Mittwoch, 14.06.2023
von 12 - 13 Uhr
IT-Sicherheit ist Teil der Informationssicherheit sowie auch Teil des Datenschutzes. Ziel der IT-Sicherheit ist es, das Unternehmen zu schützen, sei es vor Bedrohungen oder den Zugriff Dritter auf Informationen und (personenbezogener) Daten.
IT-Sicherheit ist demnach auch einer der wichtigsten Bausteine für den Datenschutz, denn nur wenn alle Informationen, Daten und Systeme ein ausreichendes IT-Sicherheitsniveau aufweisen, kann auch ein ausreichendes Datenschutzniveau gewährleistet werden. Die gesetzliche Grundlage für die vorgeschriebenen Schutzziele wird in Art. 32 DSGVO (Sicherheit der Verarbeitung) geregelt. Unternehmen sind demnach aufgrund Art. 32 DSGVO dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um IT-Sicherheit und Datenschutz zu gewährleisten.
Folgende Schutzziele der IT-Sicherheit sind laut Art. 32 Abs. 1b) sicherzustellen:
• Vertraulichkeit
• Integrität
• Verfügbarkeit
• Belastbarkeit
Stand: 24.05.2023
Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz (ab Seite 171)
Unternehmen und Behörde können sich nach ISO/IEC 27001 zertifizieren lassen, um einen erfolgreichen IT-Grundschutz für Kooperationspartner und Kunden nach außen transparent sichtbar zu machen und somit ein Qualitätsmerkmal vorweisen zu können. Um ein ISO/IEC 27001 Zertifikat zu erhalten, müssen Unternehmen/Behörden sich einem anerkannten Audit unterziehen und folgende Punkte u.a. nachweisen können:
• Umsetzung IT-Grundschutz
• etablierte Informationssicherheitsstandards
• ein funktionierendes IS-Management
• ein definiertes Sicherheitsniveau
Mehr Infos zum Thema Zertifizierung
Stand: 25.04.2023
Am 11. Mai 2023 fand die 105. Tagung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden(DSK) statt.
In der Pressemitteilung der DSK wird darauf verwiesen, dass u.a. auch das Thema „Beschäftigtendatenschutz“ im Fokus der Tagung stand. Die DSK weist darauf hin, dass die Thematik „Beschäftigtendatenschutz“ in einem eigenen Beschäftigtendatenschutzgesetz geregelt werden solle.
Die DSK bezieht sich hier auf das Urteil des EUGH vom 30.03.2023.
Aus dem Sachverhalt
Im EuGH Urteil wurde über einen Rechtsstreit zwischen dem Minister des Hessischen Kultusministeriums und dem Hauptpersonalrat des Lehrer:innen beim Hessischen Kultusministeriums über die Rechtmäßigkeit von Online-Unterricht per Videokonferenz durchgeführt, ohne dass die Lehrkräfte eine Einwilligung abgegeben hätten.
Der Videounterricht wurde im Rahmen der Covid-19 Pandemie eingerichtet, sodass Schüler online am Unterricht teilnehmen konnten. Für die Teilnahme am Videounterricht wurde von den Schülern bzw. Erziehungsberechtigten der Kinder eine Einwilligung eingeholt. Von den Lehrern wurde keine Einwilligung eingeholt und sich vom Kultusministeriums auf § 23 Abs. 1 Satz 1 HDSIG berufen, dass keine Einwilligung nötig sei. Daraufhin ließ das Gericht zwei Vorabentscheidungen klären, nämlich wie im vorliegenden Fall der Art. 88 Abs. 1 DSGVO auszulegen sei und ob eine nationale Norm angewendet werden kann, wenn diese Art. 88 Abs. 2 DSGVO nicht erfüllt.
Aus den Urteilsgründen
Mit Urteil vom 30.03.2023 wurde vom EuGH entschieden, dass Art. 88 Abs. 2 DSGVO erfüllt sein müsse, wenn eine nationale Rechtsvorschrift durch eine spezifische Vorschrift Vorrang haben soll. Spezifische Regelungen der Mitgliedsstaaten dürfen demnach nicht gegen die Regelungen der DSGVO verstoßen und müssen die Verarbeitung von personenbezogenen Daten im Beschäftigtenkontext hinsichtlich der Rechte und Freiheiten der Beschäftigten schützen. Die vom Hessischen Datenschutz‐ und Informationsfreiheitsgesetzes festgelegten Regelungen seien somit nicht europarechtskonform in Sinne des Beschäftigtendatenschutzes.
Detaillierte Informationen der DSK zum EuGH-Urteil
Die DSK plädiert aufgrund des EuGH-Urteils dafür, dass in Deutschland ein eigenes Beschäftigtendatenschutzgesetz geschaffen werden müsse, da die aktuellen Regelungen zu viel Raum für Interpretation geben würden und dadurch nicht sachgerecht, praktikabel und normenklar seien.
Die EuGH-Entscheidung ist deutschlandweit von großer Bedeutung, da nun bundesweit überprüft werden müsse, ob die bestehenden Regelungen des § 26 BDSG den Vorgaben von Art. 88 DSGVO entsprechen.
Stand: 24.05.2023
Gegen einen Arzt wurde ein Bußgeld von 50,- € verhängt, da er alte Akten seiner Patienten im Altpapiercontainer seiner Praxis entsorgt hatte. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein sah darin einen Verstoß gegen Art. 32 DSGVO, denn der Arzt habe mit der unsicheren Entsorgung der Akten gegen die Sicherheit der Verarbeitung verstoßen.
Mehr Infos im DSGVO Portal
Stand: 24.05.2023
Gegen Meta Platforms Ireland Limited wurde von der irischen Datenschutzbehörde ein Bußgeld in der Höhe von 1.200.000.000 Euro verhängt, da Meta gegen Art. 46 Abs. 1 DSGVO (Datenübermittlung vorbehaltlich geeigneter Garantien) verstoßen hat. Das ist das bisher höchste Einzelbußgeld, das je gegen einen Verstoß gegen die DSGVO verhängt wurde.
Der konkrete Vorwurf lautet, dass Meta Ireland personenbezogene Daten von EU-Bürgern an die Vereinigten Staaten übermittelt habe, ohne einen ausreichenden Schutz zu bieten. Dadurch wurden die Grundfreiheiten und Grundrechte der Betroffenen Personen verletzt. Da Facebook mehrere Millionen Nutzer in Europa hat, ist das Ausmaß an zu Unrecht übermittelten Daten enorm und daher wurde auch das Bußgeld so hoch angesetzt.
Der Europäische Datenschutzausschuss hat nun die Entscheidung getroffen, dass Meta Ireland zukünftig jegliche Übermittlung personenbezogener Daten an die USA untersagt wird. Zudem müsse die Datenverarbeitung inkl. der Speicherung von Daten, die bisher an die Vereinigten Staaten übermittelt wurden, innerhalb von 6 Monaten eingestellt werden.
Stand: 24.05.2023
Ausführliche Informationen zu den Aufgaben des Datenschutzbeauftragten, Informationssicherheitsbeauftragten und IT-Sicherheitsbeauftragten finden Sie in unserem Blog.
OLG Frankfurt a. M. Urteil vom 20.04.2023 – 16 U 10/22
Ein Innendesignunternehmer für Luxushotels hat Klage gegen Google erhoben, mit dem Ziel die automatische Suchvervollständigung seines Namens mit „bankrott“ zu unterlassen, zunächst am Landgericht Frankfurt am Main.
Eines der ersten Suchergebnisse bei der Klägerin lautete wie folgt:
„Wir haben ein Mandat gegen die Firma (unbezahlte Handwerkerrechnungen) und versuchen den Schaden zu begrenzen. Dabei mussten wir feststellen, dass die Firma bankrott ist.“
Grund für die Illiquidität waren Ermittlungen der Steuerfahndung wegen möglicher Veruntreuung von Firmengeldern nach China mit nachfolgendem Insolvenzantrag. Der Artikel entstand jedoch deshalb, weil der Innendesigner die Rechnung als unberechtigt identifizierte und auf den ordentlichen Rechtsweg verwies, was der vermeintliche Gläubiger als „nicht bezahlte Rechnung wegen bankrott“ veröffentlichte.
Im Jahr 2020 wurde das Unternehmen der Klägerin wegen Vermögenslosigkeit aus dem Handelsregister entfernt.
Mit E-Mail vom 26.02.2021 erklärte die Beklagte, dass die Auslistung der streitgegenständlichen URL verweigert würde, da ein öffentliches Interesse an der Information bestünde.
Die Klägerin verwies darauf, dass es sich um unwahre Tatsachenbehauptungen handele und das Unternehmen zwischenzeitlich gelöscht sei. Ein Namensbestandteil, der weiter existiert, werde auch vom Suchergebnis umfasst, also der gesamte Namenskern sowie die natürlichen Personen dahinter, sodass die dadurch erzeugten Aussagen zu weit und unwahr seien, sowie zu Gerüchten führen und damit geschäftsschädigend seien.
Die Beklagte rügte formale Fehler der Klage (Gerichtszuständigkeit, Bestimmtheit des Antrags und Passivlegitimation). Die Aussagen würden sich außerdem nicht auf natürliche Personen, sondern nur auf das Unternehmen beziehen. Bankrott sei außerdem ein Synonym zu insolvent.
Das Landgericht hat der Klage teilweise stattgegeben und die Beklagte verurteilt, es zu unterlassen, bei der namensbasierten Suche nach der isolierten Eingabe des Vor- und Zunamens des Klägers den Ergänzungsvorschlag „bankrott“ anzuzeigen. Die Klägerin und die Beklagte gingen daraufhin in Berufung.
Die Klägerin hat keinen Unterlassungsanspruch gegen Google.
Der Kläger hat keinen Anspruch gegen die Beklagte auf Auslistung der streitgegenständlichen Ergebnislinks gem. Art. 17 DSGVO, weil die von der Beklagten vorgenommene Datenverarbeitung auf der Grundlage aller relevanten Umstände des Streitfalls zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist.
Die Äußerung „X ist bankrott“ ist keine unzulässige Tatsachenbehauptung, sondern eine zulässige Meinungsäußerung. Der Durchschnittsempfänger dieser Information wird nicht davon ausgehen, dass die hinter einem möglichen Einzelkaufmann stehende natürlich Person gleichsam insolvent ist. Zudem wird bankrott im allgemeinen Sprachgebrauch synonym zu „seine Rechnungen nicht mehr bezahlen, zahlungsunfähig oder insolvent“ verwendet. Das Unternehmen ist tatsächlich insolvent und vermögenslos. Auch der Artikel trifft keine offensichtlich unwahre Tatsachenbehauptungen, denn die Rechnung wurde nicht bezahlt, aus welchen Gründen wurde nicht angegeben.
Die seit den berichteten Ereignissen vergangene Zeitspanne von rund drei Jahren ist noch nicht derart groß, als dass sie das Interesse an der niedrigschwelligen Erreichbarkeit der Informationen – auch über die namensbezogene Suche mittels einer Suchmaschine – in den Hintergrund treten ließe, ein Recht auf Vergessenwerden kann daher nicht abgeleitet werden.
Aufgrund der vielzähligen weiteren Suchtreffer wird der „Bankrottartikel“ zudem relativiert.
Der Kläger hat auch keinen Anspruch auf Unterlassung der Suchwortvervollständigung „bankrott“ bei der namensbasierten Suche nach seinem Vor- und Zunamen in der Suchmaschine der Beklagten.
Die hier automatisch erstellte Suchwortvervollständigung der Beklagten kombiniert zwei Wörter, nämlich den Namen des Klägers und das Wort „bankrott“, die dem unvoreingenommenen, die Suchmaschine der Beklagten nutzenden Durchschnittsrezipienten verschiedene Möglichkeiten eröffnen, inhaltliche Zusammenhänge herzustellen oder ein Verständnis zu entwickeln.
Zwei Unternehmen, die den Namen des Klägers in der Firmierung tragen, wurden unstreitig nach Stellung eines Insolvenzantrags wegen Vermögenslosigkeit aus dem Handelsregister gelöscht. Dass es sich hierbei juristisch um Fälle der Insolvenz (§§ 17 ff. InsO) und nicht des Bankrott (§ 283 StGB) handelt, ist unbeachtlich.
Für (potentielle) Kunden und Geschäftspartner ist es weiterhin von erheblichem Interesse, ob ein Unternehmen des Klägers (kürzlich) „bankrott“ bzw. insolvent gewesen ist. Somit besteht ein Informationsinteresse der Öffentlichkeit.
Stand: 17.05.2023
Bei einem Mandanten liegt folgende Unternehmenskonstruktion vor:
Ein amerikanisches Unternehmen möchte Zugriffsrechte auf eine Controlling-Software der deutschen Tochtergesellschaft erhalten.
Aus Datenschutzgründen wurde dies bisher nicht eingerichtet. Nun kommt die Idee auf, dass die Zugriffsrechte auf das System bei der irischen Tochtergesellschaft eingerichtet werden könnten.
Da die irische Tochtergesellschaft keine Räumlichkeiten vor Ort hat, würde der Mitarbeiter aus den USA dann mit seinem Laptop die Räumlichkeiten des Steuerberaters in Irland nutzen.
Ist es zulässig, dass ein Mitarbeiter der Muttergesellschaft auf die deutschen Daten des Controllingsystems zugreifen kann, wenn er sich bei der irischen „Tochter“ aufhält?
In der DSGVO gibt es per se kein Konzernprivileg. Ob ein Datenaustausch zwischen Mutter- und Tochtergesellschaften stattfinden darf, muss daher immer im Einzelfall geprüft werden, v.a. bei unterschiedlichen Standorten innerhalb und außerhalb der EU.
Begriffsdefinition Unternehmensgruppe nach Art. 4 Abs. 19 DSGVO
„Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;"
Erwägungsgrund 48 - Überwiegende berechtigte Interessen in der Unternehmensgruppe
„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.“
Ein Zugriff auf die Daten kann also innerhalb einer Gruppe nur gerechtfertigt werden, wenn es sich um „interne Verwaltungszwecke“ handelt. Ein solcher Zweck muss nachweislich vorliegen und darf nicht nur vorgeschoben sein.
Fällt der Zugriff nicht mehr unter diese Zweckkategorie, werden andere Rechtsgrundlagen benötigt (z.B. vertragliche Regelungen oder Einwilligung der betroffenen Personen). Des weiteren sind in diesem Fall auch die Informationspflichten nach Art. 13. DSGVO einzuhalten.
Da im vorliegenden Fall zudem die Drittlandproblematik (Deutschland – USA) zu berücksichtigen ist, sind neben Erwägungsgrund 48 DSGVO auch die Vorschriften nach Art. 44 ff. DSGVO zu beachten (angemessene/geeignete Garantien für den Datentransfer, z.B. Verhaltensregeln, Angemessenheitsbeschluss der EU-Kommission, Binding Corporate Rules, Standarddatenschutzklauseln, etc.).
Stand: 10.05.2023
Notwendigkeit der Bestellung eines Datenschutzbeauftragten nach § 38 BDSG
„(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 679/2016 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 679/2016 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“
Hilfreiche Hinweise dazu vom Bay LDA
Stand: 10.05.2023
Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation - (Digitale-Versorgung-Gesetz – DVG)
Am 19. Dezember 2019 ist das Digitale-Versorgung-Gesetz in Kraft getreten. Ziel des Gesetzes ist es, dass z.B. Ärzte ab sofort auch Gesundheits-Apps verschreiben können, Patienten mehr Informationen zu Online-Sprechstunden im Internet bekommen würden sowie das digitale Netzwerk im Gesundheitswesen ausgebaut werden könne, wie beispielsweise die elektronische Patientenakte.
Auf Grundlage des DVG werden nun die Gesundheitsdaten aller gesetzlich Versicherten in Deutschland zentral gespeichert. Das Digitale-Versorgung-Gesetzes schreibt u.a. auch das Sammeln sowie die zentrale Speicherung von Gesundheitsdaten in einem Forschungsdatenzentrum vor. Darunter fallen etwa ärztliche Diagnosen, aber auch Daten zu Krankenhausaufenthalten und Medikation.
Das Speichern von derartigen sensiblen und schützenswerten Informationen stößt unter den Versicherten auch auf Unmut und sorgt für Diskussion, ob die Speicherung der Daten DSGVO-konform sei und ein ausreichendes IT-Sicherheitsniveau vorweise.
Stand: 10.05.2023
Was ist der Big Brother Award?
Die Big Brother Awards werden jedes Jahr an Organisationen, Personen und Firmen verliehen, die nach Ansicht der Jury Verletzungen gegen den Datenschutz begehen bzw. die Privatsphäre von Menschen beinträchtigen. Die Big Brother Awards gibt es nun schon seit über 20 Jahren und sind ein internationales Projekt. Digitalcourage richtet die Big Brother Awards in Deutschland aus.
Ziel der Big Brother Awards ist es, dass Datenschutzverstöße in der Öffentlichkeit bekannt werden und weltweit für Schlagzeilen sorgen. Auch die Aufsichtsbehörden werden nach der Verleihung von den Big Brother Awards hellhörig und verleihen des Öfteren im Nachgang zur Verleihung Bußgelder an die Datensünder (z.B. an die Modekette H&M im Jahr 2020).
Das sind die Preisträger des Jahres 2023:
• Kategorie Behörden und Verwaltung: Bundesfinanzministerium, vertreten durch Bundesfinanzminister Lindner (Plattformen-Steuertransparenzgesetz (PStTG), umfassende Vorratsdatenspeicherung)
• Kategorie Finanzen: Fintech-Unternehmen finleap (Versand von Informationen zum Kontowechsel)
• Kategorie Kommunikation: Zoom Video Communications (Weiterleitung von Daten an Geheimdienste & China)
• Kategorie Lebenswerk: Microsoft (Marktmacht – Datenübermittlung in die USA)
• Kategorie Verbraucherschutz: Deutsche Post DHL Group (Digitalzwang – Nutzung der Post & DHL App)
Stand: 10.05.2023
Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung
(1)Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
• Recht auf Auskunft gem. Art. 15 DSGVO
• Recht auf Berichtigung aus Art. 16 DSGVO
• Recht auf Löschung gem. Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung gem. Art. 18 DSGVO
• Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO
• Beschwerde bei der Aufsichtsbehörde gem. Art. 77 DSGVO
Stand: 26.04.2023
Die ODR-Verordnung gilt nach Art. 2 Abs. 1 für die außergerichtliche Beilegung von Streitigkeiten über vertragliche Verpflichtungen aus Online-Kaufverträgen oder Online-Dienstleistungsverträgen zwischen einem EU-Verbraucher und einem EU-Unternehmer, die durch Einschalten einer der EU-Kommission gemeldeten Streitbeilegungsstelle unter Nutzung der OS-Plattform erfolgt.
Die Richtlinie zur Online-Streitbeilegung gilt damit auch für alle Online-Händler. Sie ermöglicht Händlern und Verbrauchern im Streitfall eine schnelle und kostengünstige Möglichkeit zur Schlichtung.
Um den Zugang zur OS-Plattform für Verbraucher so einfach wie möglich zu gestalten, ist die Verlinkung zur Plattform für alle Online-Händler im Impressum der eigenen Website verpflichtend. Ein Hinweis in Textform (ohne Link) ist nicht ausreichend. Ein Teilnahme an einem Streitbeilegungsverfahren ist immer freiwillig und gilt nicht für B2B-Geschäfte.
Mehr Informationen vom Händlerbund
Die verantwortliche Stelle ist unter folgenden Voraussetzungen immer zur Veröffentlichung eines anklickbaren Links zur OS-Plattform zur Online-Streitbeilegung im Impressum der Website verpflichtet:
• Verantwortliche Stelle ist ein Unternehmen innerhalb der EU
• Das Unternehmen bietet entweder Online-Dienstleistungsverträge oder/und Online Kaufverträge an
• Kunden sind (zumindest auch potenziell) Verbraucher
Beispiel: https://sobola.de/impressum
Banken:
Dies gilt grundsätzlich auch für Banken, sofern online Dienstverträge abgeschlossen werden können. Die Begriffsbestimmung des Unternehmers wird aus der Richtlinie 2013/11/EU übernommen und es werden keine Ausnahmen normiert, egal ob ein Unternehmen im privaten oder öffentlichem Eigentum steht.
Die Zahlungsdienste i.S.d. § 675f BGB werden nach herrschender Meinung als Zahlungsdienstverträge oder Zahlungsdienstrahmenverträge ausgelegt, mithin als Dienstverträge die regelmäßig online abgeschlossen werden können. Jedenfalls die Wertpapierdienstleistungen nach § 2 WpHG sind unstreitig Onlinedienstleistungen die jede Bank dazu verpflichten der ODR-VO nachzukommen.
Versicherungen:
Nach herrschender Meinung sind Versicherungsverträge als Verträge sui generis zu klassifizieren. Eine andere Meinung sieht hingegen eine Geschäftsbesorgungsvertrag mit Treuhandcharakter auf dienstvertraglicher Grundlage. Jedoch bieten viele Versicherungen auch Onlineberatungsmöglichkeiten an, sodass aufgrund der umstrittenen Rechtsnatur ein Verweis entsprechend der ODR-VO üblich ist.
Darüber hinaus müssen Versicherungen nach § 15 Abs. 1 Nr. 12 VersVermVO die Anschrift der Schlichtungsstelle angeben. Ein zusätzlicher Verweis auf die europäische Schlichtungsstelle nach ODR-VO ist demnach kaum Mehraufwand und könnte im Rahmen dessen sogar als verpflichtend gewertet werden.
Stand: 03.05.2023
Entwurf der Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten (EHDS)
Der European Health Data Space („EHDS“) ist der erste Vorschlag für einen bereichsspezifischen, gemeinsamen europäischen Datenraum für Gesundheitsdaten. Mit dem EHDS soll ein gemeinsamer Raum geschaffen werden, in dem sowohl Entscheidungsträgern aus der Politik und Forschungseinrichtungen ermöglicht wird, elektronische Gesundheitsdaten unter Wahrung der Rechte von natürlichen Personen sicher und vertrauenswürdig u.a. für Innovations- und Forschungszwecke zu nutzen. Zudem soll natürlichen Personen die Möglichkeit gegeben werden, ihre elektronischen Gesundheitsdaten leicht kontrollieren zu können. Der Entwurf zum EHDS wurde u.a. auch als Reaktion auf die Covid-19-Pandemie entworfen, da die Pandemie gezeigt hat, welche Relevanz die Auswertung und der Austausch elektronischer Gesundheitsdaten für die Eindämmung von globalen Gesundheitskrisen hat. Das Ziel der EHDS Verordnung ist sowohl die Schaffung eines Rechtsrahmens für die sichere Datenverarbeitung als auch die Sicherstellung der Kontrolle über elektronische Gesundheitsdaten natürlicher Personen.
Stand: 26.04.2023
Koordinierte Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten durch die europäischen Aufsichtsbehörden gestartet
Pressemitteilung des LDA Bayern vom 15.03.2023
Mitte März ist die zweite europaweite Prüfaktion der europäischen Datenschutzaufsichtsbehörden gestartet. Der Europäische Datenschutzausschuss koordiniert die Prüfaktion. Geprüft werden die Aufgaben und die Stellung der mehr als 36.000 gemeldeten Datenschutzbeauftragten.
Ziel der Prüfaktion ist laut Michael Will (Präsident des BayLDA) eine Bestandsaufnahme der betrieblichen Praxis und das Erkennen von möglichen Verbesserungspotenzial, um ggf. Abhilfemaßnahmen zu schaffen. Geprüft werden u.a. die Ressourcenausstattung sowie die Qualifikation und Unabhängigkeit von den bestellten Datenschutzbeauftragten. Ein Fokus der Prüfung liegt auf der Pflichtanforderung zur unmittelbaren Berichterstattung des Datenschutzbeauftragten an die höchste Managementebene. So sollen etwaige Fehlentwicklungen aufgedeckt und ein klares Bild der vorherrschenden Situation der Datenschutzorganisation in den Unternehmen gezeichnet werden.
Stand: 26.04.2023
LAG Nürnberg, Urteil vom 25.01.2023 - 4 Sa 201/22 (ArbG Bamberg)
Aus dem Sachverhalt:
Klägerin ist eine Angestellte. Beklagte ist die Arbeitgeberin der Klägerin. Die Klägerin fordert von ihrer Arbeitgeberin Schadensersatz, weil ihre Arbeitgeberin aus Sicht der Klägerin ihr Auskunftsersuchen nach Art. 15 DSGVO weder ordnungsgemäß noch vollständig erteilt hätte. Die Klägerin forderte einen Ersatz eines immateriellen Schadens in Höhe von EUR 5.000.-. Daraufhin wurde seitens der Arbeitgeberin der Klägerin Rechtsmissbrauch vorgeworfen, da es der Klägerin nicht primär um die Auskunft über die Verarbeitung und Verwendung ihrer personenbezogenen Daten ginge, sondern die Klägern sich im Rahmen ihrer Aufhebungsverhandlungen lediglich zusätzlich bereichern hätte wollen, um dadurch ihre Abfindungszahlung weiter zu erhöhen. Laut der Arbeitgeberin konnte von der Klägerin nicht ausreichend dargelegt werden, dass ihr tatsächlich ein Schaden, der in sachlichem Zusammenhang mit dem Auskunftsersuchen stünde, entstanden sei. Die Arbeitgeberin wurde vom Arbeitsgericht zu einer Zahlung eines Schadensersatzes in Höhe von 4.000,- € verurteilt. Laut Gericht müssten Verstöße gegen das Auskunftsrecht effektiv sanktioniert werden und die Höhe des Schadensersatzes eine abschreckende Wirkung haben. Dagegen legte die Arbeitgeberin Berufung ein.
Aus den Urteilsgründen
Die Klage auf Ersatz eines immateriellen Schadens wurde vom LAG abgelehnt, da der Anspruch aus Art. 82 DSGVO nicht begründet werden könne, da die Vorschrift einschränkend auszulegen sei. Der Tatbestand würde lediglich Schäden erfassen, die im Rahmen der Verarbeitung entstünden, die nicht im Einklang mit den Grundsätzen der DSGVO stünden. Die Verpflichtung auf Auskunft sei jedoch keine Verarbeitung in diesem Sinne. Das LAG beruft sich mit seiner Auslegung auf den Wortlaut des Erwägungsgrundes 146, worin ausdrücklich der Fokus auf den Begriff „Datenverarbeitung“ in Bezug auf Verletzungshandlungen gelegt wird.
Stand: 26.04.2023
Betroffene haben das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu verlangen.
Das Recht auf Auskunft ist in Art. 15 DSGVO geregelt.
Gola/Heckmann/Franck DS-GVO Art. 15 Rn. 29, 30: „… Auftragsverarbeiter sind nicht selbst angesprochen, sondern gem. Art. 28 Abs. 3 S. 2 lit. e verpflichtet, den Verantwortlichen bei der Erfüllung des Anspruchs zu unterstützen. …“
Der Verantwortliche ist in der Pflicht, Auskunft zu erteilen.
Ein Auftragsverarbeiter ist nicht zur Auskunft verpflichtet.
Ja, Betroffene haben das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu verlangen und damit auch darüber, an wen ihre Daten im Zuge einer Auftragsverarbeitung weitergegeben werden
(vgl. Urteil C-154/21).
Stand: 19.04.2023
Dritte werden in der DSGVO in Art. 4 Abs. 10 wie folgt definiert:
„Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;“
Stand: 19,04.2023
Pur-Abo-Modelle sind laut Beschluss vom 22.03.2023 der Datenschutzkonferenz grundsätzlich zulässig, sofern auch ein alternatives Bezahlmodell ohne Tracking für Webseitennutzer angeboten wird. Dem User muss also eine angemessene Wahlmöglichkeit angeboten werden.
Folgende Punkte müssen laut DSK datenschutzrechtlich eingehalten werden:
1. Gleichwertiger Zugang (marktübliches Entgelt)
2. Bestimmungen aus dem TTDSG und Art. 6 Abs. 1 DSGVO und ggf. Art. 9 DSGVO müssen berücksichtigt werden
3. Freiwilligkeit der Einwilligung muss gewahrt werden
4. Einwilligung muss der DSGVO gerecht werden (Transparenz, Verständlichkeit, Information - Art 4 Nr. 11 und Art. 7 Abs. 2 DSGVO)
Stand: 19.04.2023
BVerfG, Beschluss vom 15.02.2023 - 1 BvR 141/16
Das Bundesverfassungsgericht hat mehrere Verfassungsbeschwerden gegen die anlasslose Vorratsdatenspeicherung nicht zur Entscheidung angenommen, da ihnen nach einem Urteil des Europäischen Gerichtshofs vom September 2022 (EuGH Urteil zur Vorratsdatenspeicherung) das Rechtsschutzbedürfnis fehlt. Die Beschwerdeführer hatten die Regelungen zur Vorratsdatenspeicherung als Verstoß gegen die Telekommunikationsfreiheit, das Recht auf informationelle Selbstbestimmung und die Berufsfreiheit angesehen. Das Bundesverwaltungsgericht hatte das Verfahren ausgesetzt und den EuGH angerufen, der die Vorratsdatenspeicherung als unionsrechtswidrig erklärt hatte. Eine gezielte und zeitlich begrenzte Speicherung der Daten ist nur bei einer ernsten Bedrohung für die nationale Sicherheit möglich. Nach dem Urteil sind noch drei weitere Verfassungsbeschwerden gegen die Vorratsdatenspeicherung anhängig. Mehr Informationen zu dem Thema Vorratsdatenspeicherung finden Sie hier.
Stand: 19.04.2023
Was steht im EUGH-Urteil vom 30.03.2023?
Am 30.03. hat der EuGH in der Rechtssache C-34/21 entschieden, dass die Regelungen des § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz keine spezifischere Vorschriften i.S.d. Art. 88 Abs. 1 und 2 DSGVO sind und daher den Anforderungen der DSGVO nicht genügen. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat dazu Stellung bezogen und in diesem Kontext erwähnt, dass auch die gleichlautende Regelung des § 26 BDSG aufgrund dieser Entscheidung wohl nicht länger als Rechtsgrundlage für Datenverarbeitung im Beschäftigtenkontext angesehen werden kann. Er empfiehlt jetzt Einzelfallprüfungen zu den individuellen Verarbeitungstätigkeiten auf alternative Rechtsgrundlagen und den vermehrten Einsatz von Kollektivvereinbarungen (Dienst- bzw. Betriebsvereinbarungen).
Fazit
• Rechtsgrundlage für die Datenverarbeitung im Mitarbeiterdatenschutz muss immer Art. 6 DSGVO sein (in den meisten Fällen wohl Art. 6 Abs. 1 lit. b) DSGVO).
--> § 26 BDSG dient somit nicht als valide Rechtsgrundlage, da die Regelungen der DSGVO denen im BDSG vorgehen.
--> Unterlagen (Verzeichnisse, Verträge, Abwägungen, etc.) anpassen
Stand: 19.04.2023
Bei dienstlichen Fahrzeugen muss der Arbeitgeber regelmäßig die Führerscheine der Fahrer überprüfen, ob sie berechtigt sind, das Dienstfahrzeug zu führen. Damit nicht bei jeder Dienstfahrt individuell der Führerscheinstatus eines Mitarbeiters überprüft werden muss, können die Informationen, dass der jeweilige Mitarbeiter über einen gültigen Führerschein verfügt, in einem zentralen dafür vorgesehenen System gespeichert und verwaltet werden.
Bei der Speicherung von personenbezogenen Daten gibt es immer das Prinzip der Datenminimierung nach Art. 25 DSGVO zu berücksichtigen, d.h., dass nur Daten gespeichert werden dürfen, die zwingend notwendig sind.
Daher muss bei jeder „zusätzlichen“ Information abgewogen werden, ob die Speicherung zwingend erforderlich ist:
• Das Geburtsdatum kann dahingehend relevant sein, ob der Fahrzeughalter aus versicherungstechnischen Gründen bspw. mindestens 25 Jahre alt sein muss, um beim Schadenfall ordnungsgemäß versichert zu sein
• Die Führerscheinklasse kann relevant sein, wenn sich im Dienstfahrzeug-Pool neben gewöhnlichen PKW bspw. auch Kleintransporter verfügbar sind, wofür eine spezielle Führerscheinklasse vorgewiesen werden muss
--> Einzelfallentscheidung, welche Daten zwingend benötigt werden und welche Daten „zu viel“ sind.
Stand: 29.03.2023
Kläger ist RW. RW verlangte von der Österreichischen Post Auskunft gemäß Art. 15 DSGVO, welche personenbezogenen Daten über ihn gespeichert und an wen diese Daten in der Vergangenheit ggf. weitergegeben wurden. Die Weitergabe beschränkte sich laut der Österreichischen Post auf die rechtlich zulässigen Zwecke.
Die konkreten Empfänger seiner Daten wurden RW nicht namentlich mitgeteilt. Daraufhin wurde von RW Klage erhoben, da RW erfahren wollte, wer genau seine personenbezogenen Daten erhalten habe. Die Post teilte RW nur die Kategorien der Empfänger mit, welche die personenbezogenen Daten von der Post für Marketingzwecke erhalten hatten. Das Gericht wies die Klage von RW ab, da Art 15 Abs. 1 c) lediglich die Auskunft auf „Empfänger oder Kategorien von Empfängern“ regle und diese Kategorien von der Post ordnungsgemäß mitgeteilt wurden.
Dagegen legte RW Revision ein.
Das Gericht hatte nun zu entscheiden, wie der Wortlaut „Empfänger oder Kategorien von Empfängern“ der DSGVO aus Art. 15 Abs. 1 c) auszulegen sei. Der Wortlaut sei nicht eindeutig und spricht eher dafür, dass der Absatz so ausgelegt werden kann, dass der Betroffenen die Wahl habe, ob er nur Auskunft über die Kategorien oder auch den konkreten Empfänger erhalten wolle. Wenn es im Ermessen der Verantwortlichen läge, dass diese frei darüber entscheiden könnten, ob sie Auskunft über die konkreten Empfänger oder lediglich die Kategorien erteilen, wäre es vermutlich für die Betroffenen fast unmöglich, jemals Auskunft über die konkreten Empfänger zu bekommen, was wiederrum das Recht auf Auskunft enorm einschränken würde. Zudem ist zu beachten, dass Art. 15 Abs. 1 c) sowohl für aktuelle Datenverarbeitungen als auch für in der Vergangenheit verarbeitete personenbezogene Daten Anwendung findet. Daraufhin wurde das laufende Verfahren von RW gegen die Österreichische Post vom Obersten Gerichtshof ausgesetzt. Folgende Vorlagefrage musste vorab vom Gerichtshof entschieden werden:
"Ist Art. 15 Abs. 1 lit. c DSGVO dahin gehend auszulegen, dass sich der Anspruch auf die Auskunft über Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen, der Auskunftsanspruch sich aber zwingend auch auf Empfänger dieser Offenlegungen erstrecken muss, wenn Daten bereits offengelegt worden sind?"
