Verarbeitung im Auftrag des Verantwortlichen stattfinden, Art. 28 DSGVO.

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nach Ansicht des BayLDA nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Klassische Beispiele sind Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen), Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten, Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt; Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist, etc.).

Abgrenzung zu einer eigenen Verantwortlichkeit in der Verarbeitung:

Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, z.B. Tätigkeiten von Steuerberater, Rechtsanwälten und Wirtschaftsprüfer, Bankinstitute für den Geldtransfer, Postdienste für den Brief- oder Pakettransport;

Im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit, z.B. Bewachungsdienstleistungen, Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen, Transport von Unterlagen und Waren durch Kurierdienste oder Speditionen, etc.;

Sehr schöne Übersicht zur Abgrenzung der Auftragsverarbeitung mit den anderen Formen der Verarbeitung: Link zur pdf-Datei des BayLDA

Stand: 23.03.2022

Ein Verein ist in NRW beim Registergericht gemeldet, die Geschäftsstelle des Vereins ist in Bayern. Welches Landesamt für Datenschutzaufsicht ist die zuständige Behörde? 

Ein Verein, dessen Zweck nicht auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist, erlangt Rechtsfähigkeit durch Eintragung in das Vereinsregister des zuständigen Amtsgerichts, vgl. § 21 BGB.

Damit eine Geschäftsstelle eingerichtet werden kann, muss dies in der Vereinssatzung geregelt sein.
Es ist deshalb ratsam, schon bei Vereinsgründung eine Regelung aufzunehmen, die grundsätzlich die Einrichtung einer Geschäftsstelle ermöglicht. Ob, wann und wo diese dann tatsächlich eingerichtet wird, bleibt der Beschlussfassung in der Mitgliederversammlung vorbehalten. Es sollte in der Satzung auch geregelt werden, welche Aufgaben die Geschäftsstelle hat (z.B. Bearbeitung von Anträgen für die Aufnahme neuer Mitglieder, Postbearbeitung, Aktualisierungen der Mitgliederkartei, Einkauf von Büroartikeln, …).

In der Praxis sind Verwaltungssitz und Vereinssitz meist identisch. Es ist jedoch möglich, dass Vereins- und Verwaltungssitz auseinanderfallen.

Das heißt im vorliegenden Fall wäre das Vorliegen von zwei Zuständigkeiten (Bayern und NRW) grundsätzlich möglich.

Konkret zur Zuständigkeit:  Art. 55 DSGVO

  1. Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
  2. Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.
  3. Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

Art. 56 Zuständigkeit der federführenden Aufsichtsbehörde

  1. Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung. (One-Stop-Shop)
  2. Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt. (= Lokale Fälle)
  3. …. https://dsgvo-gesetz.de/art-56-dsgvo/

Unabhängig von Zuständigkeitsfragen können sich betroffene Personen mit Beschwerden an jede Datenschutzaufsichtsbehörde wenden!

Ergebnis:

Hier ist die Hauptniederlassung der Vereinssitz in NRW. Es kann aber nach Art. 56 Abs. 2 DSGVO jede Aufsichtsbehörde zuständig sein, wenn in ihrem Gebiet eine Datenschutzverletzung begangen  wurde.

Das Verfahren zum Ablauf regelt Art. 60 DSGVO.

Stand: 23.03.2022

Eine Bürgerin möchte, dass ihre Daten aus dem Internet gelöscht werden. Was ist zu tun? 

BETROFFENENRECHTE:

Eine Bürgerin möchte jetzt, dass ihre Daten, die 2015 in einem Amtsblatt einer Gemeinde standen, weil sie Dozentin von Bildungsveranstaltungen der VHS der Gemeinde war, komplett aus dem Internet gelöscht werden. Diesem Wunsch ist die Gemeinde nachgekommen, soweit sie Zugriff hatten.

Allerdings wurde das PDF auch auf Websites wie docplayer.org und kipdf.com hochgeladen, was nicht die Gemeinde gemacht hat.

Die beiden Websites sind britisch bzw. amerikanisch und haben kein Impressum, keine Kontaktdaten bzw. es wird auf eine Mail an info@... nicht reagiert. 1.Wie weit geht die Verantwortung des Verantwortlichen, Daten, die ohne seine Zustimmung im Internet weiterverbreitet wurden, zu löschen bzw. löschen zu lassen?
2.Muss man etwas tun und was kann man tun, wenn sich der Betreiber der betreffenden Websites außerhalb Europas befindet und nicht zu erreichen ist?
3.Wie ist der Sachverhalt, wenn die Dozentin das gewerblich gemacht und dafür Geld erhalten hat und/oder es einen Vertrag darüber gibt?

Wie weit geht die Verantwortung des Verantwortlichen, Daten, die ohne seine Zustimmung

im Internet weiterverbreitet wurden, zu löschen bzw. löschen zu lassen?

Hier muss unterschieden werden:

1. Wurden die Daten bereits ohne rechtliche Grundlage verbreitet, gibt es eine Verpflichtung der verantwortlichen Stelle, einer Löschung auch auf anderen Websites nachzugehen.

2. Wurden die Daten rechtmäßigerweise öffentlich zugänglich gemacht, dann ist es nicht Aufgabe des Verantwortlichen, Löschung dieser Daten auf anderen Websites nachzugehen.

Muss man etwas tun und was kann man tun, wenn sich der Betreiber der betreffenden Websites

außerhalb Europas befindet und nicht zu erreichen ist?

Evtl. Recht auf Vergessenwerden, Art. 17 DSGVO à Antrag bei Google, die Listung der Inhalte zu löschen.

Google entscheidet nach dem Löschungsantrag über die Entfernung. Gute Aussichten auf Löschung haben Grundrechtsverletzungen. Hier ist das informationelle Selbstbestimmungsrecht der betroffenen Dozentin betroffen à Inhalt im Netz ist zu löschen.

Wird Löschungsantrag abgelehnt: betroffene Person kann sich an die zuständige Aufsichtsbehörde der Suchmaschine wenden.

Wie ist die Rechtslage, wenn die Dozentin das gewerblich gemacht und dafür Geld erhalten hat

und/oder es einen Vertrag darüber gibt?

Bei einem Vertrag über die Leistungen der Dozentin, sollte auch die Veröffentlichung eines Fotos, Ihres Namens etc. geregelt werden. Je klarer die diesbezügliche Regelung, desto besser.

Falls das nicht der Fall ist, muss der Vertrag ausgelegt werden.

Stand: 23.03.2022

Rechtsprechung des OLG Dresden - Schadensersatz 

Ein Geschäftsführer wird zur Zahlung von EUR 5.000 Schadensersatz für eine Datenschutzverletzung verurteilt.

OLG Dresden, Urteil vom 30.11.2021, Az. 4 U 1158/21

Sachverhalt:

Ein Verein holte nach einem Mitgliedsantrag umfangreiche Informationen über die Person ein, u.a. über Vorstrafen. Daraufhin wurde der Mitgliedsantrag abgelehnt. Die betroffene Person klagte u.a. auf Schadenersatz gegen die GmbH und gegen des Geschäftsführer.

Zum Urteil:

1. Der Geschäftsführer einer GmbH ist neben der Gesellschaft „Verantwortlicher“ im Sinne der DSGVO.

2. Eine Erhebung von Daten muss zunächst bei der betroffenen Person stattfinden – und erst danach bei Dritten, sofern dies für den Verantwortlichen nicht ausnahmsweise unzumutbar ist.

3. Die Datenerhebung von Vorstrafen des Betroffenen ist nur unter den Voraussetzungen des Art. 10 DSGVO zulässig.

4. EUR 5.000,- als immaterieller Schaden ist angemessen (… Dies bedeutet aber nicht, dass die Geldentschädigung zwingend „Strafcharakter“ haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben.“)

Stand: 16.03.2022

Wir sind eine Privatschule. Eine Mutter einer Schülerin hat und Auskunft nach Art. 15 DSGVO verlangt. Was ist zu tun? 

Es gibt Vorlagen verschiedener Bundesländer für die Schulen, um auch dort den Datenschutz DSGVO-konform umzusetzen.

Vorlagen für typische Verarbeitungstätigkeiten in Schulen

Die Auskunft ist gemäß 15 DSGVO zu erteilen. Demnach ist zu prüfen, ob der Antragsteller eine Berechtigung hat, die Auskunft zu verlangen (eine Mutter hat das in aller Regel für sich und ihr Kind). Danach ist binnen Monatsfrist zu antworten.

Hier Templates des BayLDA für die Auskunftserteilung

Hier ein ausführliches Merkblatt des Bayerischen Landesbeauftragten für den Datenschutz zum Thema Auskunft

Stand: 16.03.2022

Wie ist das Newsletter-Tool „Mailchimp“ datenschutzrechtlich zu bewerten? 

Mailchimp ist ein in den USA sitzender Anbieter eines Newsletter-Tools.

Aufgrund des Wegfalls des Privacy-Shields sind jetzt Standarddatenschutzklauseln zu verwenden und: --> datenschutzrechtliche Einwilligung ist einzuholen

Voraussetzungen für den datenschutzkonformen Einsatz:

1.Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)

2.Standarddatenschutzklauseln vereinbaren

3.Einwilligung bei Newsletter-Registrierung einholen

4.Double-Opt-In (eigentlich eine werberechtliche Voraussetzung)

Stand: 16.03.2022

Office365 bzw. Microsoft365: wie ist die Einsetzbarkeit im öffentlichen Bereich datenschutzrechtlich zu bewerten? 

Grundproblem:

•Microsoft hat seinen Sitz in den USA.

•Datenschutzbestimmungen USA ≠ DSGVO, deshalb braucht man mit Anbietern außerhalb der EU eine gesonderte Rechtsgrundlage. Bis 2020 war das das Privacy Shield, das aber weggefallen ist.

•Microsoft setzt seitdem auf Standarddatenschutzklauseln

•Die DSK hat 2020 in einer Stellungnahme erklärt, dass Office 365 rechtswidrig ist, weil es nicht datenschutzkonform genutzt werden kann.

•Es gibt viele Datenschützer, die das differenziert sehen.

Stellungnahmen verschiedener Länder:

•BayLDA: die DSK hat zu allgemein gearbeitet. Office 365 arbeitet mit vielen verschiedenen Apps, es kommt darauf, was man davon für welche Daten einsetzt. Derzeit verhandelt Microsoft mit den europ. Datenschützern über einen rechtskonformen Einsatz von Office 365.

Pressemitteilung vom 02.10.2020

Pressemitteilung LFD Niedersachsen

Fazit: Es ist noch nichts entschieden, v.a. kann der Einsatz von Office 365 nicht als per se rechtswidrig angesehen werden. Empfehlung: nachfolgende Fragen klären und dokumentieren

Office 365 – Folgende Frage klären und dokumentieren:

•Prüfen Sie, ob es evtl. europäische Alternativen für MS 365 gibt

•Zerlegen Sie MS 365 in die relevanten Apps und nehmen Sie nur das, was Sie wirklich brauchen

•Buchen Sie Azure Europe/Deutschland •Sperren Sie „gefährliche Apps“, wie z.B. Delve, Graph, Yammer

•Überprüfen Sie kontinuierlich nach relevanten Änderungen •Deaktivieren Sie Administrator Auswertungsmöglichkeiten der Benutzeraktivitäten

•Stellen Sie die Übermittlung von Telemetriedaten ab (GPO)

•Implementieren Sie Sicherheitsmaßnahmen (v.a. Verschlüsselung)

•Erlassen Sie verbindliche schriftliche Regelungen (DA, BV, Richtlinie …)

•Schulen Sie die Mitarbeiter

•Sorgen Sie für datenschutzkonforme Verträge (AVV, SCC)

•Tragen Sie MS 365 in das VVT ein (Block oder modular)?