Die Vorlagefrage sollte klären, ob Betroffenen die konkrete Identität der Empfänger mitgeteilt werden müsse. Da Empfänger und Kategorien im Gesetzestext der DSGVO nebeneinander aufgeführt werden, bestehe kein vorrangiges Verhältnis. Laut Erwägungsgrund 63 kann das Recht auf Auskunft nicht auf die Kategorien beschränkt werden. Die Verarbeitung personenbezogener Daten muss laut Art 5 Abs 1 a) immer den Grundsatz der Transparenz berücksichtigen, d.h. dass die Informationen über die Datenverarbeitung für natürliche Personen verständlich und leicht zugänglich sein müssen. Der Verantwortliche sei daher in der Pflicht, Betroffenen Auskunft zugunsten der betroffenen Person zu erteilen. Betroffenen muss ermöglicht werden, die Richtigkeit sowie Rechtmäßigkeit der Verarbeitung überprüfen zu können und ggf. Berichtigung/Löschung/Widerruf zu beantragen oder Rechtsbehelf einzulegen. Um eine Gewährleistung dieser Rechte sicherzustellen, ist eine Auskunft über konkrete Empfänger unabdingbar, was wiederrum durch Art. 19 DSGVO konkretisiert wird, sofern der Antrag auf Auskunft entsprechend begründet werden kann und verhältnismäßig sei.
Jahresbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit aus dem Jahr 2020:
Ein Bankkunde verlangte Auskunft, an wen seine personenbezogenen Daten weitergegeben wurde. Die Bank teilte daraufhin dem Betroffenen lediglich die Kategorien der Empfänger, nicht aber die konkreten Empfänger selbst mit. Der Betroffene hat sich daraufhin bei der Aufsichtsbehörde beschwert und darauf bestanden, dass die Bank die konkreten Empfänger mitzuteilen habe. Die Aufsichtsbehörde vertritt ebenfalls die Meinung, dass die Bank nicht die Wahl haben dürfe, ob sie der betroffenen Person lediglich die Kategorien oder den konkreten Empfänger mitteilen wolle. Die Aufsichtsbehörde bestätigte, dass der Bankkunde ein Recht darauf habe, die konkreten Empfänger zu erfahren, um die Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten überprüfen zu können.
Art. 13 DSGVO - Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
(1)Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
Art. 15 DSGVO - Auskunftsrecht der betroffenen Person
(1)Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
„gegebenenfalls“ = wenn der betreffende Fall eintritt. (Gola/Heckmann/Franck DS-GVO Art. 13 Rn. 16-20: „ lit. e entfällt, wenn geplantermaßen keine Datenweitergabe stattfindet. Hierauf muss nicht gesondert hingewiesen werden.“)
Das bedeutet: Wenn es Empfänger gibt, die personenbezogene Daten erhalten, dann müssen sie der betroffenen Person im Rahmen der Information nach Art. 13 DSGVO mitgeteilt werden. Wenn die Empfänger zum Zeitpunkt der Erhebung der Daten (noch) nicht bekannt sind, können auch nur die Kategorien von Empfängern mitgeteilt werden.
Stand: 26.04.2023
Direkt aus DSGVO in ihrem Wortlaut ergibt seine keine Verpflichtung, einen Datenschutz-Koordinator zu bestellen. Aus der Verpflichtung des Accountability-Prinzips (jederzeitige Verpflichtung einen Rechenschaftsbericht zum Nachweis der Einhaltung aller datenschutzrechtlichen Normen abzuliefern) ergibt sich u.a. aus Art 24 DSGVO (= eine Compliance-Anforderung). Bei besonders großen Unternehmen (insbesondere auch in Konzernstrukturen) kann eine solche Anforderung durch eine Position des Datenschutz-Koordinators erfüllt werden. Der Datenschutz-Koordinator wird in erster Linie als Verbindungsglied verschiedener Abteilungen (ggf. sogar Unternehmen) hinsichtlich datenschutzrechtlicher Fragen verstanden. Er ist v.a. auch zur Dokumentation datenschutzrechtlicher Fragen verpflichtet und der Aufbereitung der gesetzlichen Vorgaben in der Form, dass ein jederzeitiger Nachweis gegenüber der Aufsichtsbehörden möglich ist.
Eine Meldung ist weder notwendig, noch möglich. Wenn aber ein Datenschutz-Koordinator bestellt ist, sollte auch seine Vertretung geregelt sein, wie bei jeder wichtigen Position in einem Unternehmen.
Informationen entnommen aus Beck Online (Jung, Alexander: Datenschutz-(Compliance-)Management-Systeme – Nachweis- und ZD 2018, Rechenschaftspflichten nach der DS-GVO)
Der Datenschutzkoordinator dient als Anlaufstelle für den Datenschutzbeauftragten, um Prozesse im Unternehmen etablieren zu können, oder auch Informationen über Unternehmensprozesse einzuholen.
Eine enge Verbindung des Datenschutzkoordinators zur Geschäftsleitung ist aus unserer Sicht durchaus sinnvoll, sofern die Position des Datenschutzbeauftragen unabhängig besetzt ist, um Interessenskollisionen zu vermeiden.
Stand: 25.04.2023
In 2022 starteten Verhandlungen zu einer neuen Rechtsgrundlage für den Datentransfer zwischen den USA und Europa. US-Präsident Biden unterzeichnete im Oktober 2022 ein Dekret, das die kritisierten Punkte ausräumen soll. Danach sind etwa strengere Regeln für die Zugriffe durch US-Geheimdienste vorgesehen.
Max Schrems hat hierzu bereits einen offenen Brief mit den rechtlichen Hürden verfasst, die das Trans-Atlantic Data Privacy Framework nehmen müsste.
Das Europäische Parlament diskutiert derzeit den Entwurf des Trans-Atlantic Data Privacy Frameworks. Es ist nicht klar, wann (und in welcher Form) es verabschiedet werden wird.
Stand: 22.03.2023
Tracking Tools dienen der individuellen Auswertung von Nutzerdaten
--> Nutzer werden identifiziert, Nutzungsverhalten wird nachverfolgt und Nutzer wird identifiziert, um bspw. zielgruppenorientierte Werbung auszuspielen
--> Datenschutzrechtliche Einwilligung des Nutzers immer nötig (über Cookie-Banner), da personenbezogene Daten verarbeitet werden (Profilbildung)
-->Tracking-Tools konnten früher auch unter bestimmten Umständen auf das berechtigte Interesse des Website-Betreibers gestützt werden (Erwägungsgrund 47 S. 7 DSGVO),
--> Heute ist zwingend zudem eine Einwilligung nötig nach § 25 TTDSG.
Analyse Tools dienen statistischer Auswertung
• einer Nutzergruppe
• oder eines individuellen Nutzers,, "(z.B.) z.B. werden in der herkömmlichen Einsatzvariante von Google Analytics dem Nutzerrechner, der die Webseite aufsucht, einzigartige Kennungen (ID) zugeteilt. Die IDs befinden sich in Cookies, die beim Aufsuchen der Webseite in den Browser des Nutzerrechners gesetzt werden. Mit Hilfe der IDs wird der einzelne Nutzerrechner von anderen Rechnern unterschieden, die die Webseite aufsuchen.“,
vgl. LDA Bayern
--> Zweck: Marktforschung, Verbesserung der Website-Leistung;
--> Datenschutzrechtliche Einwilligung früher umstritten, da ggf. ein berechtigtes Interesse des Webseiten-Betreibers gegeben sein konnte, die Präferenzen der Nutzer zu kennen, um die Website entsprechend zu optimieren (Art. 6 Abs. 1 lit. f DSGVO).
--> Heute: In jedem Fall Einwilligung nach § 25 TTDSG; zahlreiche Tools werden zudem als unzulässig nach Art. 44 DSGVO eingestuft.
Stand: 22.03.2023
Wird in einem Unternehmen ein WLAN für Gäste angeboten, müssen dem Gast-Nutzer die Nutzungsbedingungen zur Verfügung gestellt werden. Erst nach Akzeptieren der Nutzungsbedingungen darf der Zugang zum WLAN aktiviert werden, da beim Einloggen in das WLAN eine Verarbeitung personenbezogener Daten sattfindet.
Ein Akzeptieren durch Setzen eines Hakens reicht als Einwilligung aus.
Beispiel: „Ich akzeptiere die Nutzungsbedingungen“ –> Nutzungsbedingungen verlinken
Zusätzlich sind Datenschutz-Hinweise zu geben, die bei Nutzung eines Log-In Screens mit Speicherung der Endgeräte (z.B. MAC-Adresse) zur Geräteverwaltung den Datenschutz beachtet und in der Datenschutzerklärung aufgelistet werden:
Stand: 15.03.2023
Urteil des VG Ansbach (14. Kammer) vom 02.11.2022 – AN 14 K 22.468
Kläger ist ein Radfahrer, der regelmäßig beim Radfahren falsch geparkte Fahrzeuge fotografiert. Diese Bilder schickt er per Mail an die Polizei. Insgesamt handelt es sich im vorliegendem Fall um sechs E-Mails, in denen zwölf Fotos von Falschparkern vom Radfahrer an die Polizei weitergeleitet werden und Anzeige einer Ordnungswidrigkeit erstattet wird. Auf den Fotos sind die falsch geparkten Autos mit ihren KFZ-Kennzeichen abgebildet. Weitere personenbezogene Daten sind auf den Bildern nicht zu sehen. In den Mails wird jeweils noch die Marke sowie der Fahrzeugtyp, der Ort und die Zeit des Falschparkens sowie auf das Kennzeichen verwiesen. Bei den insgesamt sechs Anzeigen, wird u.a. auch ein Fahrzeug zweimal an unterschiedlichen Tagen angezeigt. Da es sich aus Sicht der zuständigen Polizeiinspektion hierbei um Massenanzeigen handelt, wird von der Polizei um eine Prüfung der Datenschutzaufsichtsbehörde wegen eines evtl. Verstoßes gegen die DSGVO gebeten. Daraufhin wird zwar kein Bußgeld der Aufsichtsbehörde an den Kläger verhängt, jedoch ein aufsichtliches Verfahren eingeleitet. Daraufhin wird der Kläger wegen eines Datenschutzverstoßes gegen die DSGVO verwarnt, da der Kläger kein berechtigtes Interesse hätte, die Daten zu verarbeiten nach Art. 6 Abs. 1 lit. f) DSGVO. Daraufhin wird vom Kläger eine Klage gegen diesen Bescheid erhoben. Das Gericht gibt dem Kläger Recht und hebt den Bescheid des Beklagten auf.
Der Kläger ist laut Art. 78 Abs. 1 DSGVO dazu berechtigt, gegen den Bescheid der Aufsichtsbehörde Klage einzulegen. Mit der Übersendung der Fotos an die Polizei habe der Kläger nicht gegen das Datenschutzrecht verstoßen. Zwar ist der Anwendungsbereich der DSGVO eröffnet, da es sich bei KFZ-Kennzeichen um personenbezogene Daten handelt, jedoch ist die Verarbeitung seitens des Klägers rechtmäßig. Der Kläger hat die personenbezogenen Daten lediglich an die Polizei als zuständige Behörde im Rahmen der Anzeige einer Ordnungswidrigkeit im Sinne des Erwägungsgrundes 50 DSGVO weitergeleitet, was ein berechtigen Interesse gemäß Art. 6 Abs. 1 f) DS-GVO rechtfertigt, selbst wenn keine persönliche Betroffenheit des Radfahrers vorliegt. Es ist daher aus Sicht des Gerichts nicht von Relevanz, ob der Kläger Fotos als Beweismittel zur Anzeigenerstattung verwendet, oder ob er die Verstöße mit den Nennung der personenbezogenen Daten (KFZ-Kennzeichen) lediglich telefonisch an die Polizei übermittelt. Die Anfertigung eines Lichtbilds zur Anzeige der Ordnungswidrigkeit ist daher aus Sicht des Gerichts zulässig und stellt keinen Verstoß gegen die DSGVO dar.
Stand: 15.03.2023
Ausführliche Informationen zum Thema IP-Adressen finden Sie in unserem Blog.
Videokamera-Attrappen brauchen keinen datenschutzrechtlichen Hinweis, da weder personenbezogenen Daten verarbeitet werden noch eine Aufzeichnung sattfindet. Der Anwendungsbereich der DSGVO als auch des BDSG ist daher nicht eröffnet.
Jedoch dürfen auch ohne der tatsächlichen Überwachungsfunktion nicht wahllos Videokamera-Attrappen in Miethäusern angeracht werden, da dadurch das Verhalten der Mieter bewusst beeinflusst werden kann (Überwachungsdruck) und mit einer suggerierten Überwachung ein Eingriff in das allgemeine Persönlichkeitsrecht stattfindet.
Rechtsprechung zum Thema Persönlichkeitsrecht: Bundesgerichtshof, Urt. V. 16.03.10 – Az. VI ZR 176/09
Ein Anbringen von „fingierten“ Datenschutzinformationen an Videoüberwachungs-Attrappen ist irreführend und damit nicht zulässig.
Stand: 15.03.2023
Zunächst muss sichergestellt sein, dass es eine Rechtsgrundlage gibt, auf deren Basis der potenzielle Kunde angerufen werden kann. DSGVO-rechtlich könnte das die Vertragsanbahnung sein, Art. 6 Abs. 1 lit. b) DSGVO.
UWG-rechtlich braucht man eine ausdrückliche Einwilligung für die Kontaktaufnahme bei Verbrauchern und eine mutmaßliche Einwilligung bei einem sonstigen Marktteilnehmer, vgl. § 7 Abs. 2 Ziff. 1 UWG.
Wenn demnach eine Erlaubnis zur Kontaktaufnahme besteht, ist folgendes weiter zu beachten:
Wenn Sie versuchen, den Kunden telefonisch zu erreichen und nur auf einen Anrufbeantworter sprechen können, sollten Sie vorsichtig sein, was Sie als Nachricht hinterlassen. Vermeiden Sie es, personenbezogenen Informationen bzw. sensible Details zu Gesundheitsdaten hinterlassen werden, sofern nicht sichergestellt werden kann, dass ausschließlich die betroffene Person Zugang zu den Nachrichten auf diesem AB hat. Anders verhält es sich, wenn eine ausdrückliche Einwilligung der betroffenen Person vorliegt, dass jegliche Nachrichten am AB hinterlassen werden dürfen.
Liegt keine gesonderte Einwilligung vor, ist es am besten, eine kurze Nachricht zu hinterlassen, in der Sie um einen Rückruf bitten, ohne weitere Details zu nennen.
Anders dürfte sich die Situation verhalten, wenn es sich um die Mailbox der Person handelt, die angerufen wurde, wenn sich die Mailbox mit Namen meldet. Hier ist unserer Ansicht nach davon auszugehen, dass nur diese Person Zugriff auf die Mailbox hat. Doch auch hier gilt der Grundsatz der Datensparsamkeit:
so wenig Informationen wie möglich geben und Rückrufbitte mit Erreichbarkeit hinterlassen.
Stand: 08.03.2023
Ordnungswidrigkeiten sind typischerweise geringfügigere Rechtsverletzungen im Vergleich zu Straftaten. Anders als bei Straftaten können die Konsequenzen nur Geldbußen sein, nicht jedoch Freiheitsstrafen. Ordnungswidrigkeiten werden von Behörden verfolgt, wegen Straftaten kann man nur durch ein Gericht verurteilt werden, hier wird durch Polizei und Staatsanwaltschaft ermittelt.
Der deutsche Gesetzgeber hat mit § 4 Abs. 3 BDSG eine Regelung erschaffen, die die Verarbeitung zum Zwecke der Gefahrenabwehr oder Strafverfolgung explizit normiert, auch wenn das ursprünglich noch nicht vom Zweck der Verarbeitung umfasst war. Damit dürfen Verantwortliche beispielsweise Daten, die von Videoüberwachungskameras in Kaufhäusern, an Geldautomaten oder im öffentlich zugänglichen Gelände, wie Parkplätze, erhoben werden, für diese Zwecke herausgeben.
Gola/Heckmann/Starnecker, 3. Aufl. 2022, BDSG § 4 Rn. 61-63 schreibt dazu: Die Möglichkeit der Weiterverarbeitung nach Abs. 3 S. 3 stellt einen Fall der Zweckänderung dar. Sie ist zulässig, wenn dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. Diese Ausnahme vom Zweckbindungsgrundsatz stützt sich auf die Spezifizierungsklausel in Art. 6 Abs. 4 iVm Art. 23 DS-GVO. Entgegen einer in der Literatur vertretenen Meinung ist die Vorgabe zur Zweckänderung nicht unionsrechtswidrig, weil der nationale Gesetzgeber den Wortlaut („nur“) abschließend gestaltet hat. Vielmehr ist die Norm insoweit europarechtskonform auszulegen, dass daneben auf Grundlage anderer gesetzlicher Grundlagen oder auch einer Einwilligung, wie in Art. 6 Abs. 4 DS-GVO vorgesehen, eine Verarbeitung möglich sein soll.
Nach dieser Definition braucht es also einen Fall der Gefahrenabwehr. Die Abwehr von Gefahren für die staatliche und öffentliche Sicherheit ist in verschiedenen Gesetzen geregelt. Eine allgemeine Definition kann jedoch aus dem Polizeirecht abgeleitet werden.
Nach § 1 des Polizeigesetzes (PolG) der meisten Bundesländer dient die Polizei dem Schutz von Leben, Gesundheit, Freiheit, Eigentum und anderen Rechtsgütern. Die Polizei hat demnach die Aufgabe, Gefahren für diese Rechtsgüter abzuwehren.
§ 2 PolG definiert, welche Maßnahmen die Polizei ergreifen darf, um diese Aufgabe zu erfüllen. Dazu zählen insbesondere die Identitätsfeststellung, die Ingewahrsamnahme, die Durchsuchung, die Beschlagnahme und die Durchführung von Kontrollen und Überwachungsmaßnahmen, vgl. hier
Es gilt zudem der Grundsatz der Verhältnismäßigkeit, vgl. hier
Im vorliegenden Fall müsste die Ordnungswidrigkeit also das Leben, die Gesundheit, die Freiheit, das Eigentum oder andere Rechtsgüter beeinträchtigen. Dann muss abgewogen werden, ob das informationelle Selbstbestimmungsrecht des Einzelnen überwiegen kann. In der Abwägung halten wir einen Fall des Taubenfütterns für keinen Fall, in dem die Polizei einschreiten wird. Eine Herausgaben der Daten an das Ordnungsamt ist gesetzlich nicht vorgesehen.
Stand: 08.03.2023
Der Grundsatz bei Werbung mit Telefonanrufen ist an § 7 Abs.2 UWG zu messen. Demnach ist eine unzumutbare Belästigung stets anzunehmen bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung.
Ein Werbeanruf liegt stets vor, wenn der Angerufene zum Eingehen, zur Fortsetzung, zur Wiederaufnahme, zur Änderung oder zur Erweiterung eines Vertragsverhältnisses bestimmt werden soll (Köhler/Bornkamm/Feddersen/ Köhler Rn. 130), aus Ohly/Sosnitza/Ohly, 8. Aufl. 2023, UWG § 7 Rn. 60-62.
Werbung erfolgt erst ab dem Moment, in dem das Werbegespräch beginnt. Verwählt sich der Werbende oder erreicht er zunächst nicht die Person, die in den Anruf eingewilligt hat, so liegt noch kein Verstoß gegen § 7 II Nr. 1 vor, solange der Werbende sich nur entschuldigt oder um Weiterleitung bittet (OLG Köln MMR 2009, 860; jurisPK-UWG/Seichter Rn. 149), vgl. Ohly/Sosnitza/Ohly, 8. Aufl. 2023, UWG § 7 Rn. 60-62.
UWG-rechtlichen liegt also bei einem versehentlichen Anruf oder bei einem Nutzen einer veralteten Telefonnummer kein Verstoß vor.
Datenschutzrechtich ist ebenfalls kein Verstoß gegeben. Selbst wenn ein Unternehmen sich an alle Vorgaben hält (inklusive dem Grundsatz der Datensparsamkeit) ist es unmöglich einen Fall des „Verwählens“ oder das Anrufen einer veralteten Telefonnummer zu verhindern.
Für den Fall, dass der Anrufer eine veraltete Nummer gewählt hat, muss er die Daten im Anschluss korrigieren.
Stand: 08.03.2023
Wenn Namen von natürlichen Personen aufgenommen und verarbeitet werden, gelten grundsätzlich die allgemeinen Grundsätze der DSGVO, insbesondere also auch der Grundsatz des bestimmten Zwecks, der Datenminimierung und der Rechtmäßigkeit der Verarbeitung.
Vorliegend könnte als Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO in Frage kommen. Bei Namen im Rahmen einer geschäftlichen Kooperation wird das unter normalen Umständen von Art. 6 Abs. 1 lit. f oder b DSGVO umfasst sein, denn einen konkreten Ansprechpartner zu haben, um ein Projekt oder einen Vertrag umzusetzen oder eine Besprechung durchzuführen, erscheint notwendig. Vor allem gilt das, wenn die Ansprechperson auf der Firmenwebseite selbst mit den gleichen Daten zu finden ist.
Fraglich ist, ob die Veröffentlichung des Namens des Ansprechpartners und Sichtbarkeit für Andere von der Rechtsgrundlage mitumfasst ist --> Einzelfallentscheidung!
Es könnte für Personen überraschend wirken, wenn ihr Namen „öffentlich“ verwendet wird.
Es gibt mehrere Möglichkeiten, diese rechtliche Einzelfallfrage systematisch zu umgehen:
1. Nur Namen der Firma verwenden, oder
2. Einwilligung des Mitarbeiters einholen, dass er mit seinem Vor-/Nachnamen angesprochen wird, oder
3. In den Vertrag mit dem Unternehmen aufnehmen, dass Zweck des Vertrags z.B. der Austausch in bestimmten Runden ist und man dazu die Mitarbeiter persönlich mit dem Vornamen oder Nachnamen ansprechen möchte.
Stand: 01.03.2023
Dienstliche E-Mail-Adressen sind personenbezogene Daten und daher jedenfalls schutzwürdig.
Passwörter selbst sind auch Informationen, die sich auf eine identifizierbare natürliche Person beziehen, wenn jeder sein Passwort selbst erstellt bzw. eines zugewiesen bekommt. Es handelt sich somit auch um personenbezogene Daten.
Durch hohe Verschlüsselungsstandards wird die Gefahr von Datenpannen verringert, sodass dies in Bezug auf die TOMs vorteilhaft ist. Die Natur der personenbezogenen Daten selbst ändert sich dadurch jedoch nicht. Die Verarbeitung unterliegt also grundsätzlich denselben Regeln, egal wie hoch der Verschlüsselungsgrad ist.
Keeper ist eines von vielen Produkten um die Datenverarbeitung und -aufbewahrung sicherer zu gestalten und spielt insofern eine Rolle bezüglich der TOMs --> Datensicherheitsthema.
Stand: 01.03.2023
Werden die dem Mitarbeiter nicht ausgestellt, genau damit das keine "privaten" Daten sind? Inwiefern ändert das eine Bewertung?
Grundsätzlich sind dienstliche E-Mailadressen personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, denn es handelt sich um Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
§ 26 Abs. 1 S. 1 BDSG besagt, dass Beschäftigtendaten für den Zweck der Begründung, Durchführung und Beendigung des Arbeitsverhältnisses verarbeitet werden dürfen. Regelmäßig wird bei der Durchführung des Arbeitsverhältnisses die Weitergabe der dienstlichen E-Mail-Adresse mitumfasst sein, Art. 6 Abs. 1 lit b. DSGVO.
Ganz sicher ist man, wenn schriftlich vereinbart wird, dass dienstlich bedingte personenbezogene Daten (Telefon, E-Mail, Name, evtl. Berufsbezeichnung) auf der Webseite veröffentlicht werden.
Stand: 01.03.2023
Wie verhält es sich mit Statusanzeigen in Zeiterfassungssystemen, welche für jeden Mitarbeiter genau aufzeigen, ob man gerade anwesend, in der Pause oder schon im Feierabend ist?
„Aufzeichnungen über die Arbeitszeiten (…), die die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, fallen unter den Begriff personenbezogene Daten (…)“.
Grundsätzlich ist die Aufzeichnung der Arbeitszeit für die Durchführung des Beschäftigungsverhältnisses erforderlich im Rahmen des § 26 Abs. 1 BDSG. Die automatisierte Veröffentlichung dieser Daten in Echtzeit (auch innerhalb eines Unternehmens) dürfte aber dem Sparsamkeitsgrundsatz, sowie einer Zweckbindung widersprechen. Die Daten der Arbeitszeiterfassung sollten nicht zur umfangreichen Leistungs- und Verhaltenskontrolle oder zur Erstellung von Bewegungsprofilen verwendet werden können, vgl. auch Urteil BArbG, wonach eine Dauerüberwachung des Arbeitnehmers unzulässig ist (Bundesarbeitsgericht, Beschluss vom 26.8.2008, 1 ABR 16/07).
Gerade über Trackingsoftware am Computer können die Arbeitszeiten der Mitarbeitenden theoretisch ausgewertet werden à unzulässig (Ausnahme: Ein- und Ausstempeln mithilfe einer Zeiterfassungssoftware am PC oder an einem anderen Gerät).
Durch die Statusanzeige könnte nun die Arbeitszeit und –dauer kontrolliert werden.
Anders könnte es sich allerdings verhalten, wenn man den Status selbstständig einstellen kann. Dann kann jeder/jede selbstständig entscheiden, ob sie/er grade bekanntgeben möchte, dass man arbeitet oder Pause/Feierabend macht. Als freiwillige Angabe halten wir das für zulässig, sofern die Zeiten der „Anwesenheit“ bzw. „Nicht-Anwesenheit“ nicht ausgewertet werden.
• Die Statusanzeige sollte nur dem engsten möglichen Kreis angezeigt werden –und in keinem Fall nicht dem Unternehmen zugehörende Personen.
• Die Standardeinstellung sollte „inaktiv“ sein.
• Nur wer möchte kann freiwillig die Statusfunktion aktiv ändern.
Angenommen es gibt keinen Betriebsrat, wie sollte das Unternehmen hier vorgehen, um keinen Missmut/Ängste bei den Beschäftigten entstehen zu lassen. Welche rechtlichen Rahmenbedingungen sind zu beachten?
Antwort:
Bei Eintritt in das Arbeitsverhältnis sollten die Richtlinien des Unternehmens bezüglich der Statusanzeige klar kommuniziert werden. Egal, ob man sich für eine freiwillige Anzeige oder eine gemeinsame Vereinbarung (eine weitere Möglichkeit!) entscheidet. Für eine gemeinsame Vereinbarung gilt der Freiwilligkeitsvorbehalt des § 26 BDSG.
Stand: 01.03.2023
Weitere Frage: Dabei wird die IP-Adresse der Website ermittelt und folgende oberflächliche Analyse durchgeführt:
- Sicherheitslücken durch veraltete Patches
- Gefundene Malware könnte eine Gefahr für den Besuch der Website darstellen.
- Blacklist (ist die Domain als Spam klassifiziert)
Das Ergebnis würde ich dann dem Interessenten per Post zusenden.
Beim Prüfen der Webseite durch Anbieter wie „sitecheck“ werden personenbezogenen Daten verarbeitet, sodass dies grundsätzlich einer Rechtsgrundlage bedarf.
In Betracht kommt Art. 6 Abs. 1 lit. a. oder b DSGVO, wenn es sich um eine vorvertragliche Maßnahme oder eine Einwilligung nach handelt. Dazu bräuchte es aber ein OK, des Betroffenen, was bei einer Kaltakquise gerade nicht der Fall ist.
Es kommt also eigentlich nur eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO in Betracht.
Argumente dafür:
- es wird sich regelmäßig um dienstliche IP-Adressen handeln, die in der Abwägung weniger schwer wiegen.
- der Seitencheck kann von jeder Person weltweit durch Verwenden der Webseitenadresse durchgeführt werden.
Argumente dagegen:
- die Daten werden unter anderem zu Werbezwecken verwendet.
- Die Wertung des Art. 25 TTDSG spricht dagegen
Antwort: die Frage ist nicht datenschutzrechtlich, sondern wahrscheinlich UWG-rechtlich zu finden.
Stand: 01.03.2023
Vorab:
Sofern eine sichere Authentifizierung des Empfängers möglich ist, können arbeitsbezogene Informationen gegeben werden.
Dienstliche E-Mailadressen und Telefonnummern sind personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, man braucht also eine Rechtsgrundlage für den Verarbeitungsvorgang. Sie dürfen demnach nur mit Einwilligung weitergegeben werden - oder wenn dies für die Durchführung des Arbeitsverhältnisses erforderlich ist.
Öffentlich zugängliche Daten können aus unserer Sicht am Telefon immer weitergegeben werden. Das sind insbesondere Informationen aus der Unternehmenswebseite.
Zusammengefasst:
• Zulässig: Öffentlich zugängliche Daten und für das Arbeitsverhältnis erforderliche Daten
• Bedingt zulässig: Dienstkontaktdaten von Mitarbeitern ohne Außenkontakt/Einwilligungsbedürftige Daten
• Verboten: Persönliche und sensible Daten, z.B. Information über Krankheit
Stand: 01.03.2023
Fallbeispiel:
Nehmen wir an, ein Betroffener möchte sein Recht aus Art. 17 DSGVO geltend machen. Um die Löschung nachzuweisen, wird ein Löschprotokoll erstellt. Dieses darf aber keine personenbezogenen Daten des Betroffenen enthalten. Wie könnten wir dem Betroffenen konkret nachweisen, dass seine Daten gelöscht wurden, ohne dabei hervorzuheben, dass wir weiterhin bestimmte personenbezogene Daten von Ihm speichern müssen, um unserer Rechenschaftspflicht gegenüber einer Behörde nachzukommen?
Auf dem Löschprotokoll sollte vermerkt sein, dass die Daten in Einklang mit Art. 17 Abs. 3 DSGVO gelöscht wurden. Zu Rechtspflichten im Sinne des Art. 17 Abs. 3 lit. b zählen insbesondere handels- oder steuerrechtliche Aufbewahrungspflichten, im deutschen Recht z.B. § 147 AO und § 257 HGB.
Ansonsten reicht der Hinweis, dass gelöscht wurde. Löschung bedeutet, dass künftig irreversibel verhindert wird, dass die Informationen in den Daten weiter genutzt werden können und dass dies auf allen Datenträgern des Verantwortlichen vorgenommen wurde. Zusätzlich sollte der Hinweis vermerkt sein, dass nach den gesetzlichen Vorgaben bestimmte Daten nach Art. 17 Abs. 3 DSGVO noch bis zum Ende der Aufbewahrungsfristen gespeichert bleiben.
Stand: 01.03.2023
Grundsätzlich ist ein Ombudsmann eine unparteiische Schiedsperson. Sie soll als neutraler Schlichter agieren. In
Manchmal werden spezielle Anforderungen an das Amt eines Ombudsmanns gestellt, z.B. die Befähigung für das Richteramt (zwei abgeschlossene juristische Staatsexamina) für den Versicherungsombudsmann.
Informationen zum Ombudsmannsystem
Das Hinweisgeberschutzgesetz (HinSchG), welches am 16.12.2022 zur Umsetzung der EU-Hinweisgeberschutzrichtline (RL 2019/1937) beschlossen wurde, wurde am 10.02.2023 vom Bundesrat blockiert. Wie also die genauen Anforderungen aussehen werden, lässt sich noch nicht endgültig sagen. Zur notwendigen Fachkunde steht bis dato im Gesetz:
§ 15
Unabhängige Tätigkeit; notwendige Fachkunde
(1) Die mit den Aufgaben einer internen Meldestelle beauftragten Personen sind bei der Ausübung ihrer Tätigkeit unabhängig. Sie dürfen neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Es ist dabei sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenkonflikten führen.
(2) Beschäftigungsgeber tragen dafür Sorge, dass die mit den Aufgaben einer internen Meldestelle beauftragten Personen über die notwendige Fachkunde verfügen. Ist der Beschäftigungsgeber der Bund oder ein Land, gilt Satz 1 für die jeweiligen Organisationseinheiten entsprechend.
Stand: 01.03.2023
Art. 4 DSGVO – Begriffsbestimmungen
“Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1.„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“
--> Neben den allgemein bekannten personenbezogenen Daten wie z.B. Name, Geburtsdatum oder Adresse ist auch die menschliche Stimme laut DSGVO ein personenbezogenes Datum
Stand: 15.02.2023
Konkretisierung der Fragestellung
Eine Betroffene erscheint geistig verwirrt. Sie wurde in der Vergangenheit via Amtsbeschluss betreut, der aber ausgelaufen ist. Nun hebt eine „gute Bekannte“ mit der Bankkarte und dem PIN der Betroffenen kontinuierlich Geld vom Giro ab. Der Bank erscheint dieses Vorgehen „unrund“, da auch keine Vollmacht und keine zweite Bankkarte vorliegt. Die Bank geht auf die Polizei zu und fragt nach Rat, ohne bis zu diesem Zeitraum pbD zu nennen. Die Polizei sieht Handlungsbedarf und bittet um Adressdaten der Person, die mittels der Bankkarte der Betroffenen kontinuierlich Geld abhebt. Die Bitte um personenbezogene Daten erfolgt mündlich, da Gefahr in Verzug.