•Dokumentieren Sie Ihre Entscheidungen und Maßnahmen

Stand: 16.03.2022

Wie kann ich in der Datenschutzerklärung der Homepage hervorheben, das wir Google Fonts lokal eingebunden haben? 

Die lokale Einbindung von Google-Fonts muss gar nicht in die Datenschutzerklärung aufgenommen werden.

Begründung:
Es werden keine personenbezogenen Daten verarbeitet.

Stand: 09.03.2022

Nehmen die Beschwerden und gemeldeten Datenschutzverletzungen bei Aufsichtsbehörden zu – oder ab? 

Die Beschwerden und die gemeldeten Datenschutzverletzungen nehmen zu!

Im Jahr 2011 gab es beim Bayerischen Landesamt für Datenschutzaufsicht 687 Beschwerden, im Jahr 2018 bereits 3643 Beschwerden und im Jahr 2020 sogar 6185 Beschwerden. Bei den gemeldeten Datenschutzverletzungen haben sich die Zahlen in den letzten 10 Jahren ähnlich entwickelt. 2011 lag der Wert bei 10, 2018 bei 2471 und 2020 wurden 3752 Datenschutzverletzungen gemeldet. Es ist also sowohl bei den Beschwerden als auch bei den Datenschutzverletzungen ein signifkanter Anstieg zu verzeichnen.

Stand: 09.03.2022

Ist Cloudflare datenschutzkonform einsetzbar? 

Was macht Cloudflare?

Cloudflare ist ein US-amerikanisches Unternehmen, das ein Content Delivery Network, Internetsicherheitsdienste und verteilte DNS-Dienste (Domain Name System) bereitstellt, die sich zwischen dem Besucher und dem Hosting-Anbieter des Cloudflare-Benutzers befinden und als Reverse Proxy für Websites fungieren. Cloudflare legt zudem Kopien von Webseiten auf eigene Server. Diese Server befinden sich verteilt an unterschiedlichen Standorten auf der Welt. Bei Aufruf einer bestimmten Webseite von einem bestimmten Standort aus, wird immer der geeignete Server angesprochen, was den Zugriff auf die Seite beschleunigt. Zudem identifiziert Cloudflare Crawler oder Bots, die möglicherweise Ressourcen und Bandbreite belasten würden.

Problem: US-amerikanischer Dienst!
--> Eigentlich kann der Einsatz nur mit Einwilligung des Nutzers stattfinden
(was aber den Interessen des Berechtigten widersprechend dürfte).

Das schreibt der TÜV-Süd auf seiner Website zur Nutzung  Cloudflare:

"Schutz vor Störungen und Missbrauch sowie Verbesserung der Webseite
Personenbezogene Nutzungsdaten, wie Ihre IP-Adresse sowie die Zeiten Ihrer Aufrufe unseres Internettauftritts, werden über die Webseite zur Ermittlung sowie zur Verfolgung von Störungen oder Missbräuchen unserer Online-Angebote oder Telekommunikationsdienste und -anlagen und zur Performanceverbesserung unseres Internetauftrittes, verarbeitet. Diese Website nutzt Dienste von „Cloudflare“ (Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA). Cloudflare betreibt ein Content Delivery Network (CDN) und stellt Schutzfunktionen für die Website (Web Application Firewall) zur Verfügung. Der Datentransfer zwischen Ihrem Browser und unseren Servern fließt über die Infrastruktur von Cloudflare und wird dort analysiert, um Angriffe abzuwehren. Cloudflare setzt dazu Cookies ein, um Ihnen den Zugang zu unserer Webseite zu ermöglichen. Die Nutzung von Cloudflare erfolgt im Interesse einer sicheren Nutzung unserer Internetpräsenz und der Abwehr schädlicher Angriffe von außen. Weitere Informationen finden Sie in der Cloudflare-Datenschutzerklärung"

Unter dem Punkt: technisch-notwendige Cookies!

Stand: 09.03.2022

Was sagt das Urteil "Schadensersatz bei fehlerhafter Schufa-Einmeldung" aus?  

Urteil des LG Lüneburg vom 14.07.2020 – 9 O 145/19

Sachverhalt:

Der Kläger wurde von seiner Hausbank wegen der Überziehung eines Dispo-Kredits von EUR 20,- an die Schufa gemeldet. Er machte gerichtlich den Widerruf der Meldung und die Zahlung immateriellen Schadensersatzes geltend.

Entscheidung:

  1. Anspruch auf Widerruf der von der Beklagten veranlassten Datenübermittlung an die Schufa ist gem. §§ BGB § 1004 Abs. BGB § 1004 Absatz 1, BGB § 823 BGB analog iVm Art. 6 Abs. 1 DSGVO gegeben. Kein überwiegendes Interesse der Bank erkennbar nach Art. 6 Abs.1 S. 1 lit. f) DSGVO. Insbesondere liegt kein Fall des § 32 Abs. 2 DSGVO vor.
  2. Der Anspruch auf Schadensersatz von EUR 1000,- ergibt sich aus Art. 82 Abs. 1 DSGVO.

Folge:

Verbraucher kann seine Rechte aus BGB mit seinen Rechten aus der DSGVO kombinieren.

Wiederholt ist jetzt bereits ein Anspruch auf Schadensersatz durchgesetzt worden!

Stand: 09.03.2022

Darf ein Dienstleister auf dem Firmenrechner ein Screencast erstellen?  

Die konkrete Fragestellung lautet:

Eine Firma beauftragt einen externen Dienstleister (z.B. IT-Unternehmen) mit der Wartung des Systems.

Darf von der Tätigkeit des Dienstleisters auf dem Firmenrechner ein Screencast erstellt werden?

Falls ja: welche Voraussetzungen gelten hier? Muss z.B. der Dienstleister über die Aufnahme informiert werden?

Regelfall:

Man kennt die Person, die die Tätigkeiten vornimmt
 --> Verarbeitung personenbezogener Daten!

-->Screencast kann erstellt werden, sofern eine Einwilligung vorliegt.

--> Falls keine Einwilligung vorliegt: Stichprobenkontrolle
(gestützt auf Art. 6 Abs. 1 S. 1 lit. f DSGVO) zulässig.

Stand: 09.03.2022

Wir (Softwareagentur) haben bei diversen Webseiten unserer Kunden Google Fonts verwendet und bisher nicht lokal eingebunden. Was müssen wir jetzt tun? 

Vorschlag für die nächsten Schritte:

  1. Kunden informieren über aktuelles Urteil https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/
  2. Google Fonts lokal beim Kunden einbinden
  3. Verantwortlich nach Außen ist die „Verantwortliche Stelle“ = Impressum der Website
  4. Im Innenverhältnis kann evtl. Rückgriff genommen werden. Fragen in diesem Umfeld aber im Einzelnen ungeklärt.

 Dr. Korch in der NJW 2021, 978: folgende Fragen müssten an den EuGH gestellt werden:

  1. Ab wann besteht eine Erheblichkeits- oder Bagatellschwelle?
  2. Welche Anforderungen sind an die konkrete Darlegung eines Schadenspostens zu stellen, insbesondere, ob auch der Kontrollverlust oder das Gefühl der Ohnmacht genügt.
  3. Zur Beweislast hinsichtlich der haftungsausfüllenden Kausalität, insbesondere, wenn entgegen dem Wortlaut Beweiserleichterungen bis hin zur Beweislastumkehr angenommen werden.
  4. Ob ein materieller Schaden auch mit der vorgeschlagenen Methode der „dreifachen Schadensberechnung“ bestimmt werden kann.
  5. Ob dem Betroffenen ein Mitverschuldenseinwand, wie ihn § BGB § 254 BGB im nationalen Recht vorsieht, entgegengehalten werden kann.

Stand: 23.02.2022

Woraus ergibt sich der Anspruch auf Schadensersatz aus dem Google Fonts Urteil des LG München vom 20.01.2022? Wie hoch könnte ein solcher Schadensersatzanspruch theoretisch ausfallen? 
  1. Aus Art. 82 Abs. 1 DSGVO; Auszug aus dem Urteil:

„Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (…). Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden.“

  1. Theoretische Höhe des Schadensersatzes:

Bußgeld:
gestaffelt von 2%/10 Mio. EUR bis 4%/20 Mio. EUR, bezogen auf den weltweit erzielten Jahresumsatz des Unternehmens, je nachdem welcher der Beträge höher ist, https://dsgvo-gesetz.de/art-83-dsgvo/

Strafrecht:
jeweiliges nationales Recht

Stand: 23.02.2022

Ist Google Optimize datenschutzkonform einsetzbar?  

Google Optimize ist ein A/B-Testing-Tool

Grundsätzlich: Auch ohne Cookies ist Google Analytics einwilligungspflichtig, insbesondere wegen der Verarbeitung der Analysedaten immer in den USA.

Im Speziellen: Sofern man Google Optimize zur anonymen Auswertung nutzen kann, dann ist das DSGVO-konform. Wenn Voraussetzung aber die Nutzung von Google-Analytics ist (=Standardfall!), dann nur mit Einwilligung der Nutzer.

Stand: 23.02.2022

Ist Zoom datenschutzkonform einsetzbar?  

Zoom ist datenschutzkonform einsetzbar.

Dienst wurde erheblich nachgebessert, v.a. nach Kritik des LfDI Baden-Württemberg zur fehlenden Verschlüsselung, der unklaren Beteiligung von Unternehmen aus Drittländern und der üblichen Kritik, dass die Server in den USA stehen.

Jetzt: LfDI Baden-Württemberg hat seine Warnung zurückgezogen.

Empfehlungen:

  • Kostenpflichtige und neuste Version verwenden
  • Serverstandort in der EU festlegen
  • bei Kommunikation mit Externen: Informationen über die Nutzung

            von Zoom in die Datenschutzerklärung aufnehmen

  • Bei Aufzeichnung eines Meetings: Einwilligung einholen
  • Warteräume, Stummschaltung, etc. nutzen
  • Wenn möglich: Ende-zu-Ende-Verschlüsselung verwenden

Stand: 23.02.2022

Ist Microsoft-Teams datenschutzkonform einsetzbar? 

Microsoft-Teams ist – unter Vorbehalt - datenschutzkonform einsetzbar.

Hauptkritikpunkt früher: Microsoft geht intransparent beim Anbieten von datenschutzrechtlich notwendigen Dokumenten (z.B. AV-Verträge) vor. Kritik kam vor allem von der Berliner und der Hessischen Aufsichtsbehörde, die Teams für nicht einsatzfähig erklärte.

Argument nicht valide, da

  • Änderungen im AV-Vertrag nur für Zukunft gelten
  • Verarbeitung nur für vorher festgelegte Zwecke erfolgt, nämlich: Abrechnungs- und Kontoverwaltung
  • Interne Berichterstattung
  • Bekämpfung von Betrug und Cyberkriminalität;
  • Keine Verarbeitung zur Benutzerprofilierung, zur Werbung oder zu ähnlichen kommerziellen Zwecken!