Kann die Weitergabe der personenbezogenen Daten nach Art 6 Abs. 1 lit. f DSGVO gerechtfertigt sein, oder gibt es in der SPG eine Grundlage, wonach ich dann die Weitergabe auf den Art 6 Absatz 1 lit. c DSGVO begründen kann? Wird durch die Weitergabe das Bankgeheimnis verletzt und ist eine Information an die betroffene Person (möglicher Straftäter) überhaupt notwendig, da die Polizei ermitteln will.
Art. 6 Abs. 1 DSGVO:
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a.Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b.die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c.die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d.die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e.die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f.die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
Zu Art. 6 Abs. 1 lit. c DSGVO:
Es braucht hier eine Rechtspflicht aus gesetzlichen Vorgaben;
Der DSGVO-Kommentar Gola/Heckmann, 3. Auflage 2022, Rz. 46 sagt dazu: „Auskunftsersuchen von Ermittlungsbehörden muss nur Folge geleistet werden, wenn ein Fall des § 163 Abs. 3 StPO vorliegt“. Das ist vorliegend nicht gegeben, da laut Sachverhalt gerade (noch) keine Vorladung als Zeuge gegeben ist.
Art. 6 Abs. 1 lit. f DSGVO:
Auslegung siehe u.a. Erwägungsgrund 47, Satz 6:
Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar. …
--> Art. 6 Abs. 1 lit. f DSGVO kann als Rechtsgrundlage der Verarbeitung der Daten angenommen werden, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. … vgl. Erwägungsgrund 47
§ 24 BDSG - Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn
1.sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder
2.sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist,
sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.
(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.
Mit der Norm soll es nichtöffentlichen Stellen auf Grundlage einer nationalen Vorschrift ermöglicht werden, Daten zu anderen Zwecken als zu denjenigen, zu denen die Daten erhoben wurden, zu verarbeiten. Unter den Voraussetzungen des § 24 kann die Weiterverarbeitung personenbezogener Daten durch die jeweilige nichtöffentliche Stelle auf die Rechtsgrundlage gestützt werden, und zwar unabhängig davon, ob der Sekundärzweck mit dem ursprünglichen Zweck kompatibel iSd Art. 6 Abs. 4 DSGVO ist, vgl. Gola/Heckmann/Heckmann/Scheurer BDSG § 24 Rn. 1, 2.
Die Kommentare zum BDSG gehen davon aus, dass der Tatbestand zurückhaltend ausgelegt werden muss und deshalb eine drohende Gefahr nicht ausreichend ist. „Vielmehr müssen konkrete Anhaltspunkte für eine Gefahr bzw. eine Straftat vorliegen, welche die Erforderlichkeit der Weiterverarbeitung zu anderen Zwecken begründen.“, vgl. Gola/Heckmann/Heckmann/Scheurer BDSG § 24 Rn. 11-13. Unzulässig wäre etwa die anlasslose Auswertung etwaiger Datenbestände auf Basis eines bloßen Verdachtsmoments, laut Taeger/Gabel/Rose BDSG § 24 Rn. 8.
Über § 24 Abs. 1 Ziff. 1 2. Alt lässt sich die Weitergabe der Adressdaten der betroffenen Person an die Polizei rechtfertigen, wenn konkrete Anhaltspunkte für eine Gefahr bzw. eine Straftat vorliegen.
Wir halten das im vorliegenden Fall für zweifelhaft. Grundsätzlich gilt, dass rein die Tatsache, dass eine andere Person mit der Bankkarte einer anderen Person Geld abhebt, nicht den Verdacht einer Straftat begründet. Es müssen weitere Umstände hinzukommen, wie z.B. längere Nichterreichbarkeit der Bankarteninhaberin, ein Betreuungsverhältnis, keine Kontovollmacht der abhebenden Person, etc.
Es muss sorgfältig abgewogen werden!
Stand: 15.02.2023
Alle Regelungen der DSGVO, die auch sonst gelten, wenn es um die Verarbeitung personenbezogener Daten geht. Dazu zählt insbesondere:
1.Verbot mit Erlaubnisvorbehalt
2. Zweckbegrenzung und Zweckbindung, Art. 5 Abs. 1 b) DS-GVO
3. Prinzip der Erforderlichkeit
4. Prinzip der Datensparsamkeit, Art. 5 Abs. 1 c) DS-GVO
5. Prinzip der Transparenz, Art. 5 Abs. 1 a) DS-GVO
6. Verbot automatisierter Entscheidungen einschließlich Profiling, Art. 22 DS-GVO
Ausführlich: Holthausen: Big Data, People Analytics, KI und Gestaltung von Betriebsvereinbarungen – Grund-, arbeits- und datenschutzrechtliche An- und Herausforderungen, RdA 2021, 19
Stand: 08.02.2023
Art. 35 Abs. 1 DSGVO:
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
Art. 35 Abs. 4 DSGVO:
Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
Datenschutzkonferenz hierzu:
Ob eine DSFA durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken der Verarbeitungsvorgänge („Schwellwertanalyse“). Ergibt diese ein voraussichtlich hohes Risiko, dann ist eine DSFA durchzuführen. Wird festgestellt, dass der Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine DSFA nicht zwingend erforderlich. In jedem Fall ist die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren.
Ja.
Die Datenschutzkonferenz sagt dazu: In jedem Fall ist die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren, vgl. Ausführungen der Datenschutzkonferenz
Hier weitere Hinweise zur Schwellenwertanalyse
Stand: 08.02.2023
Bei Überschneidungen des TTDSG und der DSGVO ist das TTDSG als spezielleres Gesetz punktuell vorrangig, z.B. beim Fernmeldegeheimnis oder dem Verbot von Cookies ohne Einwilligung. Die allgemeinen Vorschriften der DSGVO gelten aber immer zusätzlich, sodass z.B. der Grundsatz der Transparenz und Rechtmäßigkeit durch Angabe der richtigen Gesetzesgrundlage weiter beachtet werden muss.
Wenn im Rahmen eines Telemedienangebotes Prozesse stattfinden, die sowohl unter das TTDSG als auch unter die DSGVO fallen, ist über die beiden Rechtsgrundlagen jeweils separat zu informieren.
Wenn das TTDSG spezielle Vorschriften angibt, sind diese zu zitieren. Wenn parallel TTDSG und DSGVO gelten, muss das bisherige Zitat aus der DSGVO durch das TTDSG Normzitat ergänzt werden.
Sämtliche Regelungen zum Datenschutz, die früher im TKG und TMG standen, wurden durch das TTDSG abgelöst. Hier muss also das Gesetzeszitat angepasst werden.
Wo muss das Gesetzeszitat geändert werden?
In allen den Datenschutz betreffenden Dokumenten und Informationen im Zusammenhang mit Endeinrichtungen.
Nicht abschließende Liste:
• Cookie-Banner,
• Datenschutzerklärungen,
• AV-Verträgen,
• Kundenverträge,
• AGB,
• Impressum,
• etc.
Stand: 01.02.2023
Im Verzeichnis für Verarbeitungstätigkeiten (Art. 30 DSGVO) müssen alle Tätigkeiten aufgelistet werden, bei denen personenbezogene Daten verarbeitet werden. Folgende Informationen müssen angegeben werden:
· Name und Kontaktdaten des Verantwortlichen
· Zweck der Verarbeitung
· Kategorien der betroffenen Personen (z.B. Kunden, Mitarbeiter, Bewerber)
· Kategorien von personenbezogenen Daten (z.B. Namen, Adressen, Geburtsdaten, Kontaktdaten)
· Empfänger oder Kategorien von Empfängern, denen die Daten offengelegt werden
· Übermittlungen von Daten in Drittländer (falls vorhanden)
· geplante Dauer der Speicherung
· Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen
• Kunden (Name, Adresse, E-Mail-Adresse, Bestellhistorie) zur Abwicklung von Bestellungen
• Mitarbeiter (Name, Adresse, Bankverbindung, Lebenslauf, Zeugnisse) für die Personalverwaltung
• Bewerber (Name, Adresse, Lebenslauf, Zeugnisse) für die Durchführung des Bewerbungsverfahrens
• Nutzer (IP-Adresse, Verhaltensdaten) zur Verbesserung der Website-Nutzung.
· Kontaktdaten: Name, Adresse, Telefonnummer, E-Mail-Adresse
· Persönliche Daten: Alter, Geschlecht, Geburtsdatum, Familienstand
· Finanzielle Informationen: Bankverbindung, Gehalt, Steuerdaten
· Arbeitsdaten: Stellennummer, Gehaltsdaten, Arbeitszeiten
· Gesundheitsdaten: Krankenakte, Untersuchungsergebnisse
· Bild- und Tonaufnahmen: Fotos, Videos, Audiomitschnitte
· Online-Daten: IP-Adresse, Verhaltensdaten, Suchanfragen
· Standortdaten: GPS-Daten, Informationen über bevorzugte Orte
Stand: 01.02.2023
Nach Wikipedia ist OpenStreetMap (OSM) ein freies Projekt, das frei nutzbare Geodaten sammelt, strukturiert und für die Nutzung durch jedermann in einer Datenbank vorhält (Open Data). Diese Daten stehen unter einer freien Lizenz, der Open Database License. Kern des Projekts ist also eine offen zugängliche Datenbank aller beigetragenen Geoinformationen, vgl. Wikipedia.
OpenStreetMap (OSM) kann nicht ohne Weiteres datenschutzkonform eingesetzt werden, denn auf der Plug-in-zugehörigen Webseite sind die Datenschutzvoraussetzungen nicht erfüllt.
Folgende zusätzlichen Voraussetzungen müssen vorliegen:
• Nutzer-Einwilligung über Cookie-Banner,
• bessere Datenschutzerklärung,
• AV-Vertrag mit OSM an sich notwendig (momentan kein Verweis auf deren Webseite)
• Viele Informationen dazu auf der Website
OpenStreetMap ist (anders als Google) noch nicht in Verruf geraten und hat durch den Sitz außerhalb der USA (Großbritannien), sowie eine deutlich geringere Erhebung von Daten (nur IP-Adresse) augenscheinlich datenschutzrechtliche Vorteile.
Eine datenschutzkonforme Einbindung ist aber auch hier aufwendig und im Einzelfall zu prüfen. Durch die offene Datenbasis und der Tatsache, dass kein kommerzielles Unternehmen hinter OSM steht, gibt es bislang auch keine vorgefertigten AV-Verträge. OSM hat aber die Chance, sich als datenschutzkonforme Alternative zu etablieren.
Ob die Gerichte die Verwendung von OSM als datenschutzkonform bezeichnen würden, ist unklar. Bei Google Maps dürfte ohne Einwilligung und die anderen datenschutzrechtlichen Voraussetzungen keine Datenschutzkonformität gegeben sein.
Urheberrecht und Lizenz von Open Street Map
„Es steht dir frei unsere Daten zu kopieren, weiterzugeben, zu übermitteln sowie anzupassen, sofern du OpenStreetMap und die Mitwirkenden als Quelle angibst. Für den Fall, dass du auf Basis unserer Daten Anpassungen vornimmst, oder sie als Grundlage für weitere Bearbeitungen verwendest, kannst du das Ergebnis auch nur gemäß der selben Lizenz weitergeben.
Wie auf die Urheberschaft von OpenStreetMap hinzuweisen ist
Wenn du OpenStreetMap-Daten verwendest, musst du die folgenden zwei Bedingungen erfüllen:
•Nenne OpenStreetMap, indem du unseren Urheberrechtshinweis anzeigst.
•Mache deutlich, dass die Daten unter der Open-Database-Lizenz verfügbar sind.“
--> Unter Berücksichtigung der Bedingungen laut Lizenzvereinbarung darf somit ein Screenshot verwendet werden
Stand: 15.02.2023
Art. 78 DSGVO:
Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.
Das heißt:
• Gegen einen Verwaltungsakt: Anfechtungsklage iSv § 42 Abs. 1 Alt. 1 VwGO
• Gegen einen von der Aufsichtsbehörde erlassenen Bußgeldbescheid: Einspruch nach §§ 67 ff. OWiG und danach gerichtlich.
Stand: 25.01.2023
Allgemein
Der Rechtsweg ist der Weg, auf dem bei einer Gerichtsbarkeit um Rechtsschutz nachgesucht werden kann. Man unterscheidet vor allem zwei große Rechtswege: den
• ordentlichen Rechtsweg und den
• Verwaltungsrechtsweg .
• Eine Sonderstellung nimmt die Verfassungsgerichtsbarkeit ein. Nach Art. 47 GRCh sowie § 17a GVG muss garantiert werden, dass auch dieser Rechtsweg offensteht. Diese Rechtsweggarantie wird in Art. 78 Abs. 1 DS-GVO nochmals verdeutlicht. Dabei sind sowohl natürliche als auch juristische Personen erfasst, vgl. Art. 78 Abs. 1 DS-GVO.
Außergerichtlich
Die außergerichtlichen Möglichkeiten gehören strenggenommen nicht zum Rechtsweg, da der Rechtsbehelf nicht vor einem Gericht versucht wird durchzusetzen.
Der häufigste Fall von außergerichtlichen Rechtsmitteln sind Abmahnungen, oft verbunden mit Unterlassungserklärungen und sogenannte anwaltliche Forderungsschreiben. Oft wird hierdurch versucht einen gerichtlichen Prozess vorbereiten bzw. stellt eine Abmahnung oft einen Versuch dar, ein gerichtliches verfahren zu vermeiden.
Verwaltungsrecht:
Gemäß Art. 77, 78 der DSGVO besteht das Recht zur Beschwerde bei einer Aufsichtsbehörde, wenn der Verdacht besteht, dass die Verarbeitung personenbezogener Daten gegen die Datenschutz-Grundverordnung verstößt. Die Aufsichtsbehörde muss über den Stand und die Ergebnisse der Beschwerde und die Möglichkeit eines gerichtlichen Rechtsbehelfs informieren.
Möchte man sich hingegen gegen Maßnahmen einer Behörde wenden, so ist der Verwaltungsrechtsweg der einschlägige Rechtsweg, vgl. Art 78 Abs. 1, 2 DSGVO, § 20 Abs. 1 S. 1 BDSG. Dazu bedarf es einer „Außenwirkung“ irgendeiner Art. Es kann so also auch gegen das „Nichts-Handeln“ einer Behörde vorgegangen werden.
Zivilrecht:
Alle datenschutzrechtlichen Ansprüche der Betroffenen (Art. 12 ff. DSGVO) können auf dem Zivilrechtweg eingeklagt werden. Das heißt:
Auskunfts-/Unterlassungs-/Löschungs-/ Schadensersatzklagen sind hier vor den Zivilgerichten möglich
Sonderfall Unterlassungsansprüche aus UWG für Betroffene
Für Ansprüche nach dem Gesetz gegen den unlauteren Wettbewerb („UWG“) sind die Landgerichte ausschließlich zuständig (vgl. § 13 Abs. 1 UWG, 95 Abs. 1 Nr. 5 GVG). Streitig bis heute, ob Regelungen aus der DSGVO Marktverhaltensregel i.S.v. § 3a UWG darstellen.
Neben den Verstoß gegen die DSGVO braucht man hierzu zusätzlich einen Nachweis der Persönlichkeitsrechtsverletzung, denn die bloße verordnungswidrige Datenverarbeitung stellt keine Rechtsverletzung iSd. §§ 823 Abs. 1, 1004 Abs.1 S. 2 BGB analog dar (vgl. LG München, Urteil v. 7.11.2019, Az. 34 O 13123/19, Rn. 28 juris). Wenn allerdings mit der rechtswidrigen Verarbeitung zugleich eine Persönlichkeitsverletzung verbunden ist (z.B. Veröffentlichung von Fotos, Verbreitung unwahrer Tatsachen etc.), ist ein Unterlassungsanspruch vor den ordentlichen Gerichten gegenüber der verarbeitenden Stelle möglich.
Sonderkonstellation
Vorabentscheidungsverfahren
Wenn in einem der obigen gerichtlichen Verfahren die Auslegung einer Vorschrift der DSGVO in Frage steht, kann vor dem Instanzengericht ein Vorabentscheidungsverfahren vor dem EuGH angeregt werden (vgl. Art. 267 AEUV). Eine Vorlagepflicht besteht allerdings nur in letzter Instanz
Verfassungsbeschwerde
Nach Erschöpfung des ordentlichen Rechtswegs, besteht immer noch die Möglichkeit, eine Verfassungsbeschwerde vor dem Bundesverfassungsgericht zu erheben.
Stand: 25.01.2023
Es gibt hier eine zivilrechtliche, eine steuerrechtliche und eine datenschutzrechtliche Sicht.
Zivilrecht: Die Zivilgerichte lassen in aller Regel ausgedruckte Kopien eines zuvor digitalisierten Vertrages zu. Wenn aber die Echtheit einer Urkunde angezweifelt wird, sollte das Original vorgelegt werden können. Die freie Beweiswürdigung nach §§ 371 Abs. 1 S. 1, 286 Abs. 1 ZPO stellt dem Richter dann frei, wie er digitalisierte Verträge würdigt. Wenn die Urkunde bereits vernichtet wurde, bleibt die Prozesspartei den Beweis also unter Umständen schuldig.
Jedenfalls dann, wenn das Gesetz die sogenannte Schriftform nach § 126 BGB für einen Vertrag vorschreibt, wird eine digitale Version regelmäßig nicht genügen (so zuletzt das LAG Berlin-Brandenburg, Urteil vom 16.3.2022 – 23 Sa 1133/21).
Die Schriftform ist beispielsweise bei folgenden Verträgen unerlässlich:
·Arbeitnehmerüberlassungsvertrag
·Abtretung von Rechten
·Schuldanerkenntnis
·Verbraucherdarlehens- und Ratenlieferungsverträge sowie Fernunterrichtsverträge.
·Unbedingt ist die Schriftform auch bei Verträgen mit der öffentlichen Verwaltung einzuhalten (sog. öffentlich-rechtlicher Vertrag).
Im Miet- und Pachtrecht wird die Schriftform zwar gesetzlich angeordnet, allerdings ist der Vertrag auch ohne Einhaltung der Schriftform wirksam geschlossen. Mit dem Unterschied, dass ohne die Einhaltung der Schriftform dieser auf unbestimmte Zeit läuft.
Steuerrecht:
Wenn ein Vertrag die steuerrechtlich relevant ist, er also Buchungsbeleg zu sehen sind, besteht nach § 147 der Abgabenordnung eine gesetzliche Aufbewahrungspflicht für 10 Jahre. Diese Frist besteht für alle Unternehmen, die zur Buchführung verpflichtet sind.
Verträge, die nicht als Buchungsbelege gelten, können als Geschäftskorrespondenz gesehen werden. Nach dem Handelsgesetzbuch (HGB) besteht für solche Organisationsunterlagen eine Aufbewahrungsfrist von sechs Jahren.
Datenschutzrecht:
Die datenschutzrechtliche Löschpflicht findet ihre Grenzen in den zivil- und steuerrechtlichen Aufbewahrungspflichten.
Ergebnis:
•Wenn der Vertrag wichtig ist (Streitpotenzial?)
•oder der Schriftform bedarf,
empfiehlt es sich wegen der Beweiskraft des Originals, auch das Papieroriginal aufzubewahren.
Bei weniger wichtigen Verträgen bzw. Dokumenten oder solchen, die auch in Textform wirksam sind, genügt die digitale Aufbewahrung.
Stand: 25.01.2023
Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter …
h.dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
Art. 39 Abs. 1 lit. b DSGVO verpflichtet den DSB zur „Überwachung der Einhaltung dieser Verordnung“.
Es ist demnach auch grundsätzlich eine Aufgabe das DSB den Auftragsverarbeiter zu überprüfen. Dabei kommt es auf das Risiko für die Rechte und Freiheiten natürlicher Personen an, dem die Datenverarbeitung im Einzelfall ausgesetzt ist.
Der Begriff der Überwachung umfasst z.B. nicht nur eine Vorlage des Verzeichnisses der Verarbeitungstätigkeiten, sondern auch eine Überprüfung (ggf. als Stichproben), ob etwa die vorgesehenen Sicherheitsmaßnahmen tatsächlich umgesetzt und wirksam sind und ob die benennende Stelle ihre datenschutzrechtlichen Pflichten erfüllt. So wird der Datenschutzbeauftragte regelmäßig nicht umhinkommen, Vor-Ort-Kontrollen durchzuführen. Zur Überwachung gehört es ebenfalls, zu prüfen, ob Verträge vorhanden sind und diese die Vorgaben des Datenschutzrechts erfüllen, nicht aber neue Verträge auszuarbeiten.
Es gibt eine gewichtige Literaturmeinung, die es für eine effektive Kontrolle hält, auch durch die Vorlage von Audit-Reports anstelle von Vor-Ort-Prüfungen ermöglicht werden.
Im Hinblick auf IT-Outsourcing-Datenverarbeitungsvorgänge ist wahrscheinlich die Wahrnehmung von Vor-Ort-Kontrollen bei großen Rechenzentren mit der Gefahr der Erhöhung von Verarbeitungsrisiken verbunden. Hier wäre wahrscheinlich der Rückgriff auf die Kontrolle durch Dritte praxisgerechter. Maßgebende Parameter sind das Gefährdungspotential für die Betroffenen, der Umfang der Auftragsverarbeitung, die Innovationsgeschwindigkeit und die Sensibilität der verarbeiteten Daten, insbesondere aber auch das Kompetenzgefälle der am Auftrag beteiligten Rechtsträger.
Wenn zertifizierte Auditberichte vorliegen kann unserer Ansicht nach eine eigene Kontrolle ganz entfallen.
Stand: 25.01.2023
Scoring als Unterfall des Profiling nach § 31 BDSG
Bonitätsauskünfte in Form von Scoring ist in § 31 BDSG geregelt.
„Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn
1.die Vorschriften des Datenschutzrechts eingehalten wurden,
2.die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
3.für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wurden und
4.im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.“
Automatisierte Entscheidungsfindung durch Algorithmen
„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
Scoring ist ein von Auskunfteien durch mathematische-statische Verfahren ermitteltes Wertesysteme, bei dem nur noch der „Scorewert“ an den Vertragspartner übermittelt wird und so seine Bonität eingeschätzt wird. Diese Prognose über Zahlungsfähigkeit- und Willigkeit ist eine Form des Profilings nach Art. 4 Nr. 4 DSGVO.
Scoring als Unterfall des Profiling nach § 31 BDSG
Für die Berechnung des Scorewertes dürfen nur Daten genutzt werden, die unter Anwendung eines wissenschaftlich mathematisch-statistischen Verfahrens dafür nachweislich geeignet sind (OLG Frankfurt a. M. ZD 2015, ZD Jahr 2015 Seite 335).
Es soll damit eine Nachprüfung durch die Aufsichtsbehörde ermöglicht werden.
„Abs. 1 Nr. 2 verpflichtet allerdings nicht dazu, die wissenschaftliche Anerkennung des mathematisch-statistischen Verfahrens durch Prüfsiegel oder Zertifikate nachzuweisen. „Wissenschaftlich anerkannt“ ist allerdings nicht mit „wissenschaftlich“ identisch oder gleichzusetzen. Vielmehr bedeutet wissenschaftlich, dass das Verfahren Gegenstand wissenschaftlicher Untersuchungen war und in diesen wissenschaftlichen Untersuchungen allgemein als zutreffende Berechnung der Wahrscheinlichkeitswerte für ein bestimmtes zukünftiges Verhalten der betroffenen Personen eingestuft wurde. Prüfungen der Verfahren durch eine Datenschutzaufsichtsbehörde dienen grundsätzlich nicht wissenschaftlichen Zwecken, sondern dem gesetzlichen Auftrag der Behörde, die Einhaltung der Vorschriften des Datenschutzrechts zu überprüfen. Allerdings kann eine derartige Prüfung nach Umfang, Zuschnitt und Methode als wissenschaftliche Untersuchung angelegt sein.
Die Berechnung des Wahrscheinlichkeitswerts hat unter Zugrundelegung eines mathematisch-statistischen Verfahrens zu erfolgen. Gemeint ist offenbar ein Verfahren der mathematischen Statistik. Mathematische Statistik und Wahrscheinlichkeitstheorie werden unter dem Oberbegriff Stochastik als ein Teilgebiet der Mathematik verstanden. Für Kredit-Scoring werden verschiedene Algorithmen oder Techniken verwendet wie etwa die logistische Regression, Diskriminanzanalyse, künstliche neuronale Netze und andere Data-Mining-Methoden.“ Aus: Gola/Heckmann/Lapp BDSG § 31 Rn. 29-30
Stand: 25.01.2023
Aktuelles Urteil des BGH vom 6.10.2022 – VII ZR 895/21:
Eine Willenserklärung, die einem anderen gegenüber abzugeben ist, wird, wenn sie in dessen Abwesenheit abgegeben wird, in dem Zeitpunkt wirksam, in welchem sie ihm zugeht. Sie wird nicht wirksam, wenn dem anderen vorher oder gleichzeitig ein Widerruf zugeht. Der Zugang einer Willenserklärung unter Abwesenden setzt voraus, dass sie so in den Bereich des Empfängers gelangt ist, dass dieser unter normalen Verhältnissen die Möglichkeit hat, vom Inhalt der Erklärung Kenntnis zu nehmen.
Im vorliegenden Fall ist das Angebot der Kl. mit E-Mail vom 14.12.2018, 9.19 Uhr, auf Abschluss eines Vergleichs, der Beklagte zu diesem Zeitpunkt gem. § 130 Abs. 1 BGB wirksam zugegangen.
Weiter führt der BGH aus:
Wird eine E-Mail im unternehmerischen Geschäftsverkehr innerhalb der üblichen Geschäftszeiten auf dem Mailserver des Empfängers abrufbereit zur Verfügung gestellt, ist sie dem Empfänger grundsätzlich in diesem Zeitpunkt zugegangen. Dass die E-Mail tatsächlich abgerufen und zur Kenntnis genommen wird, ist für den Zugang nicht erforderlich.
Im Ergebnis stellte der BGH also fest: ein wirksames Vergleichsangebot gilt durch den Eingang der E-Mail auf dem Mailserver als zugegangen.
Stand: 18.01.2023
Art. 39 DSGVO – Aufgaben des DSB:
(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
d) Zusammenarbeit mit der Aufsichtsbehörde;
e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Was sagt die Literatur dazu:
• Auszug aus dem DSGVO-Kommentar Paal/Pauly/Paal DS-GVO Art. 39 Rn. 6-6b
„Zur Sicherstellung der Wahrung datenschutzrechtlicher Vorgaben sind für die Praxis regelmäßige Kontrollen durch den Datenschutzbeauftragten anzuraten“.
• Gola/Heckmann/Klug DS-GVO Art. 39 Rn. 3-6
„Art. 39 Abs. 1 lit. b ergänzt die vorgenannten Aufgaben um die Kontrollfunktion des Datenschutzbeauftragten. Im Prinzip handelt es sich um eine typische Compliance-Aufgabe, denn Gegenstand der Kontrolle ist nicht nur die Wahrung des einschlägigen Datenschutzrechts, sondern auch die Einhaltung der „Strategien“ bzw. Regeln und Richtlinien, die sich das Unternehmen oder die Behörde selbst gegeben hat.“
Die Kontrolle der Umsetzung des datenschutzrechtlichen Anforderungen ist gesetzlich vorgegeben. Hier gilt der Grundsatz der Angemessenheit.
Aufwand und Tiefe müssen dem mit der Verarbeitung verbundenen Risiko entsprechen. Es muss also nicht jede Maßnahme kontrolliert werden, wenn das Risiko niedrig ist. Eine angemessene Zahl von Stichproben genügt. Eine Vertiefung ist aber dann notwendig, wenn Stichproben negativ ausfallen.
Es ist unserer Ansicht nach aber notwendig (als ext. DSB), einmal im Jahr beim Kunden vor Ort eine Datenschutzprüfung vorzunehmen („Audit“). Im Rahmen einer solchen systematischen Überprüfung, ob die DSGVO und die anderen Datenschutznormen eingehalten werden, sollte auch die Technik einbezogen werden, einschließlich des Rechenzentrums.
Stand: 18.01.2023
EuGH zur parallelen Ausübung von DSGVO-Rechtsbehelfen - Urteil vom 12.01.2023 (C-132/21)
Der Kläger möchte von der nationalen Behörde für Datenschutz und Informationsfreiheit Ungarn die Übermittlung von einem Auszug einer Tonaufzeichnung einer Aktionärshauptversammlung, an der er selbst teilgenommen hat. Die Aufsichtsbehörde lehnt den Antrag ab.
Der Kläger erhebt nun zwei Klagen an zwei verschiedenen Gerichten. Der zweiten Klage nach Art. 79 Abs. 1 DSGVO wird rechtskräftig stattgegeben. Das erste Gericht legt danach die Sache dem EuGH vor, um möglicherweise widersprechende Entscheidungen in derselben Sache zu vermeiden.
Art. 78 Abs. 1 DSGVO:
„Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.“
Art. 79 Abs. 1 DSGVO:
„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“
Jeder dieser Rechtsbehelfe muss „unbeschadet“ der anderen eingelegt werden können. Es wird keine vorrangige oder ausschließliche Zuständigkeit vorgesehen. Die vorgesehenen Rechtsbehelfe können daher nebeneinander und unabhängig voneinander eingelegt werden.
Im Einklang mit dem Grundsatz der Verfahrensautonomie obliegt es den Mitgliedstaaten, die Modalitäten des Zusammenspiels dieser Rechtsbehelfe zu regeln, um die Wirksamkeit des Schutzes zu gewährleisten.
Stand: 18.01.2023
1.
EuGH: zum Thema Kündigung des Datenschutzbeauftragten - Urteil vom 22.6.2022 – C-534/20 (Leistritz AG/LH).
Es gilt Art. 38 Abs. 3, S. 2 DSGVO im Verhältnis zwischen einem Datenschutzbeauftragten und einem Verantwortlichen oder einem Auftragsverarbeiter, und zwar unabhängig von der Art des sie verbindenden Beschäftigungsverhältnisses. Art. 38 Abs. 3, S.2 DSGVO ist dahin auszulegen ist, dass er einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DSGVO nicht beeinträchtigt.
Der EuGH stellt vorliegend also klar, dass jeder Mitgliedsstaat frei entscheiden kann, engere Regelungen betreffend die Kündigung eines Datenschutzbeauftragten aufzustellen als in der DSGVO geregelt.
Es gibt zudem einige nationale Entscheidungen von Arbeitsgerichten, wie mit dem Thema Sonderkündigungsschutz des DSB aus § 38 Abs. 1 iVm § 6 Abs. 4 BDSG im Einzelnen auszulegen ist.
2.
LAG Hamm (18. Kammer), Urteil vom 06.10.2022 – 18 Sa 271/22 - Datenschutzbeauftragter, Sonderkündigungsschutz
Die Parteien streiten in der Berufungsinstanz noch darüber, ob das zwischen ihnen bestehende Arbeitsverhältnis durch eine Kündigung aufgelöst wurde, die die Beklagte aussprach, nachdem der Kläger etwa 1 ½ Monate für sie tätig war. Der Kläger beruft sich auf einen Sonderkündigungsschutz als Datenschutzbeauftragter. § 6 Abs. 4 BDSG bestimmt, dass die Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten unzulässig ist, es sei denn, dass Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen.
Das Gericht war jedoch der Ansicht, dass die Vorschrift nach ihrem Wortlaut und nach der Gesetzessystematik nur für öffentliche Stellen gilt. Auf nicht öffentliche Stellen sei § 6 Absatz 4 S. 2 BDSG nur anwendbar, wenn die Benennung eines Datenschutzbeauftragten verpflichtend ist (§ 38 Absatz 2 BDSG).
Im Streitfall war die Beklagte nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen. Es bedarf daher keiner Entscheidung darüber, ob der Sonderkündigungsschutz dem Datenschutzbeauftragten bereits während der Wartezeit nach § 1 Absatz 1 KSchG oder während einer vertraglich vereinbarten Probezeit zusteht (wofür freilich Wortlaut und Sinn des gesetzlichen Sonderkündigungsschutzes sprechen, vgl. BAG, Urteil vom 25.08.2022 - BAG Aktenzeichen 2AZR22520 2 AZR 225/20).
3.
BAG: Sonderkündigungsschutz für Datenschutzbeauftragte rechtskonform - BAG Urteil vom 25.8.2022 – 2 AZR 225/20
Vorliegend wurde dem Datenschutzbeauftragten einer juristischen Person mit Verpflichtung zum DSB nach einem halben Jahr ordentlich gekündigt. Kündigungsgrund ist eine Umstrukturierung, bei der u.a. ein externer DSB beauftragt werden soll.
§ 6 Absatz IV 2 BDSG erlaubt eine außerordentliche Kündigung aus wichtigem Grund. Dem genügt aber die von der Beklagten ausgesprochene ordentliche Kündigung nicht. Damit ist die ordentliche Kündigung nach § 134 BGB nichtig.
Stand: 18.01.2023
OLG Köln (15. Zivilsenat), Urteil vom 14.07.2022 – 15 U 137/21 - Schadensersatzanspruch bei verzögerter Auskunft
Aus dem Sachverhalt und der Vorinstanz:
Die Klägerin will unter anderem immateriellen Schadensersatz wegen verspäteter Datenschutzauskünfte von ihrem Rechtsanwalt.
Vor dem LG wird festgestellt, dass sie keinen Anspruch auf Schadensersatz hat. Der Gegenstandwert für die datenschutzrechtliche Auskunft liegt bei lediglich 500,00 € - und nicht bei den geforderten 1.000,00 €. In der Berufung will die Klägerin den Streitwert auf 5.000,00 € ändern, vermindert aber in der mündlichen Verhandlung ihren Anspruch auf lediglich 500,00 €.
Aus der Urteilsbegründung:
Der Höhe nach hält der Senat den von der Klägerin letztlich noch geltend gemachten Betrag in Höhe von 500,- Euro für ausreichend und angemessen, um die von ihr erlittenen immateriellen Schäden nach Art. 82 Abs. 1 DSGVO auszugleichen.
Die Folgen der verspäteten Datenauskunft haben zu Stress und Sorge in Hinblick auf die beim Anwalt liegende Rechtssache geführt. Zugunsten des Beklagten wurde berücksichtigt, dass die Daten der Klägerin keinem Dritten zugänglich gemacht worden sind und die Frage einer Präventionsfunktion der Entschädigung (zumindest im vorliegenden Fall) aufgrund der zeitweisen Erkrankungen des Beklagten keine durchgreifende Rolle spielt und letztlich damit keine höhere Entschädigung rechtfertigen kann.
Stand: 18.o1.2023
Es gibt mittlerweile zahlreiche Gerichtsurteile, die sich mit Klagen auf Datenauskunft nach Art. 15 DSGVO befasst haben. Die Streitwerte, auf deren Basis die Verfahrenskosten (v.a. Gerichts- und Rechtsanwaltskosten) berechnet werden, lagen bis dato immer zwischen EUR 500,- und EUR 6.000,-.
Beispiele:
Stand: 18.01.2023
Grundsätzlich bedarf jede Verarbeitung personenbezogener Daten folgender Voraussetzungen:
1. Das Vorliegen einer Rechtsgrundlage für die Verarbeitung
2. Einhaltung der datenschutzrechtlichen Grundsätze (Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Integrität und Vertraulichkeit)
Zu 1. kommt in unserem Fall v.a. Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage in Betracht. Demnach wäre das Arbeitsverhältnis zwischen dem Teilnehmer und seinem Arbeitgeber (§ 611 ff. BGB) die Rechtsgrundlage, auf deren Basis auch externe Berater hinzugezogen werden dürfen. Die Datenverarbeitung wäre auch „erforderlich“, da sie zur Erfüllung von Pflichten oder zur Wahrnehmung von Rechten aus einem mit der betroffenen Person geschlossenen Vertrag vorgenommen und hierfür benötigt wird (hier: Personalentwicklung). Die geplante Datenverarbeitung, hier in Form der Weitergabe des Lebenslaufs, dürfte sich bei vernünftiger Würdigung als objektiv sinnvoll erweisen (Gola/Heckmann/Schulz DS-GVO Art. 6 Rn. 38-43), da das AC anderenfalls nicht zielgerichtet auf den Kandidaten/die Kandidatin durchgeführt werden kann.
Stand: 11.01.2023
Art. 9 DSGVO - Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
„Biometrische Daten“ sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;“
Wenn also mit einer bestimmten Technologie eine Gesichtserkennung durchgeführt und eine Person eindeutig identifiziert werden kann, ist eine besondere Kategorie personenbezogener Daten betroffen --> nach Artikel 9 DSGVO ist die Verarbeitung solcher Daten nur unter bestimmten Voraussetzungen gestattet.
Im Art. 9 Abs. 2 DSGVO werden einige Ausnahmefälle bei der Gesichtserkennung geregelt. Nur wenn diese vorliegen dürfen die Daten erhoben und auch verarbeitet werden. So ist es erlaubt biometrische Daten zu verarbeiten, wenn
Quelle: https://www.kriminalberatung.de/gesichtserkennung-datenschutz/
Stand: 11.01.2023
Art. 12 DSGVO
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
(7) Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln.
(8) Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.
Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.
Um die Verarbeitung personenbezogener Daten in Datenschutzhinweisen einfach und verständlich darzustellen, kann auch auf Bildsprache zurückgegriffen werden.
Auf der Website des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg werden u.a. Bildsymbole für die häufig gebräuchlichen Begrifflichkeiten wie z.B. Verantwortliche, personenbezogene Daten, Zweck, Betroffenenrechte, Aufsichtsbehörde etc. zum kostenlosen Download vorgeschlagen.
Stand: 11.01.2023
Ausführliche Informationen zum Thema Newsletter und Werbung per E-Mail finden Sie in unserem Blog.
Erst einmal ist klarzustellen, dass sich sowohl das Informationsfreiheitsgesetz des Bundes als auch diejenigen der Länder, nur an Behörden als Verpflichtete richtet. Unternehmen sind keine Adressaten der Informationsfreiheitsgesetze.
Informationsfreiheitsgesetze regeln den Zugang des Bürgers zu Unterlagen von Behörden unabhängig von einer persönlichen Betroffenheit des jeweiligen Bürgers. Damit soll es (interessierten) Bürgern möglich sein, das staatliche Handeln besser nachzuvollziehen und zu kontrollieren. In Bundesländern, die kein Informationsfreiheitsgesetz erlassen haben, darf ein Bürger Einsichtnahme in behördliche Akten (i.d.R.) nur nehmen, wenn er oder sie persönlich betroffen sind von dem Vorgang.
Im Informationsfreiheitsgesetz des Bundes regelt § 5 den Ausgleich zwischen (persönlichem) Datenschutz und Informationsinteresse. Nach dessen Abs. 1 S. 1 dürfen personenbezogene Daten nur offenbart werden, wenn das Informationsinteresse überwiegt. Nach Abs. 1 S. 2 dürfen Besondere Kategorien von personenbezogene Daten nach Art. 9 DSGVO nur mit Einwilligung des Betroffenen herausgegeben werden.
Die Datenschutzaufsicht hat i.d.R. auch die Informationsfreiheit zu überwachen (z. B. Bundesbeauftragter für Datenschutz und Informationsfreiheit BfDI).
Datenschutz und Informationsfreiheit stehen in einem Spannungsverhältnis zueinander. Anstatt zwei separate Behörden zu schaffen, die sich am Ende nicht einigen können, hat man es wohl als effektiver angesehen, eine Behörde mit beiden Themen zu betrauen. Diese Vermutung wird auch durch die Gesetzesmaterialien zu dem Informationsfreiheitsgesetz des Bundes bestätigt. Dort heißt es auf S. 17: Der Bundesdatenschutzbeauftragte wird zugleich Beauftragter für die Informationsfreiheit (siehe Folgeänderung in § 13). Erfahrungen im Ausland und in den Ländern, die bereits über Informationsfreiheitsgesetze verfügen, zeigen, dass ein Beauftragter bürgernah Informationsfreiheit und Datenschutz in Ausgleich bringen kann.
Zu beachten ist aber, dass bspw. der Bundesbeauftragte nicht oberste Instanz ist. Er kann anderen Behörden keine Weisungen dahingehend erteilen, dass sie Informationen herausgeben müssen. Vielmehr ist er nur Vermittlungsstelle zwischen Bürger und Behörde. Ein Antrag auf Einsichtnahme in behördliche Informationen kann nur klageweise gegen eine sich weigernde Behörde durchgesetzt werden. Die Anrufung des Bundesbeauftragten hemmt die Klage- bzw. Widerspruchsfrist nicht! (siehe Flyer des BfDI).
Stand: 21.12.2022
VG Wiesbaden, Beschluss vom 01.12.2021, Az.: 6L 738/21.WI:
Der Dienst „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Dabei werden die tatsächlich eingesetzten Cookies kontrolliert und solche Cookies blockiert, für die eine Zustimmung nicht erteilt wurde.
Aber: Es werden (wohl) nach Vortrag des Antragstellers auch personenbezogene Daten des Nutzers an den Server von „Cookiebot“ in den USA übermittelt. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert wird, und der übermittelten vollständigen IP-Adresse, ist der Endnutzer eindeutig identifizierbar.
Ergebnis: Cookiebot könnte gegen Datenschutzrecht verstoßen, da weder eine Einwilligung der Nutzer gegeben wird, noch eine andere Rechtsgrundlage für die Datenübermittlung in die USA zu greifen scheint.
Im Eilverfahren vor dem VG Wiesbaden wollte nun der Antragsteller erreichen, dass es der Hochschule RheinMain untersagt wird, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden.
Das Gericht gab dem Antrag statt (Az.: 6 L 738/21.WI).
Aber! Die Entscheidung wurde vom Berufungsgericht (Hessischen Verwaltungsgerichtshof) aufgehoben. Es fehle die Eilbedürftigkeit, die man für einen solchen Antrag im Eilverfahren brauche.
Ergebnis: Verfahren im Auge behalten! Derzeit kann man nicht sagen, dass Cookiebot rechtswidrig ist, weil es keine rechtskräftige Gerichtsentscheidung dazu gibt. Wir warten also immer noch auf das Hauptsachverfahren!
Stand: 14.12.2022
1.
Ist der Arbeitgeber als TK-Provider zu verstehen, wenn er W-LAN zur privaten Nutzung durch seine Mitarbeiter anbietet?
--> Sehr umstrittene Frage (auch zu Zeiten des alten TKG). Die Frage wurde gerichtlich v.a. im arbeitsrechtlichen Kontext diskutiert, nämlich, ob und wann ein Arbeitgeber das Fernmeldegeheimnis beachten muss.
2.
Ist der Arbeitgeber als TM-Provider zu verstehen, wenn er W-LAN zur privaten Nutzung durch seine Mitarbeiter anbietet?
--> Zu einem Anbieter von Telemedien wird das Unternehmen nur, wenn er als Content-/Zwischenspeicherungs- oder Access-Provider verstanden werden kann.
Zum TKG: Das TKG wurde zum 01.12.2021 neu gefasst. Dabei wurden sämtliche Datenschutzthemen im neu geschaffenen TTDSG geregelt. Dabei wurde vom Gesetzgeber versäumt zu regeln, ob ein Arbeitgeber durch das Bereitstellen des WLANs für die Mitarbeiter zur privaten Nutzung zum TK-Provider wird (und damit dann auch unter das Fernmeldegeheimnis nach § 3 TTDSG fällt).
Wie früher versteht man unter einem „geschäftsmäßige Erbringen von Telekommunikationsdiensten“ das „nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht“. Die Gewinnerzielungsabsicht ist also keine Voraussetzung! Ausreichend ist ein auf Dauer angelegtes Angebot von Telekommunikationsdiensten. Allerdings muss der Dienst von vorneherein auf eine Vielzahl von Nutzungen angelegt sein und nicht nur gelegentlich erfolgen.
Die Bundesnetzagentur ist unter der alten Rechtslage davon ausgegangen, dass das Bereitstellen eines WLAN-Hotspots in Cafés, Hotels, Restaurants usw. keine „Erbringung von Telekommunikationsdiensten i.S.v. § 3 Nr. 6 lit. a TKG a.F. darstellt, sondern lediglich eine Mitwirkung an der Erbringung von Telekommunikationsdiensten ist. Der Fall des „Mitwirkens an der Erbringung einer Telekommunikationsdienstleistung“ wurde jedoch im neuen Gesetz gestrichen.
§ 3 Nr. 1 TKG sieht als Anbieter von Telekommunikationsdienstleistungen nur noch denjenigen an, „der Telekommunikationsdienste erbringt“. Die Bundesnetzagentur stellt bei ihrer Beurteilung maßgeblich darauf ab, ob der Zugang nur spontan und kurzzeitig genutzt wird, oder dauerhaft. Übertragen auf den vorliegenden Sachverhalt würde das bedeuten, dass gegenüber den sporadisch das Netzwerk nutzenden Kunden oder Mitarbeiter keine „Erbringung“ von Telekommunikationsdiensten vorläge.
a) Internetzugangsdienste,
b) interpersonelle Telekommunikationsdienste und
c) Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, wie Übertragungsdienste, die für Maschine-Maschine-Kommunikation und für den Rundfunk genutzt werden;
Die Definition von „Internetzugangsdienst“ ergibt sich nach § 3 Nr. 23 TKG aus Art. 2 Abs. 2 EU-VO 2015/2120. Danach ist ein „„Internetzugangsdienst“ ein öffentlich zugänglicher elektronischer Kommunikationsdienst, der unabhängig von der verwendeten Netztechnologie und den verwendeten Endgeräten Zugang zum Internet und somit Verbindungen zu praktisch allen Abschlusspunkten des Internets bietet“.
Ob das Anbieten eines Wifi-Hotspots alleine dafür „Internetzugangsanbieter“ zu sein, ist mit den Arbeitsgerichten zu bezweifeln, da den Internetzugang erst der ISP schafft und der Wifi-Zugang an sich (alleine) nicht ausreicht.
Weiterhin sieht § 3 Nr. 61 TKG vor, dass der Telekommunikationsdienst „in der Regel gegen Entgelt“ erbracht werden muss. Mit dem „i.d.R.“ wollte ausweichlich der Gesetzesbegründung (Drucksache 19/26108, S. 237) insbesondere Fälle miteinbeziehen, bei denen die Gegenleistung nicht in einem Entgelt, sondern in der „Zahlung mit Daten“ besteht. Somit fordert § 3 Nr. 61 TKG letztlich eine Gegenleistung, welche bei einer kostenlosen Bereitstellung des WLANs (ohne Weiterverarbeitung der personenbezogenen Daten) nicht vorläge.
Fraglich ist aber, ob der Wifi-Betreiber nicht Betreiber eines öffentlichen Telekommunikationsnetzes i.S.v. § 1 Abs. 2 Var. 1 TKG ist. Relevante Definitionen hierzu findet man in § 3 Nr. 7, Nr. 42, Nr. 65 TKG.
Nach wie vor ist es herrschende Meinung, dass es ein geschäftsmäßiger Telekommunikationsdienst ist, wenn es ein dauerhaftes Angebot an die „Öffentlichkeit“ gibt. Als Öffentlichkeit gilt hier auch die private Nutzungsmöglichkeit von WLAN für Mitarbeiter, gestellt vom Arbeitgeber.
Geppert/Schütz, Beck’scher TKG-Kommentar sagt dazu:
„Daher sind ebenfalls Betreiber von Nebenstellenanlagen in Betrieben, Behörden, Hotels und Krankenhäusern zur Wahrung des Fernmeldegeheimnisses verpflichtet, sobald sie ihre
Telekommunikationsanlage Dritten, z. B. auch den eigenen Mitarbeitern, zur
privaten Nutzung zur Verfügung stellen.“
Damit würden auch §§ 3 ff. TTDSG ergänzend zu den Regelungen der DSGVO gelten, da der Unternehmer im Hinblick auf die Erhebung der Daten, die bei jeder Verbindung mit dem WLAN anfallen, Verantwortlicher im Sinne der DSGVO ist.
Aber:
Arbeitsgerichte haben das bisher nicht bestätigt! Im Gegenteil: bislang wurde der Arbeitgeber nicht als Provider gesehen, auch nicht, wenn WLAN privat genutzt wird.
Es ist daher durchaus die Ansicht vertretbar, dass die Zurverfügungstellung von WLAN für Mitarbeiter zur privaten Nutzung kein geschäftsmäßiger TK-Dienst ist. Hauptargument: Nicht „in der Regel gegen Entgelt“ erbracht.
Stand: 14.12.22
Ausführliche Informationen über Microsoft Office 365 finden Sie in unserem Blog.
Vor allem ist darauf zu achten, welche personenbezogenen Daten der Telekommunikations-Anbieter als Auftragsverarbeiter verarbeitet und wie lange er sie speichert. Diese sind von personenbezogenen Daten abzugrenzen, die der Betroffene dem TK-Anbieter selbst (ohne Umweg über den Verantwortlichen) offenlegt. Erhebt der TK-Anbieter die Daten selbst als Verantwortlicher, weil er Zweck und die Mittel der Verarbeitung eigenverantwortlich bestimmt, bedeutet dies, dass bei einer Offenbarung direkt durch den Betroffenen nur das Verhältnis TK-Anbieter und Betroffener von Bedeutung ist. Anders ist dies wenn der Telekommunikations-Anbieter als Auftragsverarbeiter auftritt, wie dies z.B. bei WhatsApp Business der Fall ist.
Außerdem kann es vorkommen, dass eine Offenbarung der Daten gegenüber dem TK-Anbieter (auch) durch den Verantwortlichen erfolgt.
Bei WhatsApp werden beispielsweise alle auf dem Smartphone gespeicherten Kontakte auf WhatsApp Server hochgeladen, um so das Finden von Kontakten, die auch Whatsapp nutzen, umzusetzen (was durch Einstellungen im Betriebssystem verhindert werden kann durch Entzug der jeweiligen Berechtigung). Problematisch ist dies insbesondere für die Kontakte, die kein Whatsapp nutzen, oder die keiner Kontaktaufnahme durch Whatsapp zugestimmt haben oder diese nicht selbst initiiert haben. Außerdem ist zu berücksichtigen, dass es sich bei WhatsApp um ein US-amerikanisches Unternehmen handelt und damit die üblichen Probleme der Drittlandsübermittlung auftreten.
Weiterhin ist zu beachten, dass WhatsApp sicherlich die Daten auch selbst weiterverarbeiten wird zu eigenen Zwecken und damit möglicherweise ebenfalls das Problem der Intransparenz hinsichtlich der Verarbeitung – wie bei Office 365 – auftreten kann.
Prüfung des TTDSG:
Stand: 07.12.2022
Das TTDSG dient der Umsetzung der ePrivacy-RL aus dem Jahr 2006 mit den Ergänzungen aus 2009. Nach einigen rechtlichen Unklarheiten, ob die ePrivacy-RL richtlinienkonform in Deutschland umgesetzt wurde (siehe DSK Orieniterungshilfe für Anbieter von Telemedien), entschied sich der Gesetzgeber für eine Reform des Telemedienrechts. Hierbei entstand das TTDSG als zentrale Datenschutzregelung für Telemedien- und Telekommunikationsanbieter.
Wie vom Europäischen Datenschutzausschuss bestätigt, konkretisiert und ergänzt (die ePrivacy-RL und damit) das TTDSG die DSGVO im Bereich der Telemedien. Dies bedeutet die DSGVO ist das allgemeinere Gesetz (lex generalis) und das TTDSG das speziellere Gesetz (lex specialis). Die allgemeineren Regeln der DSGVO werden von den spezielleren Regelndes TTDSG verdrängt. Dies bedeutet aber nicht, dass die DSGVO im Ganzen keine Anwendung findet, sobald ein Telemedien-Sachverhalt vorliegt. Vielmehr schließt die Anwendung des TTDSG die DSGVO nur punktuell aus, nämlich nur soweit wie das TTDSG eine Frage (abschließend und umfassend) regelt. Dies macht Art. 95 DSGVO deutlich.
Das klassische Beispiel für eine speziellere Regelung des TTDSG ist § 25 TTDSG, in dem festgelegt ist, dass der Einsatz von Cookies (und sonstiger Tracking-Technologie) grundsätzlich nur mit Einwilligung des Nutzers möglich ist. Gleichzeitig sieht Absatz 2 Ziffer 2 eine Ausnahme für technisch notwenidge Cookies vor. § 25 TTDSG regelt speziell und abschließend unter welchen Voraussetzungen Cookies gesetzt und werden dürfen. Für die nachfolgende Verarbeitung gilt dann aber wieder Art. 6 DSGVO (Punkt 4.1 Stellungnahme 5/2019 des EDSA zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO, S. 14.).
Daraus folgt, dass Verarbeitungen von personenbezogenen Daten, die durch das TTDSG gedeckt sind, in das Verarbeitungsverzeichnis und in die Datenschutzerklärung aufzunehmen sind. Denn speziellere Regelungen hinsichtlich dieser Pflichten enthält das TTDSG nicht. Damit bleibt es bei der Anwendbarkeit von Art. 30 und Art. 13 DSGVO. Für sie gilt nichts anderes als für Verarbeitungen, die keinen TTDSG Bezug haben. D.h. sie sind vollumfänglich in das Verarbeitungsverzeichnis und die Datenschutzerklärung aufzunehmen.
Ein solcher Verweis in der Datenschutzerklärung dürfte zulässig sein, soweit die Voraussetzungen der Art. 12 ff. DSGVO gewahrt sind. Die Datenschutzerklärung also präzise, transparent, verständlich und leicht zugänglich in einer klaren und einfachen Sprache ist.
Achtung: deutlich machen, in welchem Umfang auf die Informationen des Auftragsverarbeiters verwiesen wird und ggf. wo diese in dem verlinkten Dokument zu finden sind.
Stand: 07.12.2022
Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.
Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.
Beispiel mit folgendem Wortlaut:
Ja, ich möchte News per E-Mail zugesendet bekommen. Ich bin damit einverstanden, dass eine Datenverarbeitung auch außerhalb der EU stattfinden könnte. Weiterführende Detail finden Sie in unseren Datenschutzhinweisen. Diese Einwilligung kann ich jederzeit widerrufen.
Antwort: das ist eine Frage der Informiertheit der Einwilligung:
Die Einwilligung hat in informierter Weise zu erfolgen. In ErwGr. 42 der DS-GVO wird insbesondere darauf abgestellt, dass eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt wird, keine missverständlichen Klauseln enthalten sind und die betroffene Person mindestens darüber in formiert wird, wer der Verantwortliche ist und zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden sollen. DSGVO).
Darüber hinaus ist die betroffene Person nach Auffassung des Europäischen Datenschutzausschusses über die Art der verarbeiteten Daten, über ihr Recht, die Einwilligung jederzeit zu widerrufen, ggf. über die Verwendung der Daten für eine automatisierte Entscheidungsfindung und über mögliche Risiken von Datenübermittlungen in Drittländer ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien nach Artikel 46 DS-GVO zu informieren.
Ergebnis: Abwägungsfrage!
Wir halten den Hinweistext gerade noch für zulässig (wegen der besseren Lesbarkeit), wenn der verlinkte Text dann vollständig ist. Vielleicht sollte zusätzlich im Hinweistext vor allem die Rechtsfolge beschrieben werden, was mit den pbD in den USA passiert.
Stand: 30.11.2022
Check-Boxen sind ein beliebtes und sinnvolles Tool um
Datenschutzrechtlich sind Check-Boxen nicht zwingend erforderlich, aber sinnvoll (Dokumentationsmöglichkeit!). Grundsätzlich reicht es auch aus, dem Benutzer einen gut sichtbaren Hinweis auf die Datenschutzerklärung zu geben, bevor dieser das Webformular absendet. Ein Bestätigen, dass der Nutzer die Datenschutzerklärung auch wirklich gelesen hat, ist nicht erforderlich.
Ohne Check-Boxen kommt man insbesondere auch dann aus, wenn man die Verarbeitung nicht auf eine Einwilligung des Nutzers, sondern auf eine andere Rechtsgrundlage, z.B. sein berechtigtes Interesse an der Verarbeitung stützt bzw. stützten darf.
Dies kommt namentlich bei sog. „Bestandskunden“ in Betracht (§ 7 Abs. 3 UWG). Hier kann eine Verarbeitung auch ohne eine Einwilligung zulässig sein (siehe dazu auch LiiDU FAQ-Seite unter der Frage „Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen?“).
Beachte aber, dass auch hier eine Check-Box für den Nachweis der Informationserteilung nach Art. 13 DSGVO sinnvoll ist. Die Informationen nach Art. 13 DSGVO sind unabhängig von der Rechtsgrundlage, auf die die Verarbeitung gestützt würde, zu erteilen.
Abseits des Bestandskunden-Privilegs ist für den
die Einholung einer Einwilligung Pflicht. Der Double Opt-In ist dabei die in der Praxis am meisten verbreitete Lösung. Hier schickt der Verantwortliche dem Nutzer eine E-Mail, mit der er diesen auffordert, die Kontaktaufnahme zu bestätigen.
Ohne Double-Opt-In kommt man bei Newslettern nur aus, wenn die Einwilligung auf andere Weise erfolgt (z.B. E-Mail, Liste auf Messe, etc.).
Im Gegensatz dazu ist beim
die Einholung einer Einwilligung KEINE Pflicht.
Das gilt dann, wenn alleiniger Zweck der Verarbeitung die Bearbeitung der über das Kontaktformular gestellte Anfrage ist. Diese Verarbeitung ist von anderen Rechtsgrundlagen gedeckt, v.a. das berechtigte Interesse des Seitenbetreibers an der Bearbeitung der Anfrage.
Eine Check-Box ist damit ebenfalls nicht zwingend notwendig. Es genügt ein gut sichtbarer Hinweis im Kontaktformular in der Nähe des „Sende-Buttons“, dass auf die Datenschutzerklärung hingewiesen und diese verlinkt wird.
Die Anbindung von Zendesk erfolgt in der Regel über Cookies. Hier müssen dann alle Vorgaben zum Thema rechtswirksame Cookie-Einbindung eingehalten werden. Eine datenschutzrechtliche Einwilligung des Nutzers der Website nach § 25 TTDSG, Art. 6 Abs.1 lit. a DSGVO ist damit in jedem Fall Pflicht.
Nicht vergessen:
Stand: 30.11.2022
Normalerweise kann der Datenschutzbeauftragte den Verantwortlichen bei der Erstellung als auch bei der Prüfung von AVVs unterstützen. Wenn nun der DSB allerdings beim Beratungsunternehmen angestellt ist, sollte er für den Kunden, bei dem er als ext. DSB eingesetzt ist, diesen speziellen AVV (bei dem eine Auftragsverarbeitung zw. Beratungsunternehmen und Kunde vereinbart wird) nicht mitverhandeln, um eine Interessenskollision zu vermeiden.
Beachte dazu Art. 38 Abs. 6 DSGVO: Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Es muss also sichergestellt werden, dass Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Ein Interessenkonflikt liegt immer dann vor, wenn die gesetzlichen Aufgaben des DSB möglicherweise nicht bedenkenfrei ausgeführt werden können. Als die Hauptpflichten gelten die Unterrichtung und Beratung des Auftraggebers (Art. 39 Abs. 1 lit. a, c DSGVO), die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften (Art. 39 Abs. 1 lit. b DSGVO) und das Zusammenwirken mit der Aufsichtsbehörde (Art. 39 Abs. 1 lit. d, e).
Für diese Pflichten benötigt der Datenschutzbeauftragte insofern Neutralität und Unabhängigkeit. Auch sollte er kein Interesse daran haben „nicht so genau hinzusehen“.
Wir empfehlen daher, den DSB aus der Beratung und Prüfung des AVV zwischen seinem Arbeitgeber und dem Kunden ausdrücklich herauszulassen. Dies sollte schriftlich im DSB-Bestellungsvertrag zwischen Beratungsunternehmen und Kunden so geregelt werden.
Stand: 23.11.2022
Mehr Infos zum Azure Key Vault finden Sie in unserem Blog.
Die TOMs, also die technischen und organisatorischen Maßnahmen die geeignet sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, vgl. Art. 32 DS-GVO, müssen nach Art. 28 Abs. 3 lit. c DS-GVO bei der Auftragsverarbeitung ergriffen und dokumentiert werden.
Einerseits müssen die TOMs dem aktuellen Stand der Technik entsprechen. Andererseits muss auch das Verhältnis von Maßnahme zu Aufwand im Rahmen der Verhältnismäßigkeit berücksichtigt werden. Auf Grund des hohen Schutzinteresses der Betroffenen werden wirtschaftliche Erwägungen jedoch eine hintergründige Rolle spielen. Dabei ist der Verantwortliche selbst in der Pflicht geeignete TOMs aufzustellen und deren Einhaltung zu garantieren.
Um die Qualität beurteilen zu können, ist das Kriterium ein angemessenes Schutzniveau und ist demnach ein Auswuchs der Verhältnismäßigkeit. Anhaltspunkte sind dabei Eintrittswahrscheinlichkeit, Schwere des Risikos für die Betroffenen, Kategorien personenbezogener Daten, aber auch die Implementierungskosten.
Dabei soll sich an schon vorhandene bzw. einfach zu handhabende Maßnahmen orientiert werden. Auch wie eine Verarbeitung stattfindet, in welchem Umfang, unter welchen Umständen und zu welchem Zweck ist zu berücksichtigen. Insgesamt muss also eine Schutzbedarfsfeststellung durchgeführt werden.
Um effektiv der entsprechende Nachweis erbringen zu können, ist folgendes zu dokumentieren: das Verfahren und Ergebnis der Schutzbedarfsfeststellung, der Risikobewertung und die entsprechende Ableitung der Sicherheitsmaßnahmen unter Berücksichtigung der Belastbarkeit.
Zusammengefasst müssen die TOMs verständlich alle Maßnahmen darlegen, um den zuvor nachweislich durchgeführten Schutzbedarfsfeststellungen zu genügen.
Für ausführlicher Informationen kann die Best-Practice Checkliste des BayLDA zu den TOMs herangezogen werden. Mehr Details zum Stand der Technik
Stand: 23.11.2022
Mehr Infos zur NIS2-Richtlinie finden Sie in unserem Blog.
Konkretisierung der Fragestellung:
Ist z.B. eine Analogie zur AGB-Einbeziehung in Verträge erlaubt, wonach es ausreicht, wenn bei einer Onlinebestellung nur auf die AGB verwiesen wird, die über einen funktionierenden Link auf der Webseite abrufbar und ausdruckbar sind. Auf diesem Link kann dann immer die aktuelle Version der AGB abgelegt werden, sodass automatisch der Stand der AGB gilt, der bei Vertragsschluss abrufbar war.
Ist dieses Prinzip auf eine Einbindung von TOMs in den AVV übertragbar? Und wie verhält sich die Wirksamkeit bei Änderungen?
Antwort:
Begründung:
Anders als AGB statuieren TOMs keine gegenseitigen Rechte und Pflichten, sondern dienen der Dokumentation von technischen und organisatorischen Maßnahmen zur IT-Sicherheit. Ihre detaillierte Einbindung in den AVV ist auch nicht verpflichtend. Lediglich ihre Einhaltung muss sichergestellt sein. Insofern würde eine „unzulässige“ Einbindung die TOMs auch nicht „unwirksam“ werden lassen. Auch nachträgliche und häufige Änderungen an den TOMs können also vorgenommen werden, ohne deren Wirksamkeit im Gesamtkontext zu gefährden. Mit anderen Worten: TOMs haben weniger Vertragscharakter, sondern stellen die Dokumentation von Sicherheitsmaßnahmen dar. Man könnte dies mit einem Verhaltenskodex vergleichen. Es ist davon auszugehen, dass grundlegende Änderungen oder gravierende Streichungen unter Vertragspartnern besprochen werden müssen oder zumindest Kenntnis davon erlangt werden muss. Kleinere Änderungen oder Aktualisierungen sind jedoch jederzeit nötig und möglich, um die Aktualität der Sicherheitsmaßnahmen sicherzustellen. In der Praxis werden TOMs längst über Links in die AVV miteingebunden, um so der Dokumentationspflicht von Beginn an gerecht zu werden.
Stand: 16.11.2022
Wählt man eine strenge Auslegung nach dem Wortlaut des Gesetzes, dann dürfen Mitarbeiter eines bestellten DSB nicht beratend tätig werden.
Begründung:
Bei einem DSB kann es sich nach der gesetzgeberischen Konzeption nur um eine natürliche und keine juristische Person handeln. Der DSB wird gemäß Artikel 37 Abs. 1 DSGVO von dem Verantwortlichen benannt. Außerdem muss der DSB gemäß Artikel 37 Abs. 5 DSGVO eine hinreichende berufliche Qualifikation besitzen.
Aus der Zusammenschau der Normen geht recht eindeutig hervor, dass die Stellung des Datenschutzbeauftragten personengebunden ist.
Datenschutzbeauftragter im Sinne DSGVO ist folglich nur die Person, die von dem Verantwortlichen benannt wurde. Damit können die einem DSB nach Artikel 39 DSGVO auferlegten Aufgaben und damit einhergehenden Rechte auch nur von dieser Person ausgeübt werden. Rechtsberatung – also Einzelfallberatung (§ 2 Abs. 1 RDG) – durch andere (nicht bestellte) Personen (inklusive Mitarbeiter) ist damit aufgrund des RDG ausgeschlossen. Artikel 39 DSGVO gestattet als Ausnahmevorschrift gem. § 1 Abs. 3 RDG und § 3 RDG eine Rechtsberatung nur durch den benannten DSB.
Eine andere – weitere – Auffassung, vertritt die Art. 29 Datenschutzgruppe:
Im Rahmen eines Dienstleistungsvertrags beschäftigte DSB:
Die Funktion eines DSB kann auch auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird, die nicht der Einrichtung des Verantwortlichen oder Auftragsverarbeiters angehört. In letzterem Falle ist es unverzichtbar, dass jedes Mitglied der Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt (sodass Interessenkonflikte ausgeschlossen werden können). Ebenso wichtig ist es, dass jedes Mitglied durch die Bestimmungen der DS-GVO geschützt ist (keine ungerechtfertigte Kündigung von Dienstleistungsverträgen in Bezug auf Tätigkeiten als DSB und keine ungerechtfertigte Entlassung einer der Einrichtung angehörigen natürlichen Person, welche die Aufgaben eines DSB wahrnimmt). Zugleich lassen sich individuelle Qualifikationen und Stärken so miteinander kombinieren, dass Einzelpersonen durch die Zusammenarbeit im Team ihren Mandanten noch wirksamere Dienste leisten können.
Aus „Leitlinien in Bezug auf Datenschutzbeauftragte“, Art. 29 Datenschutzgruppe, angenommen am 13. Dezember 2016 zuletzt überarbeitet und angenommen am 5. April 2017.
Aus dem Gesetz heraus lässt sich weder ein Verbot, noch eine Verpflichtung zur Benennung eines Vertrertes herauslesen. Möglich wäre es z.B., einem externen DSB (vgl. Art. 36 Abs. 6 DSGVO) dienstvertraglich ein solches Recht einzuräumen.
Die sicherste Variante wäre die Benennung eines Vertreters des DSB durch den Verantwortlichen selbst. Wie aus dem Wortlaut von Artikel 37 Abs. 1 DSGVO hervorgeht, kann der Verantwortliche mehr als einen Datenschutzbeauftragen benennen (soweit dieser die fachlichen Voraussetzungen des Abs. 5 erfüllt). Dementsprechend halten wir es für möglich, dass ein Verantwortlicher einen Ersatzbeauftragen benennt, der bei fehlenden Erreichbarkeit des Haupt-DSB einspringen kann.
Ja, das halten wir mit der Artikel 29-Datenschutzgruppe für möglich. Allerdings gibt es noch keine Urteile dazu.
Aus „Leitlinien in Bezug auf Datenschutzbeauftragte“, Art. 29 Datenschutzgruppe, angenommen am 13. Dezember 2016 zuletzt überarbeitet und angenommen am 5. April 2017.
Stand: 16.11.2022
Ausführliche Informationen zum Transfer Impact Assessment finden Sie in unserem Blog.
In Artikel 12 Abs. 3 DSGVO ist die Frist zur Beantwortung eines Auskunftsersuchens geregelt.