Bei Übertragung in die USA gibt es Bedingungen, die eingehalten werden müssen:

  • Die Nutzung von sogenannten EU-Standardverträgen
  • Der Aufbau von internen Unternehmensrichtlinien zur Nutzung von Office 365 innerhalb eines Unternehmens
  • Die Einwilligung der Betroffenen als Zustimmung zum transatlantischen Datentransfer

Stand: 23.02.2022

Verpflichtung auf das Datengeheimnis: Braucht man neben dem Arbeitsvertrag noch eine zusätzliche Vereinbarung mit den Angestellten?  
Wie kann ich herausfinden, ob mein Verzeichnis für Verarbeitungstätigkeiten den gesetzlichen Anforderungen genügt?  

In Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) steht:

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

Praxishilfen des BayLDAhttps://www.lda.bayern.de/de/muster.html

Beispiel Onlineshop: https://www.lda.bayern.de/media/muster/muster_9_online-shop_verzeichnis.pdf

Stand: 23.02.2022

Ich bin Datenschutzbeauftragte in meiner Firma geworden: Womit fange ich am besten an?  

Antwort für ein kleines Unternehmen:

  1. Schulung
  2. Bestandsaufnahme

Für ein mittleres Unternehmen (mehr als 80 Mitarbeiter):

  1. Schulung
  2. Beratung durch einen externen DSB
  3. Audit

Stand: 23.02.2022

Wie kann ich herausfinden, welche Cookies technisch notwendig sind?  
  • Notwendig sind:

Session-Cookies, die bestimmte Einstellungen des Nutzers speichern, z.B. Sprache, Warenkorb, etc.

Cookies für Logins und

Cookies für Warenkörbe, die keine Daten weitergeben

  • Wahrscheinlich notwendig sind:

Cookies zur Wiedergabe von Medieninhalten (Flash-)

Cookies, die zur Vorbereitung und Durchführung eventueller Zahlungen oder der Prüfung einer Zahlungslegitimation dienen

  • Nicht notwendig sind:

Alle anderen Cookies (v.a. Tracking- und Analysetools, Affiliate-Dienste, Remarketing-Diensten, Social-Media-Plugins, Video-Dienste, Online-Kartendienste, etc.)

Stand: 16.02.2022

Wie packen andere Verantwortliche (oder ext. DSB) eine Datenschutz-Folgenabschätzung (DSFA) an, um geeignete Ergebnisse zu erhalten? 

Was ist überhaupt eine Datenschutzfolgeabschätzung (DSFA)?

In Art. 35 DSGVO geregelt.

Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung‎ vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte --> Risikoanalyse!

Stand: 16.02.2022

Was steht im Urteil des LG München vom 20.01.2022 zum Thema „Einbindung von Google-Fonts auf einer Website“, Az. 3 O 17493/20? 

Sachverhalt:

Der Beklagte hatte Google Fonts per Link auf seiner Webseite eingebettet (und nicht lokal auf seinem Server gespeichert).

Der Kläger sah darin einen Anspruch gegen den Beklagten auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog.

Rechtliche Würdigung:

  1. IP-Adresse ist ein personenbezogenes Datum
  2. 2. Einbindung von Google Fonts ist datenschutzwidrig und kann nicht durch das berechtigte Interesse nach Art. 6 Abs.1 f) DSGVO abgedeckt werden.
  3. 3.Unterlassungsanspruch, Auskunftsanspruch und Schadensersatz über EUR 100,- wurde vom Gericht bejaht.

Hier finden Sie das Urteil zum Thema "Google Fonts" 

Die Konsequenzen aus diesem Urteil sind ganz klar:

  • Es ist nicht von einem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO auszugehen.
  • Google Fonts solle dringend lokal eingebunden werden (und nicht per Link). Hier finden Sie eine Erklärung, wie die Einbindung von Google Fonts auf Ihrer Website funktioniert. 

Stand: 16.02.2022

Wie gehen Datenschutz-Aufsichtsbehörden mit angezeigten Datenschutzverstößen um? 

Die Beschwerden nehmen zu. Auch „unbedeutende“ Verstöße gegen die DSGVO werden verfolgt.

Das BayLDA hat hierfür eine Statistik veröffentlicht. In 2020 gab es 6185 Beschwerden und Kontrollanregungen. Dabei wurden 230 Bußgelder verhängt. Das sind nicht mal 5% aller Vorgänge.

Stand: 16.02.2022

Brauchen Videokamera-Attrappen  einen datenschutzrechtlichen Hinweis?  

Nein. Videokamera-Attrappen brauchen keinen datenschutzrechtlichen Hinweis, da keine personenbezogenen Daten verarbeitet werden.

Insbesondere fehlt die Aufzeichnungsfunktion.

Stand: 16.02.2022

Welche Möglichkeiten gibt es, um die rechtskonforme Verwendung von Cookies zu prüfen? 

Zur Überprüfung von Webseiten empfiehlt es sich, so viele Browser wie möglich zu nutzen/installieren:

Auf Windows können folgende Browser zur Untersuchung genutzt werden:
- Microsoft Edge
Firefox 
Chrome 
Brave 
Opera 

Auf iOS kann der Browser Safari zur Untersuchung genutzt werden.

Beim Firefox empfiehlt sich die Installation von Plug-Ins, insbesondere:
- NoScript
- Ghostery: Die Software Ghostery weist beim Surfen auf versteckte Anwendungen hin und blockiert sie auf Wunsch. 
- Privacy Badger
- Cookies and Headers Analyser
Das Plug-in uMatrix wird leider vom Entwickler nicht mehr gepflegt.
Es gibt noch eine Reihe von Werbeblockern. Damit wird das Browsen aber schnell ungemütlich, weil viele Webseiten die Blocker erkennen und dann nicht funktionieren.