Artikel 12 Abs. 3 S. 1 DSGVO bestimmt, dass einem Auskunftsersuchen unverzüglich (unverzüglich meint „ohne schuldhaftes Zögern“, vgl. § 121 Abs. 1 BGB) nachzukommen ist, in jedem Fall aber innerhalb eines Monats nach Eingang des Ersuchens.
Die Monatsfrist (was nicht unbedingt 30 Tagen entspricht) ist damit eine Höchstfrist. Die Höchstfrist darf nach der gesetzlichen Konzeption nur ausgenutzt werden, wenn vom Verantwortlichen (oder Auftragsverarbeiter) keine schnellere Antwort erwartet werden konnte/durfte. Ist dem Verantwortlichen aber eine schnellere Antwort zumutbar, muss er vor Verstreichen der Monatsfrist antworten. Faktoren, die bei der Bemessung der Antwortfrist eine Rolle spielen, können insbesondere die in Artikel 12 Abs. 3 S. 2 DSGVO zur Fristverlängerung genannten sein, wie z.B. die Komplexität des Antrages oder die Anzahl von Ersuchen, die der Verantwortliche noch beantworten muss.
In der Praxis lässt sich sagen, dass die Monatsfrist aus Art. 12 Abs. 3 DSGVO quasi zur Regelfrist geworden ist. Aufsichtsbehörden gewähren einem Verantwortlichen zur Beantwortung i.d.R. die Monatsfrist.
Wenn ein Rechtsanwalt (oder ein Betroffener) eine kürzere Frist setzt, ist mit Blick auf den eigentlichen Grundsatz der Unverzüglichkeit aber die gesetzte Frist einzuhalten, so lange sie nicht unangemessen kurz ist. Es spiel übrigens keine Rolle, wer die Frist setzt. Ob das Ersuchen von einem Anwalt stammt oder dem Betroffenen selbst, spielt für die Bemessung der Frist keine Rolle.
Stand: 16.11.2022
Ausführliche Informationen über Adobe Acrobat Sign finden Sie in unserem Blog.
Ausführliche Informationen über Salesforce finden Sie in unserem Blog.
Begriffsklärungen:
Die englische Abkürzung „SCC“ für Standard Contract Clauses können also für beides stehen: für standardisierte AV-Verträge oder für die von der EU vorgegebenen Standarddatenschutzklauseln (z.B. unterschiedet die EU-Kommission hier begrifflich nicht).
Inhaltlich sind das völlig verschiedene Dinge!
Zur Beantwortung der Frage ist zuerst die Klarstellung des konkreten Datenflusses entscheidend.
Fließen die Daten von der deutschen GmbH direkt an einen US-Dienstleister gelten selbstverständlich die von Art. 44 ff. DSGVO aufgestellten Voraussetzungen, d.h. SDKs (englisch: SCCs) sind notwendig.
Fließen die Daten erst von der deutschen GmbH an die Muttergesellschaft in die USA, handelt es sich bei jeder weiteren Übermittlung von der Muttergesellschaft an US-Dienstleister um US-interne Übermittlungen, sodass Art. 44 ff. DSGVO für diese Übermittlungen nicht zur Anwendung kommen.
Jedoch ist – wie Erw. 48 S. 2 DSGVO klarstellt – zu beachten, dass die Datenübermittlung an die amerikanische Muttergesellschaft selbst eine Drittlands-Übermittlung darstellt. Demnach reicht ein einfacher Auftragsverarbeitungsvertrag nach Art. 28 DSGVO nicht aus. Da es sich um eine konzerninterne Übertragung handelt, könnten „verbindliche interne Datenschutzvorschriften“ gem. Art. 46 Abs. 2 lit. b DSGVO, Art. 47 DSGVO aufgestellt werden. Diese müssen jedoch von der zuständigen Aufsichtsbehörde genehmigt werden. Ob eine solche Genehmigung im Hinblick auf die Unsicherheiten bei US-Unternehmen erteilt wird, ist fraglich.
Hier bestehen die erwähnten Unsicherheiten, ob der Abschluss von SCCs ausreichend ist, um die Voraussetzungen von Artikel 46 Abs. 1 DSGVO entsprechend Schrems II (C‑311/18) zu erfüllen:
In der Entscheidung bürdet der EuGH dem Verantwortlichen die Verpflichtung auf „(…) in jedem Einzelfall (…) zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.“
Daher der Hinweis: Ob dieser Schutz bei der Übermittlung an US-Unternehmen gewährleistet ist, ist im Hinblick auf die weitreichenden Eingriffsbefugnisse der US-Geheimdienste äußerst kritisch zu sehen.
• SCC prüfen und
• alle Vorgaben einhalten, die bei einer Übermittlung personenbezogener Daten in ein Drittland notwendig sind.
Stand: 09.11.2022
Ausführliche Infos zu den Google Fonts Abmahnungen sowie ein Musterschreiben an die Abmahner finden Sie auf unserem Blog
Vorerst ist festzustellen, dass die Frage unabhängig von dem Einsatz von Google Fonts ist.
Die Übermittlung von personenbezogenen Daten, insbesondere einer IP-Adresse, an Dritte kann immer dann erfolgen, wenn Drittdienste oder -bibliotheken auf der Webseite eingebunden werden. Ob dieser Dritte sich in den USA oder Deutschland aufhält, ist für eine mögliche Strafbarkeit nach
§ 203 Abs. 1 StGB irrelevant.
Gegen eine Strafbarkeit sprechen folgende Erwägungen:
• Die Webseite ist der Allgemeinheit zugänglich. Der Besuch lässt nicht den sicheren Schluss zu, dass zwischen dem Besucher und dem Rechtsanwalt oder Arzt ein Mandats- bzw. Patientenverhältnis besteht.
• Der Empfänger einer dynamischen IP-Adresse kann alleine anhand der IP-Adresse eine Person nicht identifizieren. Dass eine dynamische IP-Adresse dennoch ein datenschutzrechtlich relevantes Datum ist, resultiert aus dem äußert weiten Begriff des personenbezogenen Datums nach Art. 4 Ziff. 1 DSGVO. Ausreichend ist, dass die Person indirekt identifizierbar ist. Hierfür hat der EuGH in seinem Urteil zu dynamische IP-Adressen ausreichen lassen, dass der Benutzer mittels einer Anzeige bei den Strafverfolgungsbehörden von einem Webseitenbetreiber identifiziert werden kann. Nur bezüglich der amerikanischen Internetriesen Google, Facebook, Amazon und sonstigen Werbereisen ließe sich gegebenenfalls anführen, dass diesen eine Identifizierung mit Eigenmitteln möglich ist.
Weitere Überlegungen:
• Der Tatbestandsausschluss nach § 203 Abs. 3 S. 2 StGB wurde vom Gesetzgeber für die Situation geschaffen, dass der Anwalt oder Arzt auf externe Dienstleister zugreift. So wird in der Gesetzesbegründung der IT-Spezialist genannt, der Kenntnis von den in der IT-Anlage gespeicherten Daten hat (vgl. auch Uwer BeckOK Datenschutzrecht, Syst. F. Datenschutz bei den freien Berufen Rn. 140; Weidemann, BeckOK StGB, § 203 Rn. 39 f.). Diese Dienstleister können sich dann selbst nach § 203 Abs. 4 S. 1 StGB strafbar machen, wenn sie das Berufsgeheimnis weiterverbreiten.
• Fraglich bleibt jedoch, wie das „Erforderlichkeitskriterium“ von § 203 Abs. 3 S. 2 StGB zu interpretieren ist. Konkret würde die Frage lauten: Ist die Übertragung der IP-Adresse an Google für die Bereitstellung von wichtiger IT notwendig? Das ist schon aufgrund der Möglichkeit einer statischen Einbindung von Google Fonts allerdings nicht der Fall!
• BeckOK IT-Recht/Mansdörfer StGB § 203 Rn. 41-43: Das Kriterium der Erforderlichkeit hat zur Folge, dass sich die verantwortlichen Personen der Versicherung bei der Entscheidung, welcher Dienstleister im Einzelfall für eine Aufgabe hinzugezogen wird, kundig machen müssen, welche Eingriffe damit in die ihm anvertrauten Geheimnisse verbunden sind, und z.B. Anbieter ausschließen müssen, die sich weiterreichende Zugriffsmöglichkeiten als andere ausbedingen (in diesem Sinn auch Matt/Renzikowski/Altenhain, StGB, 2. Aufl. 2020, Rn. 60).
Eine Verletzung des Berufsgeheimnisses ist nicht gegeben, wenn Google Fonts ohne Einwilligung des Websitebesuchers von Ärzten/Rechtsanwälten dynamisch eingebunden wird, weil sich dadurch nicht notwendigerweise ein Mandats- oder Patientenverhältnis ergibt. (Würde dieses Ergebnis anders ausfallen, z.B. für geschlossene Systeme, auf die nur Patienten/Mandanten Zugriff haben und würde § 203 StGB grundsätzlich bejaht werden, würden keine Tatbestandsausschlüsse nach § 203 Abs. 3 StGB greifen.)
Stand: 09.11.2022
reCAPTCHA ist ein von Google LLC betriebener CAPTCHA-Dienst, der Webseiten vor Spam und missbräuchlicher Nutzung durch Bots schützen soll.
•Es werden gewisse Parameter erfasst, um zu beurteilen, ob es sich bei dem Nutzer um einen Menschen oder ein Roboterprogramm handelt.
•Wie genau der von Google entwickelte Algorithmus funktioniert ist nicht öffentlich.
•Jedoch kann davon ausgegangen werden, dass die IP-Adresse, das Interaktionsverhalten des Nutzers und Informationen über die vom Nutzer verwendete Hardware erfasst werden.
•Außerdem werden beim Einsatz von reCAPTCHA eine Vielzahl von Cookies im Browser des Nutzers gesetzt.
Da durch den Einsatz von reCAPTCHA auf dem Endgerät des Nutzers Cookies abgelegt und auf dem Endgerät gespeicherte Informationen zum Tracking abgerufen werden, bedarf es gem. § 25 Abs. 1 TTDSG mindestens der Einwilligung des Nutzers.
Sogar, wenn die Einwilligung eingeholt wird, ergeben sich bei dem Einsatz von reCAPTCHA weitere datenschutzrechtliche Probleme:
•Die Informationspflicht nach Art. 13 DSGVO: Für einen Verantwortlichen dürfte es schwierig werden zu beurteilen, welche Daten überhaupt von Google erhoben werden und v.a. zu welchen Zwecken
•Die Übermittlung der Daten in die USA: Hier ist zu beachten, dass die Unsicherheit, die Schrems II (C‑311/18) geschaffen hat, erhalten bleibt. Ob einzig der Abschluss von SCCs ausreichend ist, bleibt im Hinblick auf Rn. 134 ff. des Urteils fraglich. Denn dort bürdet der EuGH dem Verantwortlichen die Verpflichtung auf „(…) in jedem Einzelfall (…) zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.“
•Ob dieser Schutz bei der Übermittlung an US-Unternehmen gewährleistet ist, ist im Hinblick auf die weitreichenden Eingriffsbefugnisse der US-Geheimdienste äußerst kritisch zu sehen. Aus oben genannten Gründen rät auch das Bayerische Landesamt für Datenschutz von dem Einsatz von reCaptcha ab und stellt klar, dass dem Verantwortlichen die Nachweispflicht für die Rechtmäßigkeit des Einsatzes nach Art. 5 Abs. 2 DSGVO trifft
Die Google Fonts Problematik besteht bei jedem vom Google eingesetzten Tool, das Google Fonts einbindet. Hierzu gehört eben auch reCAPTCHA (und auch z.B. auch Google Maps).
Nach eigener LiiDU-Recherche scheint die Problematik bei dem Einsatz von reCAPTCHA und Google Maps zu sein, dass diese Google Fonts stets dynamisch einbinden. Selbst wenn Google Fonts auf derselben Webseite statisch eingebunden ist, laden die beiden Dienste Google Fonts dynamisch von den Google Servern.
Also: eine Nutzung von reCAPTCHA ohne Google Fonts scheint nicht möglich zu sein.
Bei dem Einsatz von reCAPTCHA ist mit Blick auf das Nachladen von Google Fonts das Einholen einer Einwilligung notwendig. Das LG München I hat zwar in seinem Urteil ein berechtigtes Interesse an dem Einsatz von Google Fonts mit der Begründung abgelehnt, dass Google Fonts vom Verantwortlichen auch statisch hätte eingebunden werden können. Das ist nun beim Einsatz von reCAPTCHA aber gerade nicht möglich. Jedoch ist aufgrund der großen Auswahl an alternativen Captcha Diensten die Annahme eines berechtigten Interesses fragwürdig. Beide Alternativen können aber nicht von den oben geschilderten Unsicherheiten befreien, die eine Datenübermittlung in die USA mit sich bringt.
LiiDU-Tipp:
Für Newsletter bietet sich ein sog. Honeypot an. Es wird in Formularen ein zusätzliches (verstecktes) Eingabefeld geschaffen. Es wird die Bedingung eingesetzt, dass das Formular nur verarbeitet werden darf, wenn dieses Feld leer bleibt. Da Bots nur den Quellcode sehen und alle Felder ausfüllen, werden diese als solche entlarvt.
Weitere Alternativen sind Friendly Captcha oder hCaptcha.
Herr Bachmann regt auch an zu prüfen, ob man nicht das reCaptcha generell herausnehmen kann, denn seiner Erfahrung nach ergeben sich hier keine Nachteile bezüglich Sicherheit.
(Erläuterungen: Die von hCaptcha behauptete DSGVO-Konformität steht nicht fest. Außerdem sitzt das Unternehmen in den USA. Die Einbindung von FriendlyCaptcha erfordert einen größeren technischen Aufwand als reCAPTCHA. FriendlyCaptcha sitzt in Deutschland.)
Stand: 26.10.2022
Werbe-Newsletter sind grundsätzlich nach § 7 Abs. 2 Nr. 2 UWG nur mit vorheriger ausdrücklicher Einwilligung des Adressaten zulässig. Hiervon macht § 7 Abs. 3 UWG eine Ausnahme für sog. Bestandskunden. Dies sind Kunden, von denen der Unternehmer, die Email-Adresse im Rahmen eines Verkaufs von Waren oder Dienstleistungen erhalten hat. Bei solchen Bestandskunden darf ein Newsletter an die angegebene Email-Adresse versendet werden, wenn der Kunde dieser Verwendung nicht widersprochen hat und in jeder einzelnen Newsletter-Email auf sein Widerspruchsrecht hingewiesen wird. Des Weiteren darf sich der Newsletter nur auf eigene und ähnliche Waren oder Dienstleistungen beziehen.
Datenschutzrechtlich ist die Newsletter-Werbung gemäß Artikel 6 Abs. 1 S. 1 lit. a DSGVO mit Einwilligung zulässig. Wie Erw. 47 S. 7 DSGVO klarstellt, kann die Direktwerbung aber auch als berechtigtes Interesse nach Artikel 6 Abs. 1 S. 1 lit. f DSGVO betrachtet werden. Artikel 6 Abs. 1 S. 1 lit. f DSGVO kann also insbesondere dann in Betracht kommen, wenn es sich bei den Adressaten des Newsletters um Bestandskunden handelt.
Zur Zusammenlegung von Newslettern:
Gegen eine Zusammenlegung von Newslettern sprechen keine Bedenken, wenn die oben genannten Voraussetzungen erfüllt wurden. Hat der Kunde dem Erhalt des Newsletters wirksam zugestimmt oder kann sich der Versender auf das Bestandskundenprivileg und das berechtigte Interesse berufen, ist die Zusammenlegung mehrerer Newsletter zu einem einzigen weder wettbewerbsrechtlich noch datenschutzrechtlich zu beanstanden. Die Zusammenlegung erfolgt zum Zwecke der (effektivere) Direktwerbung und dürfte damit von der Einwilligung des Betroffenen zur Direktwerbung sowie von dem berechtigten Interesse gedeckt sein. Eine Offenlegung der persönlichen Daten an weitere Dritte erfolgt bei der Zusammenlegung ebenso wenig (auf BCC achten!).
Vorsicht: Beruft sich der Werbende auf das Bestandskundenprivileg, bleibt zu beachten, dass dieses nur bei der Werbung mit ähnlichen Produkten eingreift. Daher ist bei der Zusammenlegung der Newsletter zu beachten, dass auch danach der Kunde nur Werbung bezüglich ähnlichen Waren oder Dienstleistungen erhält (Verwandtschaft der Themen).
Findet die Adressdatenverwaltung über ein einen externen Dienstleister statt, muss sichergestellt werden, dass der Dienstleister die Vorgaben der DSGVO einhält und eine korrekte Verarbeitung der personenbezogenen Daten stattfindet.
Stand: 19.10.2022
Mögliches Szenario – Unternehmen bewirbt sich für ein Qualitätsaudit
Um sich zertifizieren zu lassen, müssen Unternehmen einen Auditprozess unterlaufen. Teilweise werden hierfür Dokumente vorab an die auditierende Stelle übersandt (z.B. für Managementsysteme ISMS und QMS). Eine solche Auditierung findet jährlich statt, wobei die Kategorien betroffener Personen in der Regel speziell die Mitarbeiter umfassen.
Der Zertifizierungsprozess selbst berührt jedoch zumeist auch personenbezogene Daten und schließlich ist die auditierende Stelle eine dritte Partei, die über eine Vertragsbeziehung Einblick in Unternehmensinterna enthält.
Der zwingende Inhalt des Verzeichnisses der Verarbeitungstätigkeiten für einen Verantwortlichen ist in Art. 30 Abs. 1 DSGVO festgelegt:
(1) 1Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. 2Dieses Verzeichnis enthält sämtliche folgenden Angaben:
(a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie
etwaigen Datenschutzbeauftragten;
(b) die Zwecke der Verarbeitung;
(c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
(d)die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
(e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des
betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen
die Dokumentierung geeigneter Garantien;
(f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
(g)wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Erwägungsgrund 82 wiederholt die in Art. 30 DSGVO niedergelegten Pflichten des Verantwortlichen und des Auftragsverarbeiters.
Eine Ausnahme vom Führen eines Verzeichnisses der Verarbeitungstätigkeit sieht Art. 30 Abs. 5 DSGVO für Kleinstunternehmen und KMUs unter gewissen Voraussetzungen vor:
(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.
Dies wird in Satz 3 des 13. Erwägungsgrundes bestätigt.
Ja, auch Audis sollten in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen werden.
Die Übermittelung von personenbezogenen Daten an die auditierende Stelle ist ein Verarbeitungsprozess nach Art. 4 Nr. 2 DSGVO. Als solcher ist er nach Art. 30 Abs. 1 S. 1 DSGVO in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen.
Die auditierende Stelle ist Empfänger nach Art. 4 Nr. 9 DSGVO.
Das Verzeichnis der Verarbeitungstätigkeiten sollte, soweit noch nicht geschehen, angepasst werden.
Gegebenenfalls änderungsbedürftige Abschnitte im Verzeichnis sind:
Stand: 19.10.2022
In Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten geregelt:
(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
a)Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
b)Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
c)Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
d)Zusammenarbeit mit der Aufsichtsbehörde;
e)Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Neben Art. 39 DSGVO sind die Aufgaben des Datenschutzbeauftragten zudem weiter in Erwägungsgrund 97 sowie § 7 BDSG definiert.
Bei aktuellen Google Fonts Abmahnungen handelt es sich um relativ geringe Gegenstandswerte (geringe Schadensersatzforderungen von ca. 100,- – 200,- €). Für betroffene Unternehmen ist es daher ökonomisch nicht sinnvoll, hierfür einen Rechtsanwalt zu beauftragen, um die Forderung abzuwehren. Viele Unternehmen greifen für solche Thematiken daher gerne auf ihren externen Datenschutzbeauftragten zurück. Aber ist der DSB berechtigt, seine Kunden bei einer Google Fonts Abmahnung zu beraten?
Urteil des AGH NRW vom 12.03.2021 - 1 AGH 9/19: Verhältnis von Art. 38, 39 DSGVO und dem Rechtsdienstleistungsgesetz (RDG):
-Zum Aufgabenbereich gehört gem. Art. 39 DSGVO u.a. die Beratung des Verantwortlichen hinsichtlich seiner datenschutzrechtlichen Verpflichtungen sowie die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften. Analysiert der DSB einen Einzelfall rechtlich, handelt es sich um eine Rechtsdienstleistung nach
§ 2 Abs. 1 RDG (vgl. auch BGH, Urteil vom 22.06.2020 - AnwZ (Brfg) 23/19). Diese Dienstleistung ist entsprechend der überzeugenden Ausführungen des AGH NRW gem. § 1 Abs. 3 und § 3 RDG erlaubt.
-Dies bedeutet der DSB darf den Verantwortlichen in allen datenschutzrechtlichen Fragestellungen, auch wenn sie einen Einzelfall betreffen, beraten. Würde er nach einer Einzelfallprüfung zu dem Ergebnis kommen, dass der Verantwortliche gegen die DSGVO verstoßen hat, müsste er aufgrund seiner Überwachungsfunktion sogar den Verantwortlichen darauf hinweisen, dass dieser den Verstoß abstellen solle.
-Die Beratungserlaubnis umfasst damit auch Fälle, in denen vom Verantwortlichen Schadensersatz gefordert wird. Denn auch hier berät der DSB hinsichtlich der Pflichten des Verantwortlichen und überwacht die Einhaltung der DSGVO.
-Die Beratungserlaubnis und Überwachungspflicht findet dort ihre Grenzen, wo Gegenstand der Beratung nicht mehr Datenschutzrecht, sondern eine andere Materie ist. Der DSB darf damit, z.B. insbesondere nicht Stellung zu allgemein zivilrechtlichen, allgemein verwaltungsrechtlichen oder prozessrechtlichen Gesichtspunkten eines Einzelfalls nehmen. Hierbei sind Grenzfälle denkbar. Im Zweifelsfall sollte der DSB sich zu diesen Gesichtspunkten nicht äußern.
-Zu beachten ist: Die gesetzliche Erlaubnis der §§ 38, 39 DSGVO zur Erbringung einer „datenschutzrechtlichen“ Rechtsdienstleistung gilt nur für Datenschutzbeauftragte. Handelt es sich bei den Externen also nur um ein allgemeinen oder technischen Berater, ohne dass dieser die Stellung des DSB innehat, so ist es diesem nicht erlaubt, eine rechtliche Einzelfallanalyse durchzuführen.
Ergebnis:
DSB kann bei den Google-Fonts-Abmahnungen eine rechtliche Würdigung hinsichtlich der Frage vornehmen, ob der Schadensersatzanspruch berechtigt geltend gemacht wird.
DSB kann keine prozessrechtliche Einschätzung zu einem potenziellen Gerichtsverfahren geben, da hier Fragen der ZPO betroffen sind.
Bei fachlichen Fragestellungen, die Fachkenntnisse eines Datenschutzbeauftragten erfordern, kann eine Zuarbeit stattfinden, wie man das bei bestimmten Berufsträgern (Rechtsanwälten, Steuerberatern, Ärzte, etc.) kennt. Hier sind speziell ausgebildete Mitarbeiterinnen und Mitarbeiter mit Aufgaben betreut, die zur Erledigung der Rechtsberatungsleistungen notwendig sind. Eine Rechtsanwaltsfachangestellte wird aber keine Rechtsberatung leisten und eine Arzthelferin sollte keine ärztlichen Heilbehandlungen vornehmen.
Mit diesem Begründungsmuster raten wir zu einer klaren Trennung der Arbeit von Mitarbeiter:innen eines Datenschutzbeauftragten: Zuarbeit und Unterstützungsleistungen sind möglich, eine eigene Beratung der Mandanten stellt wohl einen Verstoß gegen das Rechtsdienstleistungsgesetz dar.
Stand: 26.10.2022
Ausführliche Infos zu den Google Fonts Abmahnungen sowie ein Musterschreiben an die Abmahner finden Sie auf unserem Blog
Ausführliche Infos zu den Google Fonts Abmahnungen sowie ein Musterschreiben an die Abmahner finden Sie auf unserem Blog
Ist es als direkter Auftragsverarbeiter des Endkunden rechtlich möglich, denselben AVV, den man mit dem Endkunden geschlossen hat, mit Unterschrift des Endkunden und des Auftragsverarbeiters, als Anlage zu einem AVV zwischen Auftragsverarbeiter und Unterauftragsverarbeiter einzubinden? Über diesen Weg würden keine Lücken oder Unterschiede in den Datenschutzpflichten entstehen.
LiiDU-Tipp:
Konkretisierung der Fragestellung:
Ein Unternehmen mit Sitz in der Schweiz bietet Beratungsdienstleistungen für Unternehmen (!) in der EU an: Es berät bei der Instandhaltung mit SAP und unterstützt mit der Analyse, über Konzeption und Implementierung bis hin zum Betrieb bei SAP; es unterstützt dabei Betreiber, Hersteller und Instandhalter von Assets dabei, ein nachhaltiges Asset Management auf Basis von SAP zu realisieren. Dabei gewinnt es etwa bei der Erstellung von Instandhaltungsplänen via SAP Einsicht darin, welche Beschäftigten der B2B-Kunden wann wo zur Instandhaltung eingesetzt sind.
Gilt die DSGVO für diesen Sachverhalt?
Ja, denn es ist Art. 3 Abs. 1 DSGVO bzw. Art. 3 Abs. 2 DSGVO anwendbar.
Stand: 12.10.2022
Konkretisierung der Fragestellung:
Beschäftigte eines Unternehmens im Einzelhandel bekommen die Möglichkeit, vergünstigt (Elektronik-)Produkte von ausgewählten Herstellern für den Eigenbedarf einzukaufen. Die Produkte müssen für mindestens ein ½ Jahr in Eigengebrauch genutzt werden und dürfen nicht direkt weiterveräußert werden. Die Beschäftigten kaufen diese Produkte in der Filiale ihres Unternehmens, also von ihrem Arbeitgeber, nicht direkt vom Hersteller. Der Hersteller stellt zur Bedingung, dass bei dieser Mitarbeiteraktion ihm der Name der Beschäftigten (und zusätzl. noch die Filiale des Unternehmens, bei die Beschäftigten angestellt sind) übermittelt werden.
Der Hersteller benötigt diese Daten, um zum einen sicherzustellen, dass Beschäftigte des Unternehmens ein Produkt nur einmalig erwerben und zum anderen, um im Falle eines nicht erlaubten vorzeitigen Verkaufs durch Beschäftigte (z.B. bei eBay) entsprechende Herkunftsermittlungen anstreben zu können.
„Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. 3Die Einwilligung hat schriftlich oder elektronisch zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. 4Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.“
Die Weitergabe der Namen der Beschäftigten sowie deren Filialzugehörigkeit an den Hersteller ohne vorherige Einwilligung der Beschäftigten ist mit Rechtsunsicherheit verbunden.
Als Rechtsgrundlage für die Weitergabe (ohne Einwilligung) käme einzig das berechtigte Interesse des Verkäufers an der Einhaltung der Wiederverkaufsregeln in Betracht (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Das berechtigte Interesse ist aber mit den Interessen und Rechten der Beschäftigten abzuwägen. Insbesondere ist dabei auch zu berücksichtigen, ob die Beschäftigten mit der Weitergabe ihrer Namen und Filialzugehörigkeit an den Hersteller vernünftigerweise rechnen konnten (Erw. 47 S. 3 DSGVO). Es kommt damit entscheidend darauf an, ob die Aufsichtsbehörde bzw. das Gericht der Meinung ist, dass ein vernünftiger Beschäftigter mit der Weitergabe rechnen musste.
Einschätzung:
Von einer Weitergabe ohne Einwilligung ist in jeden Fall dann abzuraten, wenn der oder die jeweilige Beschäftigte von der vergünstigten Bezugsmöglichkeit keinen Gebrauch gemacht hat. Denn dann hat er auch nicht mit einer Weitergabe seiner Daten an den Hersteller zu rechnen.
Lösung.:
Informationspflichten der Art. 12, 13 DSGVO beachten. Dies kann als Argument dafür angeführt werden, dass der Beschäftigte mit der Weitergabe der Daten rechnen konnte.
Stand: 12.10.2022
Evtl. Art. 6 Abs. 1 S. 1 lit. f DSGVO, wenn die wirtschaftliche Belastung hoch und die Rechtsverletzung gering ist.
Insbesondere Erwägungsgrund 47:
Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen.
Aus unternehmerischer Perspektive sollten die Risiken eines bewussten Verstoßes gegen datenschutzrechtliche Vorschriften sehr genau abgewogen werden. Es handelt sich im Kern um einen Verstoß gegen das informationelle Selbstbestimmungsrecht der betroffenen Personen, also um ein Grundrecht.
Die Höhe eines zu erwartenden Bußgeldes kann im Voraus nicht bestimmt werden, da Art. 83 DSGVO der Behörde einen sehr weiten Spielraum einräumt. Die Behörde ist auch nicht an frühere, ähnliche Entscheidungen gegen andere Unternehmen gebunden. Zu berücksichtigen ist insbesondere, dass die Vorsätzlichkeit des Verstoßes nach Art. 83 Abs. 2 DSGVO strafschärfend wirkt. Außerdem kann die Behörde die Einstellung des Verstoßes nach Art. 58 Abs. 2 lit. d DSGVO anordnen und diese Anordnung mittels Verhängung eines Zwangsgeldes durchsetzen. Von einer dauerhaften oder wiederholenden Verletzung der DSGVO ist abzuraten, da dies ebenfalls zu einem erhöhten Bußgeld führen kann (Art. 83 Abs. 2 S. 2 lit. e DSGVO).
Das Unternehmen sollte nochmals genau prüfen, ob der Einsatz einer datenschutzkonformen Lösung betriebswirtschaftlich doch sinnvoll sein könnte.
Stand: 12.10.2022
Konkretisierung der Fragestellung:
In einem öffentlichen Bereich, sagen wir in einer Flughafenabfertigungshalle oder einem Bahnsteig, kontrolliert eine Kamera die Szenerie.
Die Kamera ist dabei so programmiert, dass sie Gegenstände detektierten kann, die vorher nicht anwesend waren und über einen längeren Zeitraum sich nicht mehr bewegt haben.
Als Beispiel hierfür seien Rücksäcke oder Koffer genannt. Bei einer Detektion wird ein Alarm ausgelöst.
Der Stream der Kamera wird dabei nicht aufgezeichnet und auch nicht an einem Monitor dargestellt. Der Stream befindet sich nur für einen kurzen Zeitraum zur Bildauswertung in einem flüchtigen RAM-Speicher.
Unabhängig von den zwar erfassten Personen, die aber nicht gespeichert werden, ist die Auflösung der Kamera so gut, dass Adressaufkleber mit personenbezogenen Daten, ausgelesen werden könnten.
Der Anwendungsbereich der DSGVO ist nach Art. 2 Abs.1 DSGVO sachlich u.a. wie folgt eröffnet:
Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Art. 4 Ziff. 1 DSGVO:
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …“
Entscheidend ist, ob eine Angabe einer bestimmten Person zugeordnet werden kann, bzw. wenn der Betroffene mit Referenzdaten ermittelt werden kann. Erst bei absoluter Unmöglichkeit, einen Zusammenhang zwischen einem Datum und einer natürlichen Person herzustellen, fehlt es an der Bestimmbarkeit. Problematisch ist einerseits die Frage, ob auch eine „praktische Irrelevanz“ hierzu ausreicht, andererseits aber jene, ob von einer solchen angesichts der technischen Verknüpfungsmöglichkeiten, die moderne Computersysteme bieten, überhaupt noch gesprochen werden kann., vgl. Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13
Braucht es also konkretes Zusatzwissen, damit man von einem Personenbezug sprechen kann? (Beispiel IP-Adresse: nur Provider können sie meist ohne Weiteres einem Nutzer zuordnen, alle anderen hingegen nicht).
EuGH (EuGH ZD 2017, 24 Rn. 46 ff): bei einem gesetzlichen Verbot oder einer praktischen Undurchführbarkeit aufgrund unverhältnismäßigem Aufwands ist das Risiko einer Identifizierung vernachlässigbar. (Aber: schon bei einem Anbieter von Onlinediensten in Bezug auf dynamische IP-Adressen ist ein solches Hindernis nicht gegeben), Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13
Die Verwendung des Begriffs „indirekt“ durch den Unionsgesetzgeber deutet darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht. Rn 41
Art. 4 Ziff. 2 DSGVO:
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
…
Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Hierzu Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 20:
Verarbeitung (processing) meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben (collection), das Erfassen (recording), die Organisation (organisation), das Ordnen (structuring), die Speicherung (storage), die Anpassung (adaption) oder Veränderung (alteration), das Auslesen (retrieval), das Abfragen (consultation), die Verwendung (use), die Offenlegung durch Übermittlung (disclosure by transmission), Verbreitung (dissemination) oder eine andere Form der Bereitstellung (otherwise making available), den Abgleich (alignment) oder die Verknüpfung (combination), die Einschränkung (restriction), das Löschen (erasure) oder die Vernichtung (destruction). Der Begriff ist letztlich (ohne materielle Folgen) weiter, als es der Verarbeitungsbegriff des BDSG aF war. Die in der Definition aufgezählten Begriffe dürften sich zudem zumindest teilw. überschneiden.
Zum Erfassen (recording) nach Art. 4 Ziff. 2 DSGVO: Die Dauer der Speicherung spielt keine Rolle. Auch die flüchtige Speicherung im Arbeitsspeicher stellt eine Verarbeitung im DSGVO-rechtlichen Sinne dar.
Ergebnis:
Bei einer Videoüberwachung im öffentlichen Bereich, bei der personenbezogene Daten per Stream in Echtzeit übermittelt und nur nur flüchtig im RAM-Speicher abgelegt werden, ist der Anwendungsbereich der DSGVO eröffnet.
Es müssen damit die datenschutzrechtlichen Vorgaben eingehalten werden, z.B. Rechtsgrundlage (wahrscheinlich Art. 6 Abs.1 S. 1 lit.f. DSGVO), einen Zweck, die Erfüllung von Informationspflichten etc.. Praktisch ist das in sicherheitssensiblen öffentlichen Bereichen (z.B. Abfertigungshalle Flughafen) gut umsetzbar.
Stand: 26.10.2022
Was ist Adobe-Fonts?