Mit dem Tool von Decareto kann man sich umfassende technische Prüfberichte von Website erstellen lassen. 

Darüber hinaus gibt es eine Fingerprinting-Statistik-Studie der Friedrich-Alexander-Universität Erlangen (Fachbereich Informatik der FAU):
Bei der Teilnahme erhält man Detailinformationen und Aussagen zu:
  - Ist der Fingerprint einzigartig bezüglich des einzelnen Teilnehmers ?
  - Ist der Browser eindeutig über die Zeit verfolgbar ?

Wir danken Hr. Schmid (Dipl.-Ing. (Univ.) Lutz J. Schmid, Schmid Datensicherheit GmbH, Tel.: 0961-4712941. Mobil: 0160-98492962, E-Mail: info@schmid-datensicherheit.de, URL: www.schmid-datensicherheit.de für seinen Beitrag und seine Hinweise.

Stand: 09.02.2022

Welche Auswirkungen hat der LG Wiesbaden-Beschluss zum „Cookiebot“?  

Der Dienst „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Dabei werden die tatsächlich eingesetzten Cookies kontrolliert und solche Cookies blockiert, für die eine Zustimmung nicht erteilt wurde.

Dabei werden (nach Ansicht des Antragstellers) auch personenbezogene Daten des Nutzers an den Server von „Cookiebot“ übermittelt. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse, sei der Endnutzer eindeutig identifizierbar.

Im Eilverfahren vor dem VG Wiesbaden wollte nun der Antragsteller erreichen, dass es der Hochschule RheinMain untersagt wird, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden.

Das Gericht hat dem Antrag stattgegeben (Az.: 6 L 738/21.WI) 
--> Panik bei öffentlichen Einrichtungen und  Unternehmen

Aber! Die Entscheidung wurde vom Berufungsgericht (Hessischen Verwaltungsgerichtshof) aufgehoben. Es fehle die Eilbedürftigkeit, die man für einen solchen Antrag im Eilverfahren brauche. 

Wir warten also noch auf das Hauptsachverfahren!

Stand: 09.02.2022

Wie sieht ein rechtskonformer Cookie-Banner aus? 

Ein rechtskonformer Cookie-Banner sieht so aus:

  1. Nutzer muss alle (nicht notwendigen) Cookies ablehnen können? (Nicht ausreichend: „Alle akzeptieren“, „Einstellungen“)
  2. Alle Buttons müssen die gleiche Farbe und Größe haben
  3. Alle Cookies müssen der richtigen Kategorie zugeordnet sein
  4. Cookies müssen erläutert sein und ausreichende Informationen aufweisen
  5. Einstellungen im Cookie-Banner müssen nachträglich geändert werden können
  6. Problemfall: Cookies von US-amerikanischen Anbietern

Stand: 09.02.2022

Braucht man immer einen Cookie-Banner? 

Nein, man braucht nicht immer einen Cookie-Banner.

Wer keine oder nur technisch notwendige Cookies setzt, braucht keine Einwilligung über einen Banner.

Wenn Cookies gesetzt werden, die technisch nicht notwendig sind, ist eine Einwilligung gemäß § 25 TTDSG erforderlich.

Aber: Aufklärung in der Datenschutzerklärung über die technisch notwendigen Cookies ist aber trotzdem notwendig, vgl. Art. 13 DSGVO.

Stand: 09.02.2022

Welche gesetzlichen Regeln gelten beim Einsatz von Cookies? 

Seit 01.12.2022 gilt § 25 TTDSG

Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG

(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Telemediendienste müssen Datenschutzanforderungen erfüllen, nämlich

1.SSL-Verschlüsselung der Website

2.Datenschutzerklärung auf der Website richtig und vollständig

3.Cookie-Banner richtig gestalten; hier v.a. Einwilligungsmanagement genau prüfen, insbesondere:

  • Cookies dürfen sich nicht vor Auswahl installieren
  • Banner müssen einen „Ablehnen-Button“ haben,
  • die Auswahlbuttons müssen farblich korrekt gestaltet sein,
  • die einzelnen Cookies müssen richtig eingruppiert sein,
  • es muss eine Möglichkeit zum Widerruf geben,
  • Keine Voreinstellungen, außer die in § 25 TTDSG erlaubten technisch notwendigen.

Stand: 09.02.2022

Wo finde ich eine Auflistung von Datenschutzverstößen? 

Eine Auflistung von Datenschutzverstößen findet man auf dem DSGVO-Portal

Stand: 02.02.2022

Ist der Einsatz von Paypal als Bezahlmethode DSGVO-konform? 

Der Einsatz von Paypal als Bezahlmethode ist DSGVO-konform.

PayPal ist in den meisten Fällen verantwortliche Stelle (und kein Auftragsverarbeiter). Sitz ist in Luxemburg, damit gelten die DSGVO-Regelungen unmittelbar – ohne Art. 44 DSGVO bemühen zu müssen.

Als europäische Bank mit Sitz in Luxemburg muss PayPal den Anforderungen des Datenschutzes und der Finanzaufsichtsbehörden nachkommen.

Tipp:
PayPal als Bezahlmethode in die eigene Datenschutzerklärung mitaufnehmen.

Stand: 02.02.2022

Brauche ich in meinem Shop auf AMAZON eine Datenschutzerklärung? 

Ja, man braucht eine Datenschutzerklärung auf Amazon.

Die gesetzlichen Vorgaben aus DSGVO, BDSG und TTDSG sind immer einzuhalten, sobald der Anwendungsbereich eröffnet ist.

Vorliegend ist es vor allem bereits vor Vertragsschluss der Art. 13 DSGVO, der eingehalten werden muss (Informationspflichten).

AMAZON bietet einen eigenen Speicherort für die Datenschutzerklärung, nämlich den Reiter „Datenschutzrichtlinie“ unter „Ihre Informationen und Richtlinien“.

Stand: 02.02.2022

Darf ich eine Liste mit dem Impfstatus von Kollegen versenden? 

Zur Erläuterung der Frage:

"Wir spielen jede Woche in einem Verein zusammen Fussball in der Halle. Es gilt 2G+.
Damit nicht jeder vor dem Spiel seinen Nachweis vorzeigen muss, wurde eine Liste mit den Geimpften (samt Datum der Impfung und Namen) erstellt. Am Eingang wird dann überwiegend nur noch abgehakt.
Darf man die Liste an einzelne Spieler schicken, die jeweils abwechselnd die Eingangskontrolle durchführen?"

Um die Fragestellung bzgl. der listenmäßigen Erfassung (und Weitergabe) des Impf-/Genesenenstatus zu konkretisieren, muss vorab die Regelung 2G+ definiert werden. 

Was ist 2G plus?

2G plus bedeutet, dass nur Menschen Zutritt haben, die vollständig geimpft oder von einer COVID-19-Infektion genesen sind und die zusätzlich auch noch aktuell schnellgetestet sind. Das "plus" steht für den Antigen-Schnelltest, dem sich Geimpfte und Genesene unterziehen müssen. Bei 2G plus haben Ungeimpfte keinen Zutritt. Z.B. haben am 7. Januar Bundesregierung und Länderchefs beschlossen, dass in der Gastronomie künftig 2G plus gilt. Dies gilt nicht in Bayern - das beschloss das bayerische Kabinett am 11. Januar.

Impf-/Genesenennachweis und aktueller Schnelltest müssen kontrolliert werden, ansonsten droht Bußgeld.

Sobald die Spieler den Impf-/Genesenennachweis erbringen, kann dieser vom Vorstand oder einem Vertreter dokumentiert werden, sodass nur noch der aktuelle Schnelltest kontrolliert werden muss.

Voraussetzung:

Die Registrierung des Impfstatus zählt zur Verarbeitung von Gesundheitsdaten. Nach Art. 9 Abs. 2 lit. a DSGVO kann eine solche Speicherung zulässig sein, wenn der Betroffene ausdrücklich und freiwillig eingewilligt hat. Wichtig ist hierbei, dass eine echte Wahl besteht.

Ergebnis:

Wenn die Spieler der Verarbeitung zugestimmt haben, kann die Liste auch an Vertreter des Vereinsvorstands weitergegeben werden. Am besten sollten die Spieler auch dieser Weitergabe ausdrücklich und freiwillig zustimmen.

Stand: 02.02.2022

Gilt die DSGVO auch für Selbständige und kleine Unternehmen bis 10 Mitarbeiter? 

Ja, die DSGVO gilt auch für Selbstständige und kleine Unternehmen.

Die gesetzlichen Vorgaben aus DSGVO, BDSG und TTDSG sind immer einzuhalten, sobald der Anwendungsbereich eröffnet ist.

Der sachliche Anwendungsbereich der DSGVO ist bei automatisierter Verarbeitung von personenbezogenen Daten gemäß Art. 2 Abs. 2 immer eröffnet - und bei nichtautomatisierter Verarbeitung dann, wenn die Daten in einem Dateisystem gespeichert sind.

Nicht zu verwechseln ist dies mit der Notwendigkeit der Bestellung eines Datenschutzbeauftragten nach § 38 BDSG.

  • 38 Abs. 1 BDSG

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 679/2016 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 679/2016 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Stand: 02.02.2022

Welche Relevanz hat das Experten-Gutachten zu U.S.-Überwachungsgesetzen für die Datenschutzpraxis? 

Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit und amtierender Vorsitzender der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) sagt zur Einordnung des Gutachtens:

„Die Ergebnisse des in Auftrag gegebenen, unabhängigen Gutachtens steuern wichtige Aspekte zur Analyse der Rechtsverhältnisse in den USA bei. Die unabhängigen Datenschutzaufsichtsbehörden werden nun darüber beraten, wie die Ergebnisse in die Aufsichts- und Beratungspraxis einfließen.“

Stand: 02.02.2022

Was steht im Experten-Gutachten zu U.S.-Überwachungsgesetzen? 

Hintergrund:

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte 2021 zusammen mit den anderen deutschen Datenschutz-Aufsichtsbehörden Hr. Prof. Stephen I. Vladeck, University of Texas, Austin, Experte im US-amerikanischen Geheimdienstrecht, mit der Begutachtung von Fragen beauftragt, die in der aufsichtlichen Praxis häufig wiederkehren.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörde des Bundes und der Länder (DSK) hat am 25.01.2022 die Ergebnisse dieses Gutachtens (v.a. zur Reichweite bestimmter Zugriffsrechte von US-amerikanischen Sicherheitsbehörden) veröffentlicht.

Hier finden Sie weiterführende Links.

Inhalt:

Der Begriff „electronic communication service provider“ die Anwendbarkeit von Section 702 des US-amerikanischen Foreign Intelligence Surveillance Act (FISA) ist weit zu verstehen. Er umfasst nicht nur

  • klassische IT- und Telekommunikationsunternehmen, sondern auch:
  • andere Unternehmen, wie z.B. Banken, Fluggesellschaften, Hotels und Versanddienstleister

Ausreichend: Bereitstellung z.B. eines E-Mail-Dienstes für Mitarbeiter

Rechtsfolgen (Auszüge):

1.Zugriffsmöglichkeit der US-Behörden auf sämtliche Daten des Unternehmens, nicht nur auf Daten des jeweiligen Dienstes (also z.B. nicht nur E-Mails).