Adobe-Fonts ist eine Sammlung von Schriftarten für die Verwendung auf Websites bereit. Mittels APIs und interaktiven Webverzeichnissen können dann Schriften je nach Bedarf eingebunden werden. Die jeweilige Website greift – wie bei Google Fonts - bei jedem Aufruf auf den US-amerikanischen Server von Adobe zu und lädt die Fonts herunter.
Werden bei der Nutzung von Adobe-Fonts personenbezogene Daten verarbeitet?
Bei der Nutzung von Adobe-Fonts werden wohl (wie bei Google Fonts) IP-Adressen und somit personenbezogene Daten verarbeitet. Somit sind Webseitenbetreiber dazu verpflichtet, einen entsprechenden Cookie-Hinweis zur Einwilligung sowie einen Hinweis in der Datenschutzerklärung vorzuhalten, da es sich bei Adobe um einen US-amerikanischen Anbieter handelt und der Nutzer über die Verarbeitung seiner Daten aufgeklärt werden muss.
Bei der Nutzung von Adobe-Fonts findet eine Datenverarbeitung analog wie bei Google-Fonts statt. Zwar gibt es aktuell noch kein Urteil (ggf. wegen geringerer Verwendung im Gegensatz zu Google Fonts), dass Adobe-Fonts verboten ist, jedoch dürfte die Verwendung ohne Einwilligung datenschutzrechtlich nicht erlaubt sein, da die Verarbeitung von personenbezogenen Daten nicht komplett ausgeschlossen werden kann.
Die aktuelle Rechtsprechung zu Google Fonts kann somit auch auf Adobe-Fonts übertragen werden.
Stand: 05.10.2022
Mit GetLeadForms können mehrstufige Formulare und Chatbots für Websites und Landing Pages erstellt werden, um Leads zu generieren.
GetLeadForms bietet nur Dienste an, die nach europäischen (und damit auch deutschem) Recht ausschließlich per Einwilligung des Users möglich sind. Um GetLeadForms datenschutzkonform nutzen zu können, müssten u.a. folgende Punkte beachtet werden:
Achtung! Es darf erst Cookie gesetzt werden, wenn die Einwilligung des Website-Nutzers eingeholt wurde!
Stand: 05.10.2022
Cookies sind Datenpakete, die von Webbrowsern und Internetseiten erzeugt werden, um individuelle Nutzerdaten zu speichern. Im Internet werden damit vor allem HTTP-Cookies bezeichnet. Das sind Datenpakete, mit denen Webanwendungen personenbezogene Daten sammeln, um beispielsweise Login-Daten, Surfverhalten, Einstellungen und Aktionen in Webapplikationen (z.B. Warenkörbe in Webshops) zu speichern.
Ein Cookie-Banner wird auf Webseiten bspw. dann benötigt, wenn eine Erhebung, Verarbeitung oder Auswertung personenbezogener Daten (v.a. IP-Adressen) technisch nicht notwendig ist (vgl. § 25 TTDSG) und z.B. für Tracking-Analysen vorgenommen wird. Für diese Verarbeitung personenbezogener Daten braucht es eine ausdrückliche Einwilligung des Nutzers, die z.B. mittels eines Cookie-Banners eingeholt werden kann.
Alles zum Thema Cookies: siehe FAQ des Landesbeauftragten für Datenschutz und Informationsfreiheit BW
Falls ja, ist der Webseitenbetreiber gesetzlich dazu verpflichtet, einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Anbieter abzuschließen. Die DSGVO schreibt vor, dass gem. Art. 28 Abs. 3 DSGVO ein Auftragsverarbeitungsvertrag abgeschlossen werden muss, sobald ein Auftragsverarbeitungsverhältnis vorliegt.
Wie wird laut Art. 4 Abs. 8 DSGVO ein Auftragsverarbeiter definiert?
„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.
Das dürfte bei Cookie-Banner-Anwendungen regelmäßig der Fall sein!
Beispiel Cookiebot: Bindet eine Webseite ein Cookiebot-Script ein, wird zwangsweise aufgrund des Internet-Protokolls TCP die IP-Adresse des Nutzers durch die Webseite zu Cookiebot weitergeleitet und dort im Sinne der DSGVO verarbeitet, vgl. Ausführungen dazu bei Dr. DSGVO.
Was muss im AV-Vertrag laut Art. 28 DSGVO geregelt werden?
Im Vertrag werden u.a. die jeweiligen Rechte und Pflichten von Auftragnehmer und Auftraggeber geregelt. Des weiteren wird auch der konkrete Gegenstand, die Art und der Zweck der Verarbeitung definiert. Zudem können noch weitere Regelungen, wie z.B. die Dauer des Auftrags, Regelungen zu Informationspflichten und zum Weisungsrecht oder auch Regelungen zur Rückgabe bzw. Löschung von Daten nach Auftragsbeendigung festgehalten werden.
Ergebnis: In aller Regel braucht man einen AV-Vertrag mit dem Cookie-Banner-Anbieter.
Stand: 05.10.2022
Zurzeit werden sehr viele Abmahnung von Mitgliedern der Interessengemeinschaft Datenschutz (kurz: IG Datenschutz) verschickt.
Gefordert werden zwischen EUR 170,- und EUR 800,- Schmerzensgeld.
Webseitenbetreiber haben grundsätzlich die Pflicht, Google Fonts statisch einzubinden, da durch die potenzielle Weitergabe der IP-Adressen der Webseiten-Besucher an Google in den USA eine Persönlichkeitsverletzung gesehen werden kann.
Es gibt das rechtskräftige Urteil des Landgerichts München vom 20.01.2022 – 3 O 17493/29
Hier sollte das Unternehmen, das Google Fonts dynamisch eingebunden hat, einen Schadensersatz wegen Persönlichkeitsrechtsverletzung in Höhe von 100,00 € an den Besucher der Webseite bezahlen.
Folgende Fragen sollten (ggf. in Zusammenarbeit mit einem Rechtsanwalt) geklärt werden:
1. Haben Sie tatsächlich Google Fonts dynamisch eingebunden und kann die Gegenseite den Verstoß nachweisen?
Falls nein, brauchen Sie nicht auf die Abmahnung zu reagieren. Falls ja, lautet die zweite Frage:
2. Welcher Schadensersatz wäre angemessen: EUR 100,-, EUR 170,- oder mehr?
Das ist in jedem Fall eine Frage des Einzelfalls und kann nicht pauschal beantwortet werden.
3. Die vielleicht wichtigste Frage: Ist Herr Ismail bzw. die IG Datenschutz überhaupt berechtigt, solche Abmahnungen auszusprechen?
Hier müsste die Gegenseite zunächst die individuelle Betroffenheit darlegen. Bei der IG Datenschutz ist das in jedem Fall ausgeschlossen (da eine Organisation). Die einzelnen Mitglieder könnten individuell betroffen sein. Allerdings werden diese in den Abmahnungen nicht mit Adresse genannt, was bei einer Anzeige der anwaltlichen Vertretung aber üblich ist.
Des Weiteren werden in der Abmahnung fast ausschließlich Urteile zitiert, die mit Google Fonts nichts zu tun haben. Damit wird der Eindruck erweckt, es gäbe genau zu diesem Thema umfangreiche Rechtsprechung.
Und schließlich kann man auch fragen, ob Herr Ismail die Webseiten eventuell vorsätzlich und mit dem Ziel der Abschöpfung einer Abmahnsumme angesteuert hat. Aufgrund der massenhaften Abmahnungen legt das eine Rechtsmißbräuchlichkeit nahe.
Evtl. wurde daher ein potenzieller Schaden bewusst herbeigeführt. Die Gegenseite müsste darlegen, ob tatsächlich ein individuelles Unwohlsein beim Betroffenen entstanden ist bzw. ein Kontrollverlust und somit ein Schaden, der zu ersetzen wäre. Für einen solchen Fall gibt es kaum Rechtsprechung, deshalb könnte sich hier Widerstand lohnen.
Stand: 05.10.2022
Konkretisierung der Fragestellung:
Wir (DL-Unternehmen im Bereich B2B) sollen Daten der Kunden (E, Endverbraucher) unserer Kunden (K, B2C) bezüglich ableitbarer Verhalten analysieren. Das bedeutet, es interessiert uns letzten Endes nicht, wie ein Kunde E heißt, wo er genau wohnt, wann er genau geboren ist.
Unser Kunde K hat dabei die Daten genau vorliegen, also wie heißt die Person E, welche Email-Adresse(n) hat sie, wie lautet die Adresse, Geburtsdatum, ...; kurzum, unser Kunde K weiß soweit "alles" über seine Kunden E, was Datenschützer-Herzen höher schlagen lässt.
Wie dürfen wir (DL) nun die Daten der Endverbraucher E verwenden bzw. wie muss unser Kunde K uns die gewünschten Daten zur Verfügung stellen?
Uns interessiert wie gesagt NICHT die Adresse, genaues Geburtsdatum, Email-Adresse; Ausschließlich betrachtet werden soll das Geschlecht sowie die Altersspanne (wir dachten an das Alter auf 5 bis 10 Jahre genau, sofern möglich), evtl. eine Umkreis-Angabe zum ungefähren Wohnort / Region des Wohnorts, die bestellten / gekauften Produkte, angesehene Produkte bis zur Kaufentscheidung, ggf. das verwendete Endgerät (Hersteller und Model, nicht Seriennummer!), usw.
An sich dachten wir in einem ersten Schritt der konzeptionellen Überlegungen daran, die Adress- und Namensdaten komplett zu vernachlässigen und noch bei unserem Kunden K eine Verschlüsselung der Email-Adresse vorzunehmen, die von uns als DL nicht wieder zurückgerechnet werden kann ("hashing").* Mit diesen gehashed-ten Email-Adressen könnten wir als DL dann eine ID bilden, die die uns relevanten Informationen anschließend der verschlüsselten ID zuordnen lässt. Hintergrund für diese Notwendigkeit wäre, dass die Infos einzelnen fiktiven Personen zugeordnet und nicht zu einer großen Datenmasse verschmelzen sollen.
In einem vergangenen Datenschutz-Weekly hatten wir über die Begriffe Anonymisierung und Pseudonymisierung gesprochen. Aktuell wäre soweit vermutlich vom Begriff der Pseudonymisierung auszugehen, anhand des Hashes ist das erfolgreiche Durchführen einer Rückrechnung dabei höchst unwahrscheinlich. Unserem Kunde K hingegen würde in dem Szenario voraussichtlich die Zuordnung "genaue Kundendaten" (die K sowieso von E weiß...) zu der verschlüsselten Email-Adresse vorliegen.
Art. 5 Abs. 1 c) DGSVO – Datenminimierung und
Art. 6 DSGVO – Rechtsgrundlage für Verarbeitung notwendig
1. Dienstleister DL muss vom Kunden K also so wenig wie möglich Daten über den Endverbraucher E bekommen.
Idealerweise sollte der Datensatz keine Adressdaten, keine Geburtsdaten, keine Namen und keine Mailadressen umfassen.
2. Wenn der Kunde K die Ergebnisse nach dem Analyseprozess wieder zurückführen kann auf einzelne Personen, dann wäre das ein Analyseverfahren auf Basis personenbezogener Daten, nach denen er die Vorgaben der DSGVO einhalten muss. Dafür braucht er wiederum eine Rechtsgrundlage. Das kann wohl nur durch die vorab eingeholte Einwilligung der Endverbraucher E geschehen.
Ergebnis: Verarbeitet der Kunde K die Daten der Endverbraucher E nach durchgeführter Analyse so, dass er die Daten wieder zusammenführen kann (und damit wieder personenbezogene Daten vorliegen hat), braucht er eine vorherige Einwilligung der Endverbraucher.
Vor Einführung der DSGVO spielte es keine Rolle, welche Daten an den Dienstleister DL geschickt worden wären, da der Auftragsverarbeiter nicht verantwortlich war für die personenbezogenen Daten.
Seit der Einführung der DGSVO ist die Rechtslage anders:
Er muss … hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, vgl. Art. 28 Abs. 1 DSGVO
Die Verpflichtung geht sogar noch weiter: vgl. Art. 28 Abs. 3, letzter Absatz:
Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
Stand: 28.09.2022
Die Nutzung von WhatsApp für die Kundenkommunikation ist u.a. wegen folgender Gründe nicht zulässig:
Es ist mittlerweile allgemeine Rechtsauffassung, dass WhatsApp im geschäftlichen Umfeld nicht datenschutzkonform genutzt werden kann.
Vergleiche auch FAQ-Antwort des BayLDA dazu!
Wenn der Kunde den Kontakt initiiert, ist die Rechtslage dieselbe.
Begründung:
WhatsApp-Nachricht braucht (in der Regel) einen registrierten Benutzer.
Mögliche Lösung:
WhatsApp allenfalls privat mit privater Nummer nutzen.
Stand: 05.10.2022
Ausführliche Informationen zur Speicherung von IP-Adressen finden Sie in unserem Blog.
Jeder Onlineshop braucht zwingend eine Datenschutzerklärung, da beim Bestellvorgang personenbezogene Daten erhoben, gespeichert und verarbeitet werden (v.a. Adressdaten, E-Mail-Adressen und IP-Adressen).
In vorliegendem Fall ist der Website-Betreiber eine US-Tochter eines deutschen Unternehmens. Die Datenschutzerklärung muss zwingend nach EU-Recht gestaltet werden, sofern sich das Angebot an Kunden in Deutschland bzw. im EU-Raum richtet, da die Anforderungen der DSGVO (u.a. Art. 13 DGSGVO) und des TTDSG (§ 25 TTDSG) jederzeit eingehalten werden müssen (unabhängig vom Sitz des Webseitenbetreibers).
Rein zivilrechtlich gilt das sog. Herkunftslandprinzip, § 3 TMG
Richtet sich das Angebot des Websitebetreibers an US-amerikanische Kundschaft, ist US-Recht zu beachten.
Zu empfehlen sind zwei Websites. Eine für das europäische/deutsche Publikum und eine für das US-amerikanische Publikum.
Stand: 21.09.2022
Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung
(1)Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a)Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b)die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c)die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d)die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e)die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f)die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Art. 49 DSGVO - Ausnahmen für bestimmte Fälle
(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
a)die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
b)die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,
c)die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,
d)die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,
e)die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,
f)die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,
g)die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.
§ 25 TTDSG - Schutz der Privatsphäre bei Endeinrichtungen
1.Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
2.Die Einwilligung nach Absatz 1 ist nicht erforderlich,
(1) wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
(2) wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung
Art. 6 DSGVO bildet die Rechtsgrundlage für alle Arten der Verarbeitung personenbezogener Daten.
Art. 49 DSGVO - Ausnahmen für bestimmte Fälle
Art. 49 DSGVO findet Anwendung, wenn eine Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation stattfindet. Die Norm wird restriktiv ausgelegt und gilt für alltägliche immer wiederkehrende Übermittlungen, z.B. Hotelbuchungen, Flugreservierungen, Überweisungen oder Warenbestellungen.
§ 25 TTDSG - Schutz der Privatsphäre bei Endeinrichtungen
§ 25 TTDSG findet Anwendung bei allen Fällen, bei denen personenbezogene Daten über Endeinrichtungen gespeichert werden, die nicht technisch zwingend nötig sind, um den entsprechenden Dienst zu erbringen, z.B. Cookies oder Analysetools.
Stand: 21.09.2022
Art. 7 DSGVO - Bedingungen für die Einwilligung
Art. 7 Abs. 3 S. 4 DSGVO regelt datenschutzrechtlich, dass die Abbestellung eines Newsletters genau so einfach durchzuführen ist, wie die Einwilligung. Die Einwilligung zum Newsletter-Empfang ist zwingend über ein Double-Opt in Verfahren (§ 7 Abs. 2 Nr. 3 UWG) einzuholen, damit der Datenverarbeiter stets nachweisen kann, dass die betroffene Person ausdrücklich damit einverstanden ist, dass ihre personenbezogenen Daten verarbeitet werden und keine wettbewerbswidrige Handlung bzw. keine „unzumutbare Belästigung“ stattfindet.
Eine One-Click-Lösung zur Abmeldung ist gesetzlich nicht vorgeschrieben, wird in der Praxis aber überwiegend empfohlen.
Nach Art. 7 Abs. 3 S. 4 DSGVO ist es rein datenschutzrechtlich also zulässig, dass der Widerruf mit zwei Klicks (z.B. Anklicken des Abmeldelinks in der Mail + Anklicken auf „Wollen Sie sich wirklich abmelden?) durchgeführt wird, sofern die Einwilligung auch mit zwei Klicks durchgeführt wurde. Weitere Schritte, wie z.B. die Pflicht sich mit einem Kunden-Log-In in ein Portal einzuloggen, um sich aus dem Newsletter Verteiler auszutragen zu können, dürften eher unzulässig sein. Gerade das Wettbewerbsrecht ist hier nutzerfreundlich auszulegen.
Die Abfrage eines Grundes bzw. die erneute Eingabe der E-Mail-Adresse für die Abmeldung ist dann zulässig, wenn dies hinsichtlich der Einfachheit der Abmeldung, mit der Einfachheit der Einwilligung gleichzusetzen ist.
Art. 7 DSGVO - Bedingungen für die Einwilligung
...3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein....
Die Abmeldung vom Newsletter ist also unverzüglich umzusetzen. Erfolgt ein erneuter Newsletter-Versand, obwohl eine Abmeldung erfolgte (und damit auch ein Widerruf der Verarbeitung personenbezogener Daten), ist dies als unzumutbare Belästigung nach § 7 Abs. 2 Nr. 3 UWG einzustufen und als unzulässige Datenverarbeitung nach DSGVO. Der Newsletter-Versender ist also in der Pflicht, den Kunden unverzüglich von der Verteilerliste zu streichen, sobald sich ein Kunde vom Newsletter abgemeldet hat. Eine weitere Mail auch am selben Tag ist unzulässig. Der Versender hat dafür Sorge zu tragen, dass die technischen Möglichkeiten so gestaltet sind, dass ab dem Zeitpunkt der Abmeldung keine weitere Mail mehr versendet wird. Der ehemalige Newsletter-Abonnent hat zudem das Recht, seine personenbezogenen Daten auf Wunsch aus der Datenbank löschen zu lassen.
Stand: 21.09.2022
Konkreter Sachverhalt:
Eine Person eines Haushaltes nimmt die Dienste mobiler Pflegeleistungen in Anspruch. Offiziell wurde die Videoüberwachung installiert, sodass Familienmitglieder die zu pflegende Person helfen können, falls diese stürzt. Dadurch wird die Pflegekraft jedoch während des gesamten Besuchs überwacht. Es gibt keine Hinweisschilder, Einwilligungen oder diesbezügliche Vereinbarungen.
Vorliegend geht es nicht nur um die eigene private Sphäre. DSGVO ist m.E. also anwendbar. Etwas anderes gilt z.B., wenn Videokameras auf privaten Grundstücken angebracht werden – und nur das eigene Grundstück überwachen. Dies eröffnet den Anwendungsbereich der DSGVO nicht (vgl. Art. 2 Abs. 2 lit.c DSGVO).
Als Rechtsgrundlage stehen aber immer zur Verfügung:
Das Recht auf informationelle Selbstbestimmung („Volkszählurteil von 1983“ - Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG)) sowie das Recht am eigenen Bild nach KUG.
Sobald Dritte von den Überwachungen betroffen sind, müssen also deren berechtigte Interessen berücksichtigt werden
--> Abwägung!
Vorliegend halten wir die dauerhafte Überwachung der Pflegeperson, aber auch der zu pflegenden Person für einen erheblichen Eingriff in das informationelle Selbstbestimmungsrecht.
Es ist darauf hinzuweisen, dass eine Überwachung der Pflegekräfte nicht geduldet wird
(Fürsorgepflicht des Arbeitgebers).
Die Kamera ist während der Anwesenheit der Pflegekraft abzuschalten.
Sofern die Pflegekraft mit der Videoüberwachung einverstanden ist, darf die Kamera weiterhin auch den Pflegebesuch aufzeichnen. Hierzu ist eine schriftliche Einwilligung von der Pflegekraft einzuholen und sie muss m.E. auch über ihre Rechte aufgeklärt werden.
Stand: 21.09.2022
BAG-Urteil vom 05.05.2022 (2 AZR 363/21)
Sachverhalt:
Eine Hausangestellte hat von ihrem Arbeitgeber Auskunft nach Art. 15 DSGVO verlangt, einschließlich der über sei erfassten Arbeitszeit. Im Wege der Stufenklage machte sie zudem eine sich aus der Auskunft ergebende Nachzahlung der Vergütung geltend. Mit einem weiteren Antrag verlangte die Klägerin dann die Zahlung eines in das Ermessen des Gerichts gestellten immateriellen Schadensersatzes „auf der Grundlage von Art. 15 DS-GVO“. Die Arbeitszeitaufzeichnungen wurden zwar von der Beklagten übersandt, allerdings nicht innerhalb der Fristen des Art. 12 Abs. 3 und 4 DSGVO.
Da die Beklagte dem Auskunftsbegehren nicht vollständig nachgekommen sei, habe sie Anspruch auf immateriellen Schadensersatz nach Art. 82 DS-GVO, der mindestens 6.000 EUR betrage.
Entscheidung: EUR 1.000,- Schadensersatz ist angemessen.
Begründung:
Es gibt einen weiten Ermessensspielraum des Gerichts, in dem die Besonderheiten des jeweiligen Einzelfalls zu berücksichtigen sind. Wesentlicher Grund der Klage waren vorliegend die Arbeitszeitaufzeichnungen. Diese waren übersandt worden. Die Klägerin habe nicht vorgetragen, dass ihr durch die zu späte Zusendung ein immaterieller Schaden entstanden sei. Nicht jeder Eingriff in das allgemeine Persönlichkeitsrecht in Form des Rechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 iVm. Art. GG Artikel 1 Satz 1 GG habe einen Entschädigungsanspruch zur Folge. Im vorliegenden Fall sei eine Persönlichkeitsrechtsverletzung der Klägerin nicht so schwerwiegend, dass sie nur durch eine Geldentschädigung in befriedigender Weise ausgeglichen werden könne. Der Klägerin sei es mit ihrem Auskunftsanspruch ausweislich ihres Prozessverhaltens nicht um den Schutz ihrer persönlichen Daten, sondern um die Beschaffung von Informationen zur Vorbereitung eines Zahlungsanspruchs gegen die Beklagte gegangen. Eine rechtswidrige Beschaffung oder Verwendung personenbezogener Daten durch die Beklagte behaupte die Klägerin indes nicht.
Stand: 20.09.2022
EuGH Urteil zur Vorratsdatenspeicherung
Auswirkungen:
Das Verfahren vor dem Bundesverwaltungsgericht wird nun fortgeführt.
Die Politik hat bereits angekündigt, die Vorratsdatenspeicherung in dieser Form aus dem TKG zu streichen bzw. entsprechend dem EuGH-Urteil zu verändern.
Für den einzelnen Bürger besteht nun Gewissheit, dass der Staat nicht anlasslos Daten auf Vorrat speichern darf. Ausnahme: es liegt eine ernste Bedrohung für die nationale Sicherheit vor.
Es wird nun (hoffentlich) eine politische Debatte darüber geben, wieviel Überwachung in Deutschland notwendig bzw. den Bürgern zumutbar ist.
Stand: 21.09.2022
Bedürfen Controlling-Mitarbeiter in Unternehmen bzw. Konzernstrukturen besonderer Schulungen/Verpflichtungen, damit mit deren Wissen um Löhne und Gehälter einzelner Personen rechtlich korrekt umgegangen wird?
Art. 4 Nr. 19 DSGVO: „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“.
Personenbezogene Daten dürfen laut Erwägungsgrund 48 DSGVO bei berechtigtem Interesse zu ganz bestimmten Zwecken innerhalb von Konzernstrukturen ausgetauscht werden. Hierfür muss (zumindest) die rechtliche Grundlage des Art. 6 Abs. (1) f DSGVO (Rechtmäßigkeit der Verarbeitung) erfüllt sein.
Gehaltsdaten könnten z.B. auch anonymisiert bzw. pseudonymisiert verarbeitet werden, sodass keine Zuordnung zu natürlichen Personen möglich ist. Grundsätzlich ist immer der Grundsatz der Datensparsamkeit (Art. 5 DSGVO) zu beachten.
Es gibt keine allgemeingültige Regelung, dass Controlling-Mitarbeiter in Unternehmen bzw. Konzernstrukturen bzgl. der Gehaltsdaten spezielle Schulungen absolvieren müssen.
Wie wird mit der Situation in Konzernstrukturen umgegangen, wenn etwa in einem Unternehmen nur eine Person angestellt ist? Das Controlling z.B. des Mutterkonzerns hat dann die Möglichkeit, die Kostenstelle „Löhne/Gehälter“ dieses Tochterunternehmens einzusehen, in welchem nur eine Person arbeitet – und weiß somit das Gehalt jener Person.
Antwort: Das Wissen über Gehälter ist der Position des Controlling-Mitarbeiters immanent. Betroffene Personen müssen darüber auch nicht gesondert informiert werden. Über Geheimhaltungsverpflichtungen kann (und sollte) allerdings die Verschwiegenheit vereinbart werden. Nur aufgrund der Möglichkeit der konkreten Zuordnung von Gehaltsdaten mehr Personen als benötigt im Unternehmen zu beschäftigen, wäre vermutlich wirtschaftlich gesehen wenig sinnvoll.
Stand: 14.09.2022
Bei einer kostenpflichtigen App werden sensible Gesundheitsdaten verarbeitet. In Folge einer Lösch- anfrage sollen die Daten gelöscht und nicht mehr gesperrt vorgehalten werden. Kann das Löschen per AGB geregelt werden kann?
Art. 17 DSGVO - Recht auf Löschung
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
Widerspruch gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
Wann kann ein Antrag auf Löschung gestellt werden?
Um eine Löschung nach Art. 17 DSGVO durchsetzen zu können, muss einer der Gründe des Art. 17 Abs. 1 DSGVO vorliegen. Werden die Daten z.B. im Rahmen einer ärztlichen Behandlung gespeichert, kann nicht willkürlich eine Löschung beantragt werden, da seitens der Ärztekammer eine Aufbewahrungsfrist ärztlicher Aufzeichnungen von mindestens 10 Jahren vorgeschrieben ist,
vgl. § 10 Abs. 3 BO.
Werden sensible Gesundheitsdaten z. B. aber in einer privaten und freiwillig verwendeten Fitness-App gespeichert, kann der Betroffene die Löschung der Daten verlangen.
Ergebnis: Die gesetzliche Grundlage für das Recht auf Löschung ergibt sich aus der DSGVO.
In AGB kann nichts Gegenteiliges geregelt werden.
Nein, prinzipiell ändert eine Anonymisierung der Daten nichts. Zweck und Rechtsgrundlage müssen ja zum Zeitpunkt der Datenerhebung vorgelegen haben (und andauern).
Mit einer Anonymisierung dürfte sich beides ändern.
Hier stellt sich zudem die Frage, ob eine Anonymisierung von sensiblen Gesundheitsdaten überhaupt möglich wäre, wenn der Personenbezug bereits vorhanden war. Es wäre vermutlich lediglich eine Pseudonymisierung (Art. 4 DSGVO) umsetzbar.
Ausweg: Einwilligung des Betroffenen
Stand: 14.09.2022
Urteil des OLG Stuttgart (9 U 24/22)
Sachverhalt:
A bekam vom Amtsgericht München aufgrund seiner geleisteter Zahlung im Rahmen seines Verbraucher-Insolvenzverfahrens nach drei Jahren vorzeitig Restschuldbefreiung. Diese Informationen wurden öffentlich unter www.insolvenzbekanntmachungen.de veröffentlicht. Die beklagte SCHUFA entnahm diese (und weitere ihr verfügbare) Daten über den Kläger, speicherte sie und machte sie ihren Vertragspartners zugänglich, sofern diese ein berechtigtes Interesse an der Kreditfähigkeit des Klägers darlegen konnten.
Auf der Grundlage des von der SCHUFA angewendeten sog. Code of Conduct für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien, vorgelegt vom Verband „Die Wirtschaftsauskunfteien e.V.“ (nachfolgend: CoC, Anl. B4) löscht die SCHUFA personenbezogene Daten taggenau drei Jahre nach Ausgleich gespeicherter Forderungen bzw. - nach Antrag betroffener Personen - wenn die Speicherung nach individueller Prüfung nicht mehr erforderlich ist.
Der Kläger hält eine 6-Monatsfrist für ausreichend. Eine darüber hinausgehende Speicherung seiner Daten sei rechtswidrig. Ausschlaggebend sei § 3 Abs. 1 f. InsBekV, wonach diese Daten aus dem Portal www.insolvenzbekanntmachungen.de nach 6 Monaten zwingend zu löschen sind. Sein Hauptargument: Die weitere Speicherung erschwere ihm entgegen dem mit der Restschuldbefreiung verfolgten Zweck eines wirtschaftlichen Neustarts die Teilnahme am Wirtschaftsleben, obwohl er sich während der Wohlverhaltensperiode vorbildlich verhalten und so viele Schulden getilgt habe, dass die Restschuldbefreiung vorzeitig erteilt worden sei. Insbesondere sei ihm die Finanzierung einer Wohnung oder eines Hauses sowie eines neuen Autos ebenso wenig möglich wie die Überziehung seines Kontos, obwohl es keine gesicherten wissenschaftlichen Erkenntnisse über konkrete Neuverschuldungen mit Zahlungsausfällen und Insolvenzen innerhalb von drei Jahren nach der Restschuldbefreiung gebe.
Begründung:
Datenverarbeitung nach Art. 6 Abs. 1 lit. f) DSGVO zulässig.
Danach muss die im Rahmen der nach Art. 6 Abs. 1 lit. f) DSGVO vorzunehmenden, konkreten Interessenabwägung zugrunde zu legenden Interessen der Betroffene selbst darlegen. Denn aus der Formulierung der Verarbeitungsbeschränkung in Art. 6 Abs.1 lit. f), 2. Halbs. DSGVO „[…] sofern nicht […]“ ergibt sich ein - vom Betroffenen zu widerlegendes - Regel-Ausnahme-Verhältnis für die Zulässigkeit der zur Wahrung berechtigter Interessen erforderlichen Datenverarbeitung. Diese ist nach Art. 6 Abs. 1 lit. f) DSGVO gerade dann rechtmäßig i. S. d. Art. 5 Abs. 1 DSGVO, wenn sie zur Wahrung berechtigter Interessen erfolgt und die Interessen und Rechte der betroffenen Person nicht überwiegen. Nach der Systematik ist die Verarbeitung also immer dann rechtmäßig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist, selbst wenn Interessen des Betroffenen gegenüberstehen, solange diese nur gleichwertig sind.
Sie wird erst dann rechtswidrig, wenn die Interessen und Rechte des Betroffenen überwiegen, wofür folglich er die Darlegungs- und Beweislast trägt
(so auch Paal/Pauly, Frenzel, aaO., Art. EWG_DSGVO Artikel 6 DS-GVO, Rn. 31; vgl. auch Gola, Schulz, DS-GVO, aaO., Art. 6, Rn. 58).
Vorliegend konnte der Kläger kein überwiegendes Interesse und keine überwiegenden Rechte nachweisen.
Die Verarbeitung durch die Beklagte erfolgte aus Art. 6 Abs. 1 lit. f) DSGVO zur Wahrung ihrer eigenen sowie der berechtigten Interessen ihrer Vertragspartner als Dritte, ohne dass überwiegende Interessen des Klägers dem entgegenstehen würde.
(Vorzeitiger) Löschungsantrag ist gescheitert.
Gegenteilige Auffassung:
OLG-Schleswig, Urteil vom 02.07.2021
Die Sache ist vor dem BGH anhängig!
Urteil des OLG Stuttgart (9 U 24/22) – Klage auf Löschung wurde abgelehnt
Eine Verarbeitung personenbezogener Daten, wird erst dann rechtswidrig, wenn die Interessen und Rechte des Betroffenen überwiegen, wofür folglich er die Darlegungs- und Beweislast trägt (so auch Paal/Pauly, Frenzel, aaO., Art. EWG_DSGVO Artikel 6 DS-GVO, Rn. 31; vgl. auch Gola, Schulz, DS-GVO, aaO., Art. 6, Rn. 58).
Stand: 14.09.2022
Ist ein AV-Vertrag nach Art. 28 DSGVO nötig?
Wir hatten im Datenschutz-Weekly hier schon einmal die Frage zu Cloudflare beantwortet (siehe FAQ Datenschutz)
Die Antwort war: wenn personenbezogene Daten über den Dienst erhoben werden, sind alle DSGVO-Vorgaben einzuhalten. Im Falle von Cloudflare ist die Rechtslage unsicher, der TÜV-Süd ist hier den Weg über die technisch-notwendigen Cookies gegangen.
LG Braunschweig: Cookiebot über ein CDN (Content Delivery Networks) ist unzulässig
CDN-Leistungen könnten auch als TK-Leistungen eingeordnet werden und wären dann über § 6 TTDSG priviligiert.
Damit wäre das nicht primär ein Datenschutz-Thema.
Ansonsten gilt, was für den DSGVO-konformen Einsatz von Tools notwendig ist:
Stand: 27.07.2022
Art. 5 DSGVO - Grundsätze für die Verarbeitung personenbezogener Daten (Grundsatz der Datenminimierung)
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
§ 26 BDSG - Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
(1) Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Beispiele für weitere Rechtsgrundlagen zu Aufbewahrungspflichten, die neben der DSGVO einzuhalten sind
Stand: 27.07.2022
Pflicht zur E-Mail-Signatur - Rechtsgrundlagen:
Die DSGVO findet hier keine Anwendung!
Nein, weder der Name noch die persönliche Durchwahlnummer des Mitarbeiters sind Pflichtangaben in der E-Mail-Signatur. Eine allgemeine Nummer der Telefonzentrale sowie der Firmenname sind ausreichend. Datenschutzrechtlich ist das unproblematisch, da auf Datenminimierung geachtet wird und für die (interne) Verarbeitung eine Rechtsgrundlage vorliegt.
Es gibt kein Recht auf Anonymität für Mitarbeiter.
Der Punkt unterliegt dem Weisungsrecht des Arbeitgebers. Die datenschutzrechtlichen Grundsätze sind aber natürlich einzuhalten.
Stand: 03.05.2023
§ 5 Allgemeine Informationspflichten Telemediengesetz (TMG)
Die Vorgabe, dass das Impressum und die Datenschutzerklärung von jeder einzelnen Unterseite einer Website (egal ob mit Desktop/Mobilgerät) mit maximal zwei Klicks erreichbar sein muss, muss jederzeit zwingend eingehalten werden.
Stand: 27.07.2022
Die DS-GVO schützt personenbezogene Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Art. 2 Abs. 1 DSGVO
Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Konkrete Frage:
Ist das Erfassen von Objekten mit einem optischen Sensor, der die Pixeldaten weder als Datei abspeichern noch an einem Monitor anzeigen kann, datenschutzkonform?
Beck-Kommentar hierzu: Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 2 Rn. 2-10:
Der Begriff Dateisystem (filing system), der im Vorentwurf noch „Datei“ hieß (so wie auch in Art. 2c DSRL), wird definiert in Art. 4 Nr. 6 (→ Art. 4 Rn. 52 ff.) als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“. … Letztlich sind Dateisysteme idS Sammlungen personenbezogener Daten, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können (vgl. Art. 2c DSRL).
Erwägungsgrund 15 zur DSGVO: Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.
Das heißt: der Anwendungsbereich der DSGVO ist eröffnet, es handelt sich nicht um rein anonyme Daten oder Ähnliches.
Damit müssen alle Vorgaben der DSGVO eingehalten werden, vor allem Informationspflichten, Auskunftspflichten, etc. Wenn das der Fall ist, können auch optische Sensoren datenschutzkonform eingesetzt werden.
Die korrekte Fragestellung müsste jedoch lauten:
Paal/Pauly/Ernst DS-GVO Art. 2 Rn. 2-10:
Die DS-GVO gilt neben der ganz oder teilw. automatisierten Datenverarbeitung auch für die nicht automatisierte Verarbeitung personenbezogener Daten, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Der Schutz natürlicher Personen soll schließlich neben der automatisierten gleichermaßen auch die manuelle Verarbeitung von personenbezogenen Daten umfassen (ErwGr 15). Dies gilt allerdings nur dann, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen (ErwGr 15). Die nicht automatisierte Verarbeitung von Daten bezieht sich allein auf den analogen Bereich (insbes. auf Papier).
Das heißt: Speicherung in ein Dateisystem ist nur für die nichtautomatisierte Verarbeitung ein Kriterium. Für die automatisierte Verarbeitung (wie in unserem Fall) gilt die DSGVO auch dann, wenn keine klassische Speicherung in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Das heißt, die Frage muss lauten: Ist der Anwendungsbereich der DSGVO eröffnet, wenn Objekte mit einem optischen Sensor erfasst werden, der die Pixeldaten weder als Datei abspeichert noch an einem Monitor anzeigen kann?
Art. 4 Ziff. 1 DSGVO:
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …“
Entscheidend ist, ob eine Angabe einer bestimmten Person zugeordnet werden kann, bzw. wenn der Betroffene mit Referenzdaten ermittelt werden kann. Erst bei absoluter Unmöglichkeit, einen Zusammenhang zwischen einem Datum und einer natürlichen Person herzustellen, fehlt es an der Bestimmbarkeit. Problematisch ist einerseits die Frage, ob auch eine „praktische Irrelevanz“ hierzu ausreicht, andererseits aber jene, ob von einer solchen angesichts der technischen Verknüpfungsmöglichkeiten, die moderne Computersysteme bieten, überhaupt noch gesprochen werden kann., vgl. Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13
Inwieweit braucht es konkretes Zusatzwissen, damit man von einem Personenbezug sprechen kann? Beispiel IP-Adresse: für Provider kann sie ohne Weiteres einem Nutzer zuordnen. Das ist bei Speicherung durch Dritte nicht der Fall.
EuGH (EuGH ZD 2017, 24 Rn. 46 ff): bei einem gesetzlichen Verbot oder einer praktischen Undurchführbarkeit aufgrund unverhältnismäßigem Aufwands ist das Risiko einer Identifizierung vernachlässigbar. (Aber: schon bei einem Anbieter von Onlinediensten in Bezug auf dynamische IP-Adressen ist ein solches Hindernis nicht gegeben), Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13
Die Verwendung des Begriffs „indirekt“ durch den Unionsgesetzgeber deutet darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht. Rn 41
Stand: 27.07.2022
Konkrete Ausführung der Frage:
Ein Dienstleister beschreibt in seinem AV folgenden Punkt:
7.3 im AVV
Durch Kontrollen entstehende Kosten trägt der Auftraggeber, dies umfasst auch eine Aufwandsentschädigung für die Arbeitszeit des vom Auftragnehmer beanspruchten Personals.
_______________________________________________________
Nach unserer Auffassung muss dieser Punkt aus dem AV gestrichen werden. Begründung: Aus der Verantwortlichkeit für die Einhaltung der datenschutzrechtlichen Anforderungen ergibt sich die Pflicht des Verantwortlichen, den Auftragsverarbeiter im erforderlichen Umfang zu überprüfen. Er muss sich grundsätzlich fortlaufend von der Einhaltung der zugesagten technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter überzeugen. Dementsprechend muss der Auftragsverarbeiter Überprüfungen ermöglichen und dazu beitragen (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO). Diese gesetzlich vorgeschriebene Mitwirkungspflicht darf grundsätzlich nicht von einem gesonderten Entgelt abhängig gemacht werden.
Art. 28 DSGVO Auftragsverarbeiter
„...
(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. 2Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. …“
Wir teilen Ihre Meinung!
Ein weiters Argument für diese Auffassung: Die Vergütungsklausel könnte eine unangemessene Benachteiligung nach § 307 Abs. 2 BGB darstellen, womit die Klausel auch AGB-rechtlich unzulässig wäre.
Begründung:
Bei Auftragsverarbeitungsverträgen nach Art. 28 DSGVO handelt es sich fast immer um vorformulierte Vertragsbedingungen. Es gibt im AGB-Recht nur enge Grenzen, innerhalb derer von den gesetzlichen Regelungen abgewichen werden dürfen. Da nach Art. 28 DSGVO grundsätzlich dem Auftraggeber das Recht zusteht, seine Kontrollmaßnahmen durchzuführen, kann ihm die Ausübung dieses Rechts nur in sehr engen Grenzen erschwert werden. Insbesondere die Übernahme der Personalkosten des Auftragsverarbeiters ist daher aus unserer Sicht mit der Regelung in Art. 28 Abs. 3 lit. h) DSGVO unvereinbar und damit eine unangemessene Benachteiligung i.S.d. § 307 Abs. 2 Nr. 1 BGB. Damit wäre diese Klausel unwirksam.
Drei Möglichkeiten:
Stand: 20.07.2022
Zur Sprache der Auskunft haben wir keine Vorgaben gefunden, aber zu den Informationspflichten nach DSGVO:
„Grundsätzlich müssen die Informationen für den jeweiligen Betroffenen nach Art. 12 Abs. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Hierzu gehört es, die Informationen in der gängigen Sprache des Landes zur Verfügung zu stellen, an das sich das Online-Angebot richtet. Die Europäischen Datenschutzaufsichtsbehörden gehen im Working Paper 260 unter Randziffer 13 davon aus, dass eine Übersetzung dann erfolgen sollte, wenn sich das Angebot an Personen mit einer entsprechenden Sprache richtet. Daraus folgt unsere Empfehlung, eine Übersetzung in jede Sprache des Landes vorzunehmen, an das sich der Onlineshop richtet. …
Sofern ein Online-Shop seine Waren in Europa nicht durchgängig in englischer Sprache, sondern auch in einzelnen Landessprachen der europäischen Union anbietet, muss er sicherstellen, dass die Datenschutzinformationen in der jeweiligen Landessprache vorgehalten werden und Auskunftsbegehren ebenfalls in der jeweiligen Landessprache erfolgen können.“
Stand: 20.07.2022
Art. 32 DSGVO: Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
§ 64 BDSG: Anforderungen an die Sicherheit der Datenverarbeitung
(3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:
1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),
2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),
9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),
10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).
Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke;
b) …“
Das heißt: der Verantwortliche ist zur Auskunft nach den gesetzlichen Vorgaben verpflichtet.
Betroffenenrechte: Recht auf
Diese Rechte sind abschließend. In Frage kommt hier nur Art. 15 DSGVO.
Dieser umfasst keine Auskunft über TOMs.
Stand: 20.07.2022
Zu beachten:
Ja, es ist innerhalb der gesetzten Frist Stellung zu nehmen. Der Antwortbogen ist online unter www.lda.bayern.de/kontrolle auszufüllen und Begründungen sind ebenfalls online einzureichen.
Keine schriftliche Einreichung nötig!
Die Handreichung durchlesen und eventuelle Begründungen damit abgleichen.
Den IT-Sicherheitsbeauftragten und den Datenschutzbeauftragten in die Antwort miteinbinden.
Stand: 20.07.2022
Ich bin Vermieter einer Privatwohnung, die von einer WEG verwaltet wird.
Ist die DSGVO für mich als Vermieter anwendbar? Was muss ich als Vermieter alles einhalten?
LG Wiesbaden, Urteil vom 30.09.2021 - 3 S 50/21
Sachverhalt:
Folge aus dem Urteil des LG Wiesbaden, Urteil vom 30.09.2021 - 3 S 50/21
Diese rechtliche Würdigung kann kritisch gesehen werden, vor allem, wenn steuerrechtlich eine private Vermögensverwaltung gegeben ist.
Stand: 13.07.2022
BGB: § 312k Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr
Vertrag zwischen Unternehmer und Verbraucher: Definition des Unternehmers in § BGB 14 :
Vereine fallen darunter.
Begründung eines Dauerschuldverhältnisses: Mitgliedschaft ist ein Dauerschuldverhältnis
Vertrag muss im elektronischen Geschäftsverkehr abgeschlossen worden sein:
Definition in BGB: § 312i Allgemeine Pflichten im elektronischen Geschäftsverkehr
(1) Bedient sich ein Unternehmer zum Zwecke des Abschlusses eines Vertrags über die Lieferung von Waren oder über die Erbringung von Dienstleistungen der Telemedien (Vertrag im elektronischen Geschäftsverkehr), hat er dem Kunden
--> Vereinsmitgliedschaft ist keine Ware und auch keine Dienstleistung!
--> kein Kündigungsbutton erforderlich!
Stand: 13.07.2022
Sowohl die DSGVO, das BDSG als aus das TTDSG schützen grundsätzlich personenbezogene Daten beim Website-Besuch. Die Regelungen im TTDSG stammen ursprünglich aus dem IT-Sicherheitsgesetz (das Regelungen für das TMG (alte Fassung) enthielt).
§ 19 Abs. 4 TTDSG regelt, dass Sicherheits-Vorkehrungen für Telemedien zu treffen sind. „Eine Vorkehrung nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“
Mögliche Ansprüche, wenn eine besuchte Website nicht mit dem https-Protokoll verschlüsselt ist:
Vorgehensweise (wahlweise oder kumulativ):
Art. 19 Abs.1 TTDSG dürfte dabei ein einklagbares Recht darstellen.
Sowie Beschwerde bei der Aufsichtsbehörde, vgl. § 28 Abs. 1 Ziff. 10 TTDSG.
Stand: 13.07.2022
Inhalt:
„Aufgrund ihrer Vorbildfunktion stehen öffentliche Stellen zuvörderst im Fokus. Deshalb werden die Mitglieder der DSK im Rahmen ihrer Zuständigkeit
Dieser Nachweis betrifft vor allem
Ein nicht rechtskonformer Betrieb einer Fanpage wäre im nicht-öffentlichen Bereich wohl bußgeldbewehrt.
Gegen öffentliche Stellen können jedoch keine Bußgelder verhängt werden --> somit kein Druck seitens öffentlicher Stellen, ihre Facebook Fanpages zu deaktivieren?
Stand: 06.07.2022
Gesetzesentwurf (Landtags-Drucksache 18/19572)
Was soll das Bayerische Digitalgesetz bringen?
Ab wann gilt das neue Bayerische Digitalisierungsgesetz?
Der Gesetzesentwurf der Staatsregierung über die Digitalisierung im Freistaat Bayern (Bayerisches Digitalgesetz – BayDiG) (Drucksache 18/19572) ist noch nicht verabschiedet.
Ab wann das Gesetz in Kraft tritt, ist daher noch unklar.
Stand: 06.07.2022
Der Sachverhalt beschreibt wahrscheinlich einen Asset-Deal. Bei Asset-Deals gibt es einen neuen Verantwortlichen im Sinne des Art. 4 Ziff. 7 DSGVO (im Gegensatz zum Share-Deal, bei dem lediglich Anteile des Unternehmen veräußert werden und deshalb der Verantwortliche gleich bleibt).
Beim Asset-Deal braucht man somit eine Anspruchsgrundlage, um die personenbezogenen Daten auf das neue Unternehmen übertragen zu können.
Mögliche Anspruchsgrundlagen:
1. Einwilligung, Art. 6 Absatz 1 Satz 1 lit. a DSGVO: oft schwierig umzusetzen in der Praxis
2. Bei Bestandkunden mit laufenden Verträgen oder zur Aufbewahrung der Kundendaten: Art. 6 Abs. 1 Satz 1 lit. b DSGVO
3. Widerspruchslösung bei berechtigtem Interesse: Art. 6 Abs. 1 Satz 1 lit. f DSGVO, sofern die Übertragung der Daten erforderlich ist und die Interessen der jeweiligen Betroffenen nicht überwiegen. Interessenabwägung!
Egal auf welche Rechtsgrundlage die Übertragung gestützt wird: Art. 13, 14 DSGVO sind in jedem Fall einzuhalten à Information an Betroffenen innerhalb eines Monats.
Ergebnis: Ja, Information ist in jedem Falle notwendig.
Eventuell.
Falls ja, ist bereits vor der Übertragung der Daten jeder Betroffene anzuschreiben und nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO im Wege der Widerspruchslösung
(Opt-out-Modell) mit einer ausreichend bemessenen Widerspruchsfrist
(in jedem Fall 4, besser 6 Wochen) zu informieren.
Stand: 06.07.2022
Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, dass er sich abbilden ließ, eine Entlohnung erhielt.
Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c)….
(1) …
(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung hat schriftlich oder elektronisch zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.
Inhalt der Einwilligung:
Die Einwilligung im Arbeitsverhältnis muss zudem freiwillig sein:
Eine Einwilligung im Arbeitsverhältnis kann nur dann freiwillig sein, wenn der Arbeitnehmende eine Wahl hat und ihm/ihr keine Konsequenzen drohen, falls er/sie die Einwilligung verweigert.
Kommen statt der Einwilligung evtl. die berechtigten Interessen des Arbeitgebers als Rechtsgrundlage für das Fotografieren und die Veröffentlichung in Betracht, vgl. Art. 6 Abs. 1 lit. f DSGVO?
§ 26 BDSG sperrt nicht die Anwendbarkeit von Art. 6 Abs. 1 lit. f DSGVO, sondern ergänzt nur die Vorschriften des Art. 6 DSGVO nach Art. 88 DSGVO.
Damit stellt sich die Frage, ob das wirtschaftliche Interesse des Arbeitgebers an der Veröffentlichung der Portraits seiner Vertriebsmitarbeiter das Datenschutzinteresse der Mitarbeiter überwiegt. Mit der Veröffentlichung der Fotos verfolgt das Unternehmen den Zweck, den Kunden einen persönlichen Ansprechpartner zu bieten. Gerade, wenn die Konkurrenz Portraitfotos veröffentlicht, könnte es einen (erheblichen?) Wettbewerbsnachteil für das Unternehmen darstellen, wenn es selbst keine Bilder veröffentlicht.
Gegen ein das Datenschutzrecht der Mitarbeiter überwiegendes Verarbeitungsinteresse spricht, dass es sich um Bilder von Personen handelt. Das Recht der Mitarbeiter auf informationelle Selbstbestimmung ist im Hinblick auf die höhere Sensibilität von Fotos (wohl) höher anzusetzen. So werden Bilder heutzutage von Unternehmen wie Clearview AI massenweise über öffentlich zugängliche Webseiten gesammelt und in einer riesigen Datenbank zusammengefügt. Dem Arbeitnehmer kann (wohl) nicht aufgebürdet werden, dass er mit einer Veröffentlichung nur allein deshalb rechnen muss, weil er im Vertrieb des Unternehmens tätig ist.
Den Abschluss des Arbeitsvertrages von einer Einwilligung in die Veröffentlichung Portraits abhängig zu machen, ist (wohl) ebenfalls rechtswidrig. Eine solche Einwilligung wäre nicht als freiwillig anzusehen. Dies ergibt sich aus den in § 26 Abs. 2 BDSG niedergelegten Rechtsgedanken sowie aus dem in Art. 7 Abs. 4 DSGVO kodifizierten Kopplungsverbot, das zwar möglicherweise nicht direkt anwendbar ist („Erfüllung des Vertrages“ und nicht „Begründung“), dessen Gedanke aber ebenfalls herangezogen werden kann und ein gewichtiges Argument gegen die Freiwilligkeit einer solchen Einwilligung durch den Arbeitnehmer darstellt.
Grundsätzlich sind Tiere zwar keine Sachen, werden laut § 90a BGB aber wie Sachen behandelt. Mit dem Verbreiten von Tierfotos hat sich das Amtsgericht Köln (AG Köln Urt. v. 22.6.2010 – 111 C 33/10) in dem Fall des „Rinderkalbes Anita“ ausführlich beschäftigt. Das Amtsgericht hat festgestellt, dass weder durch das Fertigen der Fotos noch durch deren Verbreitung die Eigentümerin des Kalbes in ihren Rechten verletzt wurde, denn beides stellt keine Einwirkung auf das Eigentum als solches dar.
Zwar kann in der unzulässigen Verbreitung von Fotos grundsätzlich eine Verletzung des allgemeinen Persönlichkeitsrechts liegen, hierfür ist jedoch immer ein Bezug zur menschlichen Persönlichkeit erforderlich, d.h. dass sich Rückschlüsse auf die Persönlichkeit des Rechtsgutinhabers ziehen lassen.
Auf dem eigenen Grund und Boden hat der Eigentümer das Hausrecht. Er kann daher auch bestimmen, ob Besucher dort Fotos machen können. Hält man sich auf einem fremden Grundstück auf, empfiehlt es sich also, den Eigentümer bzw. Bewohner, um Erlaubnis zu fragen, bevor man seine Tiere fotografiert.
Das Fotografieren fremder Gebäude ohne die Berechtigung des Eigentümers sowie die anschließende Verbreitung dieser Fotos, wird von der Rechtsprechung differenziert beurteilt:
Unabhängig vom Verwendungszweck liegt keine Eigentumsverletzung vor, wenn die Fotos von einer allgemein zugänglichen Stelle aus geschossen werden. Denn der Vorgang des Fotografierens selbst wirkt sich in diesem Fall in keiner Weise auf die Sache aus, vgl. BGH NJW 1989, 2251, Rn. 2252. Die Rechtsprechung orientiert sich insofern an § 59 I 1 UrhG, nach dem es erlaubt ist, Werke nach § 2 UrhG,
„die sich bleibend an öffentlichen Wegen, Straßen oder Plätzen befinden […] durch Lichtbild […] zu vervielfältigen, zu verbreiten und öffentlich wiederzugeben“.
Die Rechtsprechung überträgt die urheberrechtliche Wertung kurzerhand auf das Eigentumsrecht und gesteht dem Eigentümer (nur) dieselben Rechte zu wie dem Urheber. Die Aneignung des in der Sache verkörperten geistigen Werks durch Abbildung und Reproduktion der äußeren Gestalt, greift nicht in den Schutzbereich des Eigentums ein, denn es gibt kein „Recht am Bild der eigenen Sache“.
Achtung: Dies gilt nicht, sofern die Fotos nur angefertigt werden können, indem der Fotograf zuvor ein dem Gebäudeeigentümer gehörendes Privatgrundstück betreten muss, denn sonst dringt der Fotograf in den durch § 903 BGB geschützten Bereich des Eigentümers ein.
Stand: 10.05.2023
Ausführliche Informationen über den Google Tag Manager finden Sie in unserem Blog.
Man findet oft folgende Hinweise:
1. Gemäß §55 Abs. 2 RStV
2. Gemäß §18 Abs. 1 MStV
3. Gemäß § 6 MDStV
Die Pflicht zur Angabe des Verantwortlichen ergibt sich aus § 5 TMG. Der Mediendienste-Staatsvertrag (MDStV) trat 2007 außer Kraft und wurde komplett ersetzt durch das TMG.
Zusätzlich gibt es die Pflicht, den redaktionell-journalistisch Verantwortlichen zu benennen (sofern vorhanden). Hier ist richtig der Hinweis auf § 18 Abs. 2 MStV. Er hat § 55 Abs. 2 RStV abgelöst, der Rundfunkstaatsvertrag wurde am 07.11.2020 aufgehoben.
Impressum nach § 5 TMG:
Beispiel für ein korrektes Impressum
Zusätzlich muss beachtet werden, dass nach § 5 Abs. 2 TMG „weitergehende Informationspflichten nach anderen Rechtsvorschriften unberührt bleiben“. Somit ist auch ein Hinweis auf die Online-Streitbeilegungsplattform der Europäischen Kommission und ob eine Teilnahme daran in Betracht kommt, notwendig. Dies ergibt sich aus Art. 14 I S. 1 VO (EU) Nr. 524/2013, § 36 VSBG. Der Link zur Plattform muss leicht auffindbar sein, sodass sich die Platzierung im Impressum anbietet.
Stand: 29.06.2022
Folgende Ausführungen wurden zur Erläuterung, man brauche keinen AV-Vertrag, gegeben:
NDL (=Neuer DienstLeister) als Datenverantwortlicher
Bei einer möglichen Zusammenarbeit fungiert NDL technisch gesehen nicht als Datenverarbeiter. NDL ist ein für die Verarbeitung Verantwortlicher, der die Zwecke und Mittel der Verarbeitung festlegt. Dies schränkt unsere Bereitschaft oder Verpflichtung, die Anforderungen der DSGVO zu erfüllen und den Schutz der Rechte der betroffenen Personen zu gewährleisten, nicht ein, ganz im Gegenteil.
Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) verlangt nur dann einen Vertrag, der für den Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen verbindlich ist und in dem die Einzelheiten der Verarbeitung festgelegt sind, wenn die Verarbeitung im Auftrag eines für die Verarbeitung Verantwortlichen erfolgt (Art. 28 Abs. 1 und 3 DSGVO). Dies gilt nicht, wenn der Auftragnehmer in eigener Verantwortung über die Art und Weise der Datenverarbeitung entscheiden soll.
NDL ist ein unabhängiges Unternehmen, das es seinen Nutzern ermöglicht, über seine Online-Plattform sowie über die Anwendungen für mobile Geräte Transport- oder Reisedienstleistungen zu buchen. Als solches bestimmt NDL auch im Vertragsverhältnis mit dem Kunden in eigener Verantwortung und in eigenem Interesse, zu welchen Zwecken und mit welchen Mitteln personenbezogene Daten verarbeitet werden. NDL entscheidet also, "warum" und "wie" die personenbezogenen Daten über seine Plattformen verarbeitet werden sollen.
Auf dieser Grundlage ist NDL ein für die Verarbeitung Verantwortlicher und nicht der Auftragsverarbeiter im Namen eines Kunden, denn:
Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.
Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.
Es ist in jedem Einzelfall zu prüfen, ob der Schwerpunkt der Leistung eines Vertragspartners in der Verarbeitung personenbezogener Daten liegt. Ist das der Fall, muss (ggf. zusätzlich zum Leistungsvertrag) ein AV-Vertrag abgeschlossen werden. Ist das nicht der Fall, reicht der Abschluss des Vertrages, der die Erbringung der Leistungen zum Gegenstand hat und es muss kein AV-Vertrag abgeschlossen werden.
Stand: 29.06.2022
Was steht im Urteil vom LAG Schleswig-Holstein: 6 Ta 49/22 vom 01.06.2022?
Beschluss des LAG Schleswig-Holstein: 6 Ta 49/22 vom 01.06.2022
Sachverhalt:
Die Klägerin wandte sich mit dem Verfahren gegen die (teilweise) Versagung von Prozesskostenhilfe. Die Klägerin hatte im Pflegedienst der Beklagten als Pflegehelferin gearbeitet. Sie hatte während des Arbeitsverhältnisses an einem 36-sekündigen Werbevideo teilgenommen. Sie ist in dem Video zunächst unscharf und ab Sekunde 0:11 in Ganzkörperaufnahme zu sehen, wie sie in ein Auto einsteigt, auf dem „Wir suchen Pflegekräfte“ zu lesen ist und ein Audio-Overlay sagt „Steige jetzt mit ein!“. Später ist die Klägerin deutlich und in Portraitgröße im Auto sitzende zu erkennen, während das Audio-Overlay „zwischenmenschliche Beziehungen“ anpreist. Die Klägerin hatte sich nur mündlich zum Videodreh bereit erklärt. Die Beklagte hatte die Klägerin nicht vorab über den Zweck der Datenverarbeitung und ihr Widerrufsrecht in Textform informiert. Die Beklagte veröffentlichte das Video im Internet auf der Plattform „YouTube“. Die Klägerin hatte im arbeitsgerichtlichen Verfahren Unterlassungs- und Schmerzenzgeldansprüche in Höhe von EUR 6.000,- geltend gemacht, das Verfahren endete mit einem (uns unbekannten) Vergleich.
Mit dem vorliegenden verfahren wandte sich die Klägerin gegen die Versagung von Prozesskostenhilfe (diese wurde bezüglich des Schmerzensgeldanspruchs auf einen Gegenstandswert von EUR 2.000,- festgelegt).
Mit Beschluss hat das Arbeitsgericht der Klägerin Prozesskostenhilfe bewilligt, für ihren Antrag auf Zahlung von Schmerzensgeld, dies jedoch nur bis zu einer Höhe von 2.000,00 EUR.
Angesichts der konkreten Umstände des Einzelfalls lag für den der Klagforderung zugrundeliegenden Verstoß die Obergrenze einer noch vertretbaren Höhe des begehrten Schmerzensgelds bei 2.000,00 EUR.
--> EUR 2000,- sind angemessene Obergrenze
Stand: 29.06.2022
Ausführliche Informationen über Google AdWords finden Sie in unserem Blog.
Art. 17 - Recht auf Löschung ("Recht auf Vergessenwerden")
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
Widerspruch gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
Nein, ein Antrag auf Löschung kann formlos erfolgen
(d.h. auch per Telefon, per E-Mail oder schriftlich).
Grundsätzlich:
Einem Löschantrag muss unverzüglich (ohne schuldhaftes Zögern) nachgekommen werden.
Die Antwort, dass ordnungsgemäß gelöscht wurde (oder dass eine Löschung noch nicht möglich ist (z.B. weil Aufbewahrungsverpflichtungen aus gesetzlichen Gründen bestehen)), sollte in jedem Fall in Textform (also mindestens E-Mail) erfolgen.
Vor allem:
1. Prüfen, wer die Rechte geltend macht? Z.B. bei Todesfall: ist die Person Erbe und daher befugt, den Widerruf einer Einwilligung zu beantragen? Anderenfalls muss aber ohnehin geprüft werden, ob noch eine Rechtsgrundlage besteht, die Daten aufzubewahren.
2. Welche Daten sind eigentlich wo gespeichert: Überblick verschaffen 3. Antwort verfassen mit Bestätigung oder Ablehnung der Löschung
Stand: 22.06.2022
Gesetzlich gilt folgende Regelung für Bußgelder:
Maximal 10 Millionen Euro oder 2 % des Jahresumsatzes bei leichten Verstöße bzw. 20 Millionen Euro oder 4 % des Jahresumsatzes bei schweren Verstößen.
Realistisch gesehen gilt folgendes:
Je nach Größe des Unternehmens: EUR 100 bis einige Tausend Euro Bußgeld, allerdings ohne vorherige kostenlose Verwarnung.
Stand: 22.06.2022
Das BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) ist zuständig für
Der BayLfD (Bayerischer Landesbeauftragter für den Datenschutz) ist zuständig für
Anwendbares Recht: DSGVO und BayDSG
Für öffentliche Einrichtungen ist der BayLfD der primäre Ansprechpartner. Wenn der Träger der jeweiligen Einrichtung jedoch ein privates Wirtschaftsunternehmen ist, ist das BayLDA zuständig.
Stand: 22.06.2022
Anbringen von Videokameras auf privaten Grundstücken:
Hierzu auch BGH, Urteil vom 16. 3. 2010 - VI ZR 176/09 (LG Potsdam):
Nach Ansicht des erkennenden Senats kommt es insoweit auf die Umstände des Einzelfalls an. Die Befürchtung, durch vorhandene Überwachungsgeräte überwacht zu werden, ist dann gerechtfertigt, wenn sie auf Grund konkreter Umstände als nachvollziehbar und verständlich erscheint, etwa im Hinblick auf einen eskalierenden Nachbarstreit (vgl. OLG Köln, NJW 2009, NJW Jahr 2009 Seite 1827 = NZM 2009, NZM Jahr 2009 Seite 600) oder auf Grund objektiv Verdacht erregender Umstände. Liegen solche Umstände vor, kann das Persönlichkeitsrecht des (vermeintlich) Überwachten schon auf Grund der Verdachtssituation beeinträchtigt sein. Allein die hypothetische Möglichkeit einer Überwachung durch Videokameras und ähnliche Überwachungsgeräte beeinträchtigt hingegen das allgemeine Persönlichkeitsrecht derjenigen, die dadurch betroffen sein könnten, nicht. Deshalb ist die Installation einer Überwachungsanlage auf einem privaten Grundstück nicht rechtswidrig, wenn objektiv feststeht, dass dadurch öffentliche und fremde private Flächen nicht erfasst werden, wenn eine solche Erfassung nur durch eine äußerlich wahrnehmbare technische Veränderung der Anlage möglich ist und wenn auch sonst Rechte Dritter nicht beeinträchtigt werden.
Was, wenn Videokameras den öffentlichen Bereich mitumfassen?
Im vorliegenden Fall war die Videoaufzeichnung wohl zulässig, da es um den Schutz des Gartenzauns (Eigentum) ging
Darf die Videoaufzeichnung auf Social-Media gepostet werden?
Abwägungsfrage. Zum Beispiel bleiben auch rechtswidrig von Privaten erlangte Beweismittel grundsätzlich im Strafverfahren verwertbar. Das heißt: sogar wenn die Veröffentlichung des Videos so sehr gegen die Persönlichkeitsrechte des Täters verstoßen würde, dass eine Veröffentlichung datenschutzrechtlich unzulässig wäre, würde das Ergebnis der Suche zivil- und strafrechtlich verwertet werden dürfen.
Siehe hierzu auch BGH, Urteil vom 15.5.2018 – VI ZR 233/17
1. Die permanente und anlasslose Aufzeichnung des Verkehrsgeschehens ist mit den datenschutzrechtlichen Regelungen des Bundesdatenschutzgesetzes nicht vereinbar.
2. Die Verwertung von so genannten Dashcam-Aufzeichnungen, die ein Unfallbeteiligter vom Unfallgeschehen gefertigt hat, als Beweismittel im Unfallhaftpflichtprozess ist dennoch zulässig.
Stand: 22.06.2022
Ein Hersteller fragt bei einem Händler nach Kundendaten, um eine Rückrufaktion durchzuführen. Es handelt sich um einen Staubsauger, bei dem ein Bauteil aufgrund von Überhitzung zu einem Brand führen kann („ernstzunehmendes Risiko“).
Keine einheitliche Regelung! Rechtsgrundlagen ergeben sich aus:
Stand: 01.06.2022
--> Aushang des Dienstplans ist nur bei Vorliegen einer Rechtsgrundlage erlaubt
Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) …
§ 26 BDSG - Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.
Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.
Bei Einwilligung ist also die gesetzliche Voraussetzung in jedem Fall erfüllt.
Art. 6 Abs. 1 lit. b) DSGVO: Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist …
Hier: Arbeitsvertrag
Argumente für Veröffentlichung der Schichtpläne:
--> Es muss also Abwägung stattfinden!
Zu beachten:
Stand: 01.06.2022
In welchen Fällen kann sich bei der Rechtsgrundlage der Verarbeitung auch auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden?
Aus dem Beschluss hierzu:
Nach Art. 6 Abs.1 Satz 1 Buchstabe b) DS-GVO ist nur die Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige
Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich.
Aber:
Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kund*innenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.
Wichtig:
der DSK-Beschluss ist nicht rechtsverbindlich, sondern nur eine Rechtsauffassung.
Wer ihn trotzdem einhalten möchte:
Verträge:
GoBD = Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
Folgende Grundsätze müssen laut BfDI eingehalten werden:
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Über diesen Zugang dürfen nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten und Informationen der Kund*innen erfasst werden.
Nach Vertragserfüllung nicht mehr benötigte Daten müssen gemäß Art. 17 Abs. 1 lit. a) DS-GVO unverzüglich gelöscht werden.
Werden die Daten im Übrigen nur noch im Rahmen spezialgesetzlich geregelter Aufbewahrungsplichten verarbeitet, z.B. aus dem Handels- oder Steuerrecht, sind technisch-organisatorische Maßnahmen zu ergreifen, um diese Daten von den Daten im operativen Zugriff zu trennen (Datensperrung).
Ein Zugriff der Kund*innen auf die Daten oder das Hinzuspeichern von weiteren Daten durch die Verantwortlichen sind bei einem Gastzugang nicht vorgesehen.“
Stand: 01.06.2022
Die dänische Datenschutzbehörde stellt fest, dass die Danske Bank nicht in der Lage war zu dokumentieren, dass sie personenbezogene Daten gemäß den Datenschutzbestimmungen gelöscht hat. Die Behörde hat der Bank daher eine Geldstrafe von 10 Millionen DKK auferlegt.
Bei einem aufsichtsrechtlichen Verfahren der dänischen Datenschutzbehörde hat sich herausgestellt, dass die Bank in mehr als 400 Systemen nicht in der Lage war, zu dokumentieren, dass Regeln für die Löschung und Speicherung personenbezogener Daten festgelegt wurden oder dass personenbezogene Daten manuell gelöscht wurden. Diese Systeme verarbeiten personenbezogene Daten von Millionen von Menschen.
„Eine der Grundprinzipien der DSGVO ist, dass man nur personenbezogene Daten verarbeiten darf, die man benötigt – und wenn man sie nicht mehr benötigt, müssen sie gelöscht werden. Bei einer Organisation von der Größe der Danske Bank, die über viele und komplexe Systeme verfügt, ist es besonders wichtig, dass man auch dokumentieren kann, dass die Löschung tatsächlich erfolgt ist“, sagt Kenni Elm Olsen, Fachberater bei der dänischen Datenschutzbehörde.
Stand: 01.06.2022
Vorangehende BGH-Entscheidung:
Eine Verbraucherzentrale hatte 2012 gegen Facebook Ireland wegen unrechtmäßiger Datenverarbeitungen von Facebook-Nutzern geklagt. Der BGH legte die Frage, ob ein Verband für seine Mitglieder klagen darf (auch wenn es keinen entsprechenden Auftrag eines verletzten Verbrauchers gibt nach Art. 80 Abs. 1 DSGVO und auch wenn der klagende Verband keine Verletzung eines konkreten Verbrauchers tatsächlich nachweisen kann nach Art. 80 Abs. 2 DSGVO) dem EuGH vor. Dies war also eine Frage der Klagebefugnis des Verbands.
Konkret musste der EuGH damit also klären, ob ein vom konkreten Verletzungsfall unabhängiges Verbandsklagerecht existiert.
Für die Klagebefugnis eines Verbands genügt ein feststellbarer Verstoß gegen die DSGVO, wenn dieser grundsätzlich geeignet ist, die Rechte identifizierter und identifizierbarer Personen zu verletzen. Einer Einzelfallprüfung, ob tatsächlich eine Verletzung stattgefunden hat, bedarf es nicht.
Stand: 01.06.2022
Art. 17 DSGVO regelt die Löschung von Daten.
Diese Punkte sollten in einem Löschkonzept berücksichtigt werden:
Es gibt kein universelles Muster für ein Löschkonzept.
Jedes Löschkonzept ist unternehmensspezifisch, und kann auch je nach Abteilung sehr unterschiedlich aussehen.
Löschkonzept Schritt für Schritt in einer Excel-Tabelle erstellen:
Alle Punkte der vorherigen Folie Punkt für Punkt durchgehen und sich von Unternehmensbereich zu Unternehmensbereich vorarbeiten.
Stand: 25.05.2022
Art. 15 DSGVO:
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a)die Verarbeitungszwecke;
b) …“
Das heißt: nur der Verantwortliche ist zur Auskunft verpflichtet, nicht der Auftragsverarbeiter.
Siehe auch Paper des Landesbeauftragten für den Datenschutz in Niedersachsen:
Und: Zur Auftragsverarbeitung ist in Art. 28 Abs. 3 lit. e DSGVO geregelt:
Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
Ergebnis:
Auftragsverarbeiter ist nicht gesetzlich zur Auskunft verpflichtet, das ist nur der Verantwortliche. Aber er ist im Innenverhältnis dem Verantwortlichen gegenüber ggf. zur Unterstützung bei der Auskunftserteilung verpflichtet. Der Verweis auf den Verantwortlichen ist damit ausreichend und richtig!
Es gibt sogar die Auffassung, dass der Auftragsverarbeiter Auskunftsanfragen von Betroffenen nicht beantworten darf, weil Auftragsverarbeiter als Auftragnehmer Betroffenenrechte nicht ohne Vereinbarung bzw. Weisung des Verantwortlichen ausüben dürfen. Die Daten stehen in Verantwortung des Auftraggebers/Verantwortlichen. Diese Auffassung ist sehr gut vertretbar!
Gola/Heckmann/Werkmeister BDSG § 34 Abs. 1 Nr. 2b) - Datensicherung und Datenschutzkontrolle (lit. b):
„Eine Ausnahme vom Auskunftsrecht kann ebenfalls gemäß Abs. 1 Nr. 2 lit. b hinsichtlich ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienenden Daten begründet werden. …“
„Zur Datensicherung dienende Daten werden in der Regel gespeichert, um einen für einen anderen Zweck tatsächlich benötigten Datenbestand im Falle des Verlustes oder der Zerstörung wiederherstellen zu können. Ein typisches Beispiel sind etwa Sicherungskopien auf externen Speichermedien.“
„Zum Zwecke der Datenschutzkontrolle gespeicherte Daten können solche sein, die über durchgeführte Kontrollen Auskunft geben, wie etwa Protokolldateien. …“
--> Hier steht nichts vom Datenschutzbeauftragten!
Der Datenschutzbeauftragte ist nicht Verantwortlicher und ist daher nicht zur Auskunft nach Art. 15 DSGVO verpflichtet.
Stand: 25.05.2022
Grundsätzlich:
Aber:
Problematisch kann aber bereits das Laden von Skripten, Schriften und Trackern sein (insbesondere wird der DoubleClick Tracker von der Domäne doubleclick.net geladen, ohne dass das Video selbst angeklickt), wenn die Website aufgerufen wird. Auch diese brauchen nach § 25 TTDSG eine Einwilligung, wenn über sie eine Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, stattfindet. Dies geschieht wohl bereits beim Laden der Website an sich – und nicht erst des Videos.
Mehr dazu finden Sie hier.
Stand: 25.05.2022
Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG:
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Eine Anwaltskanzlei vertritt folgende Auffassung:
„Unter die unbedingte Erforderlichkeit des § 25 Abs. 2 Nr. 2 TTDSG kann nicht nur die technische Erforderlichkeit zur Bereitstellung des Dienstes fallen, sondern auch die Erforderlichkeit zur Einhaltung gesetzlicher Pflichten oder zur Erbringung vertraglich geschuldeter Leistungen. Erforderlich bleibt eine konkrete Einzelfallbetrachtung, welche auch den Spielraum des ausdrücklich vom Nutzer gewünschten Telemediendienstes berücksichtigt. Dem mancherorts geäußerten Wunsch, Regelbeispiele für die unbedingte Erforderlichkeit in den Wortlaut der Vorschrift mit aufzunehmen, ist der Gesetzgeber nicht nachgekommen. Auf Cookie-Ebene sind beispielweise Cookies zur dauerhaften Speicherung von Spracheinstellungen oder zum Anbieten einer Warenkorbfunktion typische Beispiele für die unbedingte Erforderlichkeit von Cookies.“
Dadurch dass die Website auch mit „schlechterer“ Ladezeit funktionieren würde, zählt dieser Cookie nicht zu den technisch notwendigen Cookies.
Hauptargument:
Die individuelle Einstellung von Websites (z.B. Spracheinstellung) kann zwar technisch notwendig sein, um dem Nutzerwunsch gerecht zu werden. Das gilt aber nur für die jeweils laufende Session (über den Session-Cookie). Bei Laufzeiten von 10 Jahren gilt dieses Argument nicht.
Ergebnis: Nur, wenn die Website ohne das Plugin bzw. die Programmierung überhaupt nicht aufrufbar wäre, würde „ecoMode“ zu den technisch notwendigen Cookies zählen – Einwilligung also einholen!
Stand: 25.05.2022
Art. 82 DSGVO regelt Haftung und Recht auf Schadenersatz.
(1)Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2)Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
Art. 82 DSGVO regelt, dass jede Person dem Grundsatz nach einen Anspruch auf Schadensersatz hat, wenn sich Unternehmen nicht an bestimmte Regeln der DSGVO halten.
Stand: 25.05.2022
Aus dem Grundsatz der Datenminimierung ergibt sich:
Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kund*innen unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen.
Grund:
Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich. Für Kund*innen, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist daher regelmäßig ein Gastzugang zu ermöglichen. Ein solcher Zugang verzichtet auf Registrierungs- bzw. Zugangsdaten (z.B. Benutzername/Passwort) für eine erneute Nutzung.
Aus dem Beschluss hierzu:
Nach Art. 6 Abs.1 Satz 1 Buchstabe b) DS-GVO ist nur die Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige
Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich.
Aber:
Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kund*innenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.
Wichtig:
der DSK-Beschluss ist nicht rechtsverbindlich, sondern nur eine Rechtsauffassung.
Wer ihn trotzdem einhalten möchte:
Verträge:
Stand: 18.05.2022
Postwerbung ist die einzige Werbung, die nicht im Grundsatz als „unzumutbare Belästigung“ angesehen wird. Postwerbung ist im Grundsatz also nach wie vor zulässig.
Ausnahme:
Hinweis auf dem Briefkasten, dass man keine Werbung erhalten will.
Offensichtliche Postwurfwerbung darf dann nicht eingeworfen werden.
Briefwerbung ist ein datenschutzrechtlicher Vorgang, wenn Name und Anschrift einer natürlichen Person im Empfängerfeld verarbeitet wird
--> Regeln der DSGVO müssen eingehalten werden.
Stand: 18.05.2022
Urteil des ArbG Köln (18. Kammer) vom 23.03.2022 – 18 Ca 6830/21
Konkreter Sachverhalt:
Die Mitarbeiterin arbeitet im Gesundheitssektor. Am 04.10.2021 wurden alle Mitarbeiter - darunter auch die Klägerin - im Rahmen einer Institutskonferenz darüber informiert, dass ab dem 01.11.2021 nur noch vollständig geimpfte Mitarbeiter Kundentermine vor Ort wahrnehmen dürften. Die Beklagte bat darum, dass die Teamleiter im vertrauensvollen Austausch mit ihren Teammitgliedern erkunden, welche Mitarbeiter die Voraussetzungen erfüllen. Am 04. oder 05.10.2021 erklärte die Klägerin gegenüber ihrem Teamleiter ... sie sei „mittlerweile geimpft“ und zum Thema Einsatz beim Kunden in Präsenz wörtlich: „Alles safe“.
Die Klägerin setzte danach ihre Präsenzbesuche in den Kundenunternehmen - darunter auch Pflegeeinrichtungen für Senioren - fort. Nach dem 01.11.2021 absolvierte die Klägerin neun Außentermine, davon vier in Seniorenheimen. Nach Veröffentlichung einer Änderung des Infektionsschutzgesetzes, wonach ab dem 24.11.2021 der Zutritt zum Betrieb nur noch mit gültigem 3-G-Nachweis zulässig war, informierte die Beklagte mit Email vom 22.11.2021 (Anlage …) die Belegschaft über die entsprechende Handhabe im Betrieb. Ein etwaiger Impfnachweis könne durch Screenshot des digitalen Nachweises oder durch Vorlage des Impfausweises erfolgen. Es wurde darauf hingewiesen, dass eine Kopie für die Dokumentation gefertigt werden würde.
Die Klägerin legte am 03.12.2021 ihren Impfausweis bei der Personalabteilung der Beklagten zur Erstellung einer Kopie vor. Auf Nachfrage der Personalreferentin, ob sie auch einen QR-Impfcode habe, erklärte sie, dass sie ein digitales Impfzertifikat nur auf ihrem privaten Mobiltelefon gespeichert habe, welches sie aktuell nicht dabei habe. Da der Beklagten mangels QR-Code eine Gültigkeitsüberprüfung des Impfnachweises mittels der App CovPassCheck nicht möglich war, unterzog die Personalreferentin die Impfausweise von acht Mitarbeitern, die (nur) ihren Impfpass vorgelegt hatten, einer Chargenabfrage.
Aus den Urteilsgründen:
Die außerordentliche fristlose Kündigung der Beklagten vom 13.12.2021 ist durch einen wichtigen Grund im Sinne von § BGB § 626 Abs. BGB § 626 Absatz 1 BGB gerechtfertigt.
Demnach kann das Arbeitsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist (nur) dann gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Arbeitsverhältnisses selbst bis zum Ablauf der Kündigungsfrist nicht zugemutet werden kann. Dabei ist zunächst zu prüfen, ob der Sachverhalt ohne seine besonderen Umstände „an sich“ und damit typischerweise als wichtiger Grund geeignet ist. Alsdann bedarf es der weiteren Prüfung, ob dem Kündigenden die Fortsetzung des Arbeitsverhältnisses unter Berücksichtigung der konkreten Umstände des Falls und unter Abwägung der Interessen beider Vertragsteile - jedenfalls bis zum Ablauf der Kündigungsfrist - zumutbar ist oder nicht (vgl. nur BAG, Urteil vom 16. Juli 2015 - BAG Aktenzeichen 2AZR8515 2 AZR 85/15 -, Rn. BAG Aktenzeichen 2AZR8515 2015-07-16 Randnummer 21, juris).
Vorliegend sind diese Voraussetzungen für die Rechtfertigung der streitgegenständlichen Kündigung erfüllt.
Die Klägerin hat in schwerwiegender Weise ihre gegenüber ihrer Arbeitgeberin bestehenden vertraglichen Nebenpflichten (§ BGB § 241 Abs. BGB § 241 Absatz 2 BGB) verletzt und damit einen „an sich“ als Grund für eine außerordentliche Kündigung geeignete Pflichtverletzung begangen.
Verstöße gegen das Recht auf den durch Art. 8 Absatz 1 GRCh gebotenen Schutz der personenbezogenen Daten bzw. das aus Art. 2 Absatz 1 i. V. m. 1 Abs. 1 GG abzuleitende Recht auf informationelle Selbstbestimmung (vgl. BVerfG, Urteil vom 24. November 2010 - Aktenzeichen 1 BvF 2/05 -, BVerfGE 128, Seite 1 Randnummer 150 ff. mwN) können zu prozessualen Verwertungsverboten führen.
Das ist z.B. der Fall, wenn die dem Sachvortrag einer Partei zugrunde liegende Informations- oder Beweisbeschaffung das allgemeine Persönlichkeitsrecht der anderen Partei verletzt, ohne dass dies durch überwiegende Belange gerechtfertigt ist (= verfassungsrechtliches Verwertungsverbot“).
Vorliegend ist kein Verstoß gegeben, da die zu verwertenden Daten unter Einhaltung der einfachgesetzlichen Datenschutzvorschriften erlangt wurden, vgl. Art. 6 Absatz 1 Satz 1 lit. c DSGVO iVm. § 28b Absatz 3 Satz 3 IfSG in der vom 24.11. bis 11.12.2021 geltenden Fassung (aF).
Konkret aus dem Urteil zur Frage, ob die Erlangung der Informationen durch den Arbeitgeber rechtmäßig war:
„Unabhängig vom Vorliegen einer Einwilligung im Sinne von Artikel 6 Absatz 1 Satz 1 lit. a DSGVO war die Beklagte am 03.12.2021 berechtigt, den Impfstatus der Klägerin zu dokumentieren. Denn nach § 28B Absatz 3 Satz 1 IfSG aF war sie ab dem 24.11.2021 (das Datum der Mitarbeiterinformation hierzu (22.11.2021) ist insoweit ebenso irrelevant wie die von der Klägerin beklagte Uneindeutigkeit des entsprechenden Rund-Schreibens) gesetzlich verpflichtet, die Einhaltung der nach § 28B Absatz 1 Satz 1 IfSG aF geltenden 3-G-Zutrittsbeschränkung zum Betrieb zu überwachen und zu dokumentieren.
Nach § 28B Absatz 3 Satz 3 IfSG aF war ihr zu diesem Zweck die Verarbeitung der personenbezogene Daten der Mitarbeiter einschließlich der Daten zum Impfstatus erlaubt. Es ist nicht ersichtlich, dass die Klägerin den Impfausweis nicht zum Nachweis der Zutrittsvoraussetzungen nach § 28B Absatz 1 Satz 1 IfSG aF vorgelegt hätte. Jedenfalls konnte die Beklagte nicht davon ausgehen, dass sie trotz ihres positiven Impfstatus die Einhaltung der 3-G-Regel durch eine Testung (über-) erfüllen wollte. Dass die Nachweis-Vorlage auch der Kontrolle der Einhaltung der 2-G-Vorgabe für die von der Klägerin weiterhin durchgeführten Kunden-Präsenztermine dienen konnte, würde zusätzlich eine Rechtfertigung nach § 26 Absatz 1 Satz 1 BDSG bedeuten.
In Erfüllung der aus § 28B Absatz 3 Satz 1 IfSG aF folgenden Kontroll-Verpflichtung war die Beklagte nach Abs. 3 Satz 3 auch zur Verarbeitung durch Abgleich mit den öffentlich erhältlichen Daten der Chargenabfrage - welche selbst keine personenbezogenen Daten im Sinne von Artikel 4 Nummer 1 DSGVO bzw. des § 46 Nummer 1 BDSG enthielt - berechtigt. Nur so konnte die Beklagte mangels Vorlage des QR-Codes sicherstellen, dass tatsächlich der behauptete Impfstatus gegeben war.“
Stand: 18.05.2022
Auszug aus der Strafprozessordnung (StPO)
§ 94 Sicherstellung und Beschlagnahme von Gegenständen zu Beweiszwecken
(1) Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen.
(2) Befinden sich die Gegenstände in dem Gewahrsam einer Person und werden sie nicht freiwillig herausgegeben, so bedarf es der Beschlagnahme.
(3) …
(4) Die Herausgabe beweglicher Sachen richtet sich nach den §§ 111n und 111o.
Fall 1:
Strafverfolgungsbehörde (Polizei oder Staatsanwaltschaft) nimmt die Einsicht vor in Daten, die zu anderen Zwecken vorher erhoben wurdenà zulässig nach § 24 BDSG
§ 24 BDSG Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder
sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.
Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.
Fall 2:
Falls andere Stellen diese personenbezogenen Daten „nutzen“ à dann Vorgehen gemäß den Vorgaben der DSGVO nach „Datenverlust“
Sollte es eine Strafverfolgungshörde sein, die die Daten beschlagnahmt hat, dann wird sie nochmal wiederkommen und den Server zu beschlagnahmen.
Alternativ wird ein Auskunftsverfahren nach §§ 22, 23 TTDSG durchgeführt.
Laptop ist verschlüsselt (ob Kennwörter rausgegeben wurden, ist nicht bekannt)
Die Polizei wird vielleicht versuchen, den Administrator dazu zu bewegen, im Rahmen einer Zeugenaussage die Kennwörter herauszugeben. Alternativ wird auch hier ein Auskunftsverfahren nach §§ 22, 23 TTDSG durchgeführt.
Auch hier ist zu erwarten, dass die Staatsanwaltschaft/Polizei nochmal eventuell wegen des Servers wiederkommt.
Empfehlung:
Stand: 18.05.2022
Art. 21 DSGVO Widerspruchsrecht
(1)…
(2)Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
(3)Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Bei Widerspruch gegen Werbung wird eine diesbezügliche Verarbeitung der Daten unzulässig. Dazu gehören dann alle Arten von Werbung, insbesondere:
Antwort auf die oben gestellte Frage:
Bei einem Werbewiderspruch muss der Betroffene auch aus dem Newsletterverteiler genommen werden.
Stand: 11.05.2022
Ausführliche Infos zur Zulässigkeit von Werbung per E-Mail finden Sie in unserem Blog.
Sachverhalt:
Die Kläger wenden sich gegen die Beendigung eines Beschwerdeverfahrens durch die Berliner Beauftrage für Datenschutz und Informationsfreiheit.
Mit Schreiben vom Nov. 2019 forderte die Kirchensteuerstelle beim Finanzamt die Kläger auf, Angaben zur Religionszugehörigkeit ihrer beiden minderjährigen Kinder zu machen und übersandte hierzu jeweils einen Fragebogen. Die inhaltlich identisch aufgebauten Fragebögen enthielten Fragen zur Religionszugehörigkeit der Kinder.
Mit Schreiben vom 22. Dezember 2019 forderten die Kläger die Kirchensteuerstelle beim Finanzamt auf, die die Kinder betreffende Datenabfrage zukünftig zu unterlassen. Die Kirchensteuerstelle forderte die Kläger mit Schreiben vom 2. Januar 2020 ihrerseits zur Ausfüllung der Formulare auf.
Daraufhin erhoben die Kläger am 3. August 2020 Beschwerde bei der B. Beauftragten für Datenschutz und Informationsfreiheit. Zur Begründung trugen die Kläger vor, der Inhalt des Fragebogens sei datenschutzrechtlich unzulässig. Es handele sich um eine „anlasslose Rasterfahndung“ nach potentiellen Kirchenmitgliedern.
Mit Bescheid vom 16. September 2020 teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit mit, dass sie für die Überprüfung der Handlungen der Kirchensteuerstelle nicht zuständig sei. Sie begründete die Unzuständigkeit damit, dass die Verwaltung der Kirchensteuer der steuerberechtigten Religionsgemeinschaft obliege. Die Kirchen seien dabei durch sog. Kirchensteuerstellen bei den Finanzämtern beteiligt. Die Kirchensteuerstellen kümmerten sich um die Feststellung der subjektiven Kirchensteuerpflicht. Aufgrund von Art. EWG_DSGVO Artikel 91 Abs. EWG_DSGVO Artikel 91 Absatz 2 Datenschutz-Grundverordnung - DS-GVO - verfügten die Kirchen über spezifische Aufsichtsbehörden, an die die Beschwerde zu richten sei.
Mit Bescheid vom 5. Oktober 2020 wies die Berliner Beauftragte für Datenschutz und Informationsfreiheit die Beschwerde auch im Übrigen zurück. Zur Begründung führte sie aus, sie habe das Finanzamt ... um Stellungnahme gebeten. Das Finanzamt habe mitgeteilt, dass der von den Klägern dargestellte Sachverhalt unzutreffend sei und es keine Daten an die Kirchensteuerstelle weitergeleitet habe. Es könne mithin kein Verstoß gegen datenschutzrechtliche Bestimmungen festgestellt werden.
Mit ihrer Klage vom 12. November 2020 verfolgen die Kläger ihr Begehren weiter.
Aus den Entscheidungsgründen:
Der Bescheid der B. Beauftragten für Datenschutz und Informationsfreiheit vom 16. September 2020, nach dem die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegenüber der Kirchensteuerstelle keine aufsichtsrechtlichen Befugnisse habe, ist nicht zu beanstanden. Die Annahme der eigenen Unzuständigkeit erfolgte ermessensfehlerfrei. Der kirchliche Datenschutz unterliegt insoweit der kirchlichen und nicht einer besonderen staatlichen Aufsicht (1), vor allem ist das kirchliche Datenschutzrecht als umfassende Datenschutzregel im Sinne der DS-GVO zu verstehen (2). Die Kirchensteuerstelle unterliegt der Aufsicht der kirchlichen Aufsichtsbehörden (3) und die Aufsicht betrifft nicht nur Mitglieder der jeweiligen Religionsgemeinschaft (4).
Stand: 11.05.2022
Ursprünglich: Cookie-Wall, bei der der Nutzer die Inhalte einer Seite nur betrachten kann, wenn er der Setzung von Cookies zustimmt, ist unzulässig (BGH-Rechtsprechung zum Opt-Out).
Zulässig ist seit 2020 eine Cookie-Wall, wenn der Nutzer eine Alternative zur Einwilligung von Cookies hat (siehe BBH-Beitrag vom 03.06.2020), auch, wenn diese nur kostenpflichtig ist.
Dies resultiert vor allem aus der Einschätzung des edpd (European Data Protection Board, Leitlinie 05/2020 zur Einwilligung nach DSGVO, dort vor allem Rn. 38-41 und 86).
Damit eine Einwilligung freiwillig erteilt werden kann, darf der Zugang zu Diensten und Funktionen nicht von der Einwilligung eines Nutzers in die Speicherung von Informationen in seinem Gerät oder der Zugang zu bereits darin gespeicherten Informationen abhängig gemacht werden (sogenannte Cookie-Mauern bzw. Cookie-Walls).
Das heißt: ein kostenloses Angebot nur mit Setzung von Cookies ohne eine Alternative, ist wegen Verstoßes gegen das Merkmal der Freiwilligkeit der Einwilligung unzulässig.
Bei Kostenpflichtigkeit gilt: Da es keine gesetzliche Verpflichtung gibt, ein bestimmtes Telemediendiensteangebot kostenfrei anzubieten, ist die kostenpflichtige Alternative ohne Cookies zulässig.
Kostenlose „Cookie-Variante“: hier müssen alle gesetzlichen Vorgaben eingehalten werden. Also: Einwilligung bei nahezu allen Cookies und Tracking-Tools, außer, sie fallen unter die Ausnahme in Art. 25 TTDSG.
Antwort:
Grundsätzlich ja, wenn alle Vorgaben eingehalten werden.
Stand: 11.05.2022
Ausführliche Informationen über Font Awesome finden Sie in unserem Blog.
Ausnahmen für bestimmte Fälle, Art. 49 DSGVO
Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig: 1.die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.
Folgen aus dem Art. 49 Abs. 1 lit.a DSGVO:
Hinweis auf die Verarbeitung Ihrer erhobenen Daten in den USA durch Google, Airtable, Survey Sparrow: Indem Sie auf „Akzeptieren“ klicken, willigen Sie zugleich gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO ein, dass Ihre Daten in den USA verarbeitet werden. Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden, zu Kontroll- und zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können.
Antwort: Ja, sofern ein solcher Hinweis nicht nur ein Hinweis ist, sondern der Nutzer ausdrücklich für jeden Einzelfall eingewilligt hat. Bei der vorgeschlagenen Formulierung fehlt m.E. ein Hinweis auf das Nichtvorliegen von Betroffenenrechten und dass keine angesessenen Garantien für die USA vorliegen.
Antwort:
Nein!
Es braucht nach dem klaren Gesetzeswortlaut eine informierte Einwilligung.
Stand: 04.05.2022
Beschreibung nach Wikipedia:
"Ghostery ist eine Software, die den Anwender beim Surfen auf versteckte Dienste hinweist, die im Hintergrund private Daten an Seitenbetreiber übermitteln, und diese auf Wunsch blockiert. Das Programm ist als Software-Erweiterung für verschiedene Webbrowser Firefox, Safari, Chrome, Edge, Opera und Internet Explorer einsetzbar, sowie als eigenständige Webbrowser-App für Android und Apple iOS"
Anmerkungen:
Aus datenschutzrechtlicher Sicht nicht perfekt, aber der Einsatz an sich ist aus unserer Sicht unbedenklich.
Stand: 04.05.2022
1. Kritische Infrastrukturbetreiber
2. Digitale Dienste, wie
Definition:
Online-Shops, über die Einzelhändler ihre eigenen Waren vertreiben, sind keine Marktplätze im Sinne des § 2 BSIG.
Ein Online-Marktplatz ist eine Plattform, die als Dienstleistung eines Dritten einer Vielzahl von Verkäufern angeboten wird, um gebündelt ihre Waren an Käufer zu vermitteln. Normzweck ist der Schutz der quasi-infrastrukturellen Bedeutung des Marktplatzes. Fällt er aus, drohen wirtschaftliche Folgen für eine Mehrzahl von Verkäufern und Käufern, nicht nur für einen Einzelanbieter.
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)
§ 8c Besondere Anforderungen an Anbieter digitaler Dienste (1)Anbieter digitaler Dienste haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten. (2)Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme nach Absatz 1 Satz 1 müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Dabei ist folgenden Aspekten Rechnung zu tragen:
1. der Sicherheit der Systeme und Anlagen,
2. der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen,
3. dem Betriebskontinuitätsmanagement,
4. der Überwachung, Überprüfung und Erprobung,
5. der Einhaltung internationaler Normen.
(3) Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt zu melden.
Stand: 04.05.2022
BayVGH, Beschluss vom 07.03.2022, Az.: 4 CS 21.2254
Sachverhalt:
Ein Ehepaar wurde im Mai 2021 unter Anordnung des Sofortvollzugs dazu verpflichtet, einem
Beauftragten des kommunalen Wasserversorgungsunternehmens Zugang zu ihrer Wohnung zu
gewähren , um ihm die Überprüfung und erforderlichenfalls den Austausch des bisherigen
analogen Wasserzählers gegen einen digitalen Zähler mit Funkfunktion zu ermöglichen.
Das Paar wandte sich hiergegen mit einem Eilantrag und machten geltend, dass dem Betrieb von
Funkwasserzählern datenschutzrechtliche und gesundheitliche Bedenken entgegenstünden.
Nach Ablehnung des Eilantrags durch das Verwaltungsgericht erhoben die Antragsteller
Beschwerde zum BayVGH.
Der Beschluss des BayVGH
Aus der Begründung
Der vom Gesetzgeber nur unter engen Voraussetzungen zugelassene Einsatz von elektronischen Wasserzählern mit Funkfunktion verstößt nicht gegen höherrangiges Recht. Im fortlaufenden Betrieb solcher Messgeräte liegt weder ein unzulässiger Eingriff in das Recht auf informationelle Selbstbestimmung, noch ergeben sich auch nach derzeitigem Erkenntnisstand Gesundheitsgefahren für die Bewohner.
Der Betrieb eines Funkwasserzählers ist keine Verletzung des Grundrechts auf informationelle Selbstbestimmung. Auch wenn der Betrieb Rückschlüsse auf den Wasserverbrauch einzelner Personen ermöglichen sollte, ist die Verarbeitung der personenbezogenen Daten gerechtfertigt.
Die Versorgung mit Trinkwasser und die Messung des Verbrauchs mittels Wasserzählern sei eine zur Daseinsvorsorge gehörende gemeindliche Pflichtaufgabe und diene dem öffentlichen Interesse. Die Verarbeitung der Daten stelle keinen so schweren Rechtseingriff dar, dass bei einer Gesamtabwägung das Interesse des öffentlichen Wasserversorgers an der Nutzung der Funkwasserzähler zurückstehen müsse. Der Einsatz von Funkwasserzählern könne im Hinblick auf das Grundrecht der Unverletzlichkeit der Wohnung sogar als eine besonders schonende Art der Datenerfassung angesehen werden, weil er das Betreten von privaten Räumen entbehrlich mache.
Nach derzeitigem Erkenntnisstand entstünden durch den Betrieb von Funkwasserzählern auch keine unzumutbaren Gesundheitsgefahren, weil die Strahlenleistung im Vergleich zu einem Handy um ein Vielfaches niedriger sei und die Funkwasserzähler in der Regel nicht in unmittelbarer Nähe zu den Bewohnern, sondern im Keller an der zentralen Hauswasserzuleitung angebracht würden.
Stand: 04.05.2022
Es muss nicht jede E-Mail archiviert werden.
Archiviert werden müssen E-Mails, die für eine ordnungsgemäße Buchführung und/oder steuerrechtlich relevant sind. Gesetzliche Grundlage ist die AO (Abgabenordnung), die GoB (Grundsätze für ordnungsgemäße Buchführung) und GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).
Reine Kommunikation, die genauso mündlich hätte stattfinden können oder die Vertriebs- oder Marketingthemen betrifft, muss nicht aufbewahrt werden.
Hängen hinter den Mailadressen aber ganze Postfächer mit Inhalten, die unter die Aufbewahrungspflichten fallen, dann gelten dafür die echten Aufbewahrungsfristen nach den gesetzlichen Vorgaben (also nach AO, GoB, GOBD, etc.). Im Regelfall muss zwischen 6 und 10 Jahren gespeichert werden, wenn es sich um Inhalte handelt, die für eine ordnungsgemäße Buchführung, für die Steuer usw. notwendig sein könnten.
Bei Unternehmen, die ein eigenes Programm für Buchhaltung, etc. haben und dieses aus den Mailaccounts heraus komplett vervollständigen, ist keine eigene E-Mail-Archivierungspflicht gegeben. Z.B. haben Rechtsanwälte oft eine Schnittstelle zum Datev-Anwaltsprogramm. Damit wird alles, was für die Mandatsbearbeitung wichtig sein könnte und per Mail eingeht, im Datev-System abgespeichert und in den E-Mail-Postfächern verbleibt die reine „Kommunikation“ und die sollte dann regelmäßig gelöscht werden.
E-Mails müssen dann archiviert werden, wenn ihre Inhalte nach den gesetzlichen Vorgaben aufbewahrungspflichtig sind.
Aus dem „Code of Practice“, erstmals veröffentlicht durch den Fachverband der Dokumentenmanagementbranche, Verband Organisations- und Informationssysteme (VOI) im Jahr 1996, gehen außerdem folgende Grundsätze hervor:
Die 10 Grundsätze zur Revisionssicherheit von elektronischen Dokumenten:
Nur, wenn inhaltlich gesetzliche Aufbewahrungspflichten betroffen sind.
Wenn es ein reines Kommunikationstool ist und zusätzlich eine Anwendung verwendet wird, in der alle notwendigen Unterlagen abgespeichert werden, besteht keine zusätzliche Pflicht zur Archivierung von E-Mails.
Anderenfalls schon.
Was ist Exchange online Plan 2?
Enthält E-Mail, Kontakte, Aufgabenverwaltung und Kalender und einen unlimitierten Archivierungsspeicher. Ist also ein weiteres Postfach, mit zeitlich unbegrenzter Speicherung und Wiederherstellungsfunktionen.
Antwort:
M.A. nach werden die wichtigsten Archivierungsvorgaben, nämlich die selektive Zuordnungsmöglichkeit zum jeweiligen Vorgang und die wichtige Vorgabe aus der DSGVO, nämlich regelmäßig löschen zu können, nicht erfüllt.
Stand: 27.04.2022
Im Februar 2022: Gesetzesvorschlag der EU-Kommission des sogenannten Data Acts.
Ziel:
Zugang zu Daten und die Nutzung von Daten soll gefördert werden.
So soll ein „Datenbinnenmarkt“ entstehen, der die Wettbewerbsfähigkeit der EU erhöht.
--> sehr weiter Anwendungsbereich, da nicht nur auf personenbezogene Daten bezogen.
Februar 2022: Gesetzesvorschlag der EU-Kommission des sogenannten Data-Acts.
Weiterer Verlauf des Gesetzgebungsverfahrens:
Verschiedene Lesungen im EU-Parlament und dem Rat der EU, am Ende müssen beide mit Mehrheit zustimmen.
Parallele Geltung. Grundsätzlich ist der Anwendungsbereich des Data Acts mit der Einbeziehung auch nicht personenbezogener Daten (Maschinendaten) weiter, als der der DSGVO.
Einzelheiten sind noch unklar.
Stand: 27.04.2022
Wann ist die Speicherung von Informationen in der Endeinrichtung