2.Daten europäischer Unternehmen, die in den USA aktiv sind, unterfallen dem FISA 702 ebenso. Zumindest dann, wenn die Daten auf US-Servern liegen.

3.Europäische Bürgerinnen und Bürger haben kaum Möglichkeiten, Rechtsschutz in den USA zu erlangen.

Hier finden Sie das Rechtsgutachten

Stand: 02.02.2022

Gibt es aktuelle Gerichtsurteile zur Abmahnungsfähigkeit von DSGVO-Verstößen?  

Es gibt noch keine aktuelle Entscheidung des BGH.

Die meisten OLGs treffen folgende Entscheidung: wenn eine wettbewerbsrechtliche Relevanz vorliegt, sind auch DSGVO-Normen abmahnfähig.

Aktuellstes Urteil: OLG Stuttgart - 27.02.2020, Az. 2 U 257/19

Sachverhalt:

Der Beklagte, ein gewerblicher eBay Händler, hielt für potenzielle Kunden keine Erklärung zum Datenschutz vor. Er verstößt damit gegen Art. 13 DSGVO.

Die Klägerin war der IDO-Verband (Interessenverband für das Rechts- und Finanzconsulting deutscher Online-Unternehmen).

Die durch die Klägerin ausgesprochene Abmahnung blieb erfolglos. Das LG Stuttgart hatte die Klage mit der Begründung abgewiesen, dass die DSGVO als abschließende Regelung dem UWG vorgehe mit der Folge, dass Datenschutzverstöße nicht als Wettbewerbsverstöße abgemahnt werden könnten (Urteil v. 20.05.2019, Az. 35 O 68/18).

Entscheidung:  

Die Regelungen des Art. 80 DSGVO sind nicht abschließend.

Verstöße gegen die DSGVO sich nach Wettbewerbsrecht abmahnfähig, wenn sie die Marktverhaltensregeln verletzten.

Die Informationspflichten nach Art. 13 DSGVO stellen laut OLG Stuttgart eine solche Markverhaltensregel da, denn diese Informationen hätten eine verbraucherschützende Funktion und sind damit wettbewerbsrechtlich relevant.

Wettbewerbsverbände sind somit nach § 8 Abs. 3 Nr. 2 UWG i. V. m. § 8 Abs. 1 und § 3 a UWG befugt, Verstöße gegen Bestimmungen der DSGVO wettbewerbsrechtlich geltend zu machen, bei denen es sich um Markverhaltensregelungen handelt.

Stand: 26.01.2022

Welche Angaben zum Datenschutzbeauftragten sind auf einer Website notwendig? 

Es gibt keine gesetzliche Verpflichtung, den DSB auf der Website anzugeben.

Gibt man ihn aber an, muss eine natürliche Person genannt werden.

BayLDA hierzu:

„Die Regelungen zur Benennung, zur Stellung und zu den Aufgaben des Datenschutzbeauftragten nach den Art. 37, 38 und 39 DS-GVO stellen auf eine natürliche Person des Datenschutzbeauftragten ab, so dass auch betroffene Personen (Beschäftigte, Kunden usw.) einen klaren Ansprechpartner für ihre oft sehr vertraulichen Datenschutz-Anliegen haben.“

Stand: 26.01.2022

Wie soll man mit der Anforderung an eine Zertifizierung nach §42 DSGVO umgehen? 

Das BayLDA gibt folgende Hinweise zum Thema Zertifzierung nach DSGVO

Zertifizierung
Datenschutzzertifikate

Datenschutzzertifikate nach Art. 42 DS-GVO sind freiwillig und können entweder von der zuständigen Datenschutzaufsichtsbehörde oder einer dafür akkreditierten Zertifizierungsstelle erteilt werden. Das BayLDA wird mangels personeller Ressourcen als Aufsichtsbehörde selbst nicht zertifizieren, ist jedoch maßgeblich in den Akkreditierungsprozess involviert, so dass zukünftig erfolgreich akkreditierte Stellen diese Aufgabe übernehmen werden. Momentan gibt es noch keine akkreditierten Zertifizierungsstellen und somit auch noch keine Zertifikate.

Das Verzeichnis aller in Deutschland akkreditierter Stellen finden Sie hier

Stand: 26.01.2022

Verstößt Google-Analytics gegen die DSGVO?  

Es gibt schon lange Bedenken hinsichtlich Google-Analytics seitens der Datenschutzaufsichtsbehörden in Deutschland, v.a wegen des nahezu unbeschränkten Zugriffs von US-Behörden auf personenbezogene Daten.

Jetzt:

DSB sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO verletzt, da mit dem Statistikprogramm persönliche Nutzerinformationen an die Google-Konzernzentrale in den USA weitergegeben werden.

Google-Analytics vertößt gegen die Schrems II-Entscheidung des EuGH (= Privacy Shield gewährt kein angemessenes Datenschutzniveau).

Die vollständige Entscheidung finden Sie hier

Stand: 26.01.2022

Was regelt das TTDSG? 

Das TTDSG regelt:

  • Datenschutz für Telekommunikations-Anbieter (§§ 3 bis 18),
  • Datenschutz für Telelemediensteanbieter (§§ 19 bis 24)
  • Cookies (§§ 25, 26) und
  • Straf- und Bußgeldvorschriften (§§ 27, 28)

Zweck des TTDSG:

v.a. Anpassung der TK- und TM-Anbieter an die geänderten Anforderungen der DSGVO und verbindliche gesetzliche Cookie-Regelung.

Stand: 26.01.2022

envelopephonemap-markerlocationchevron-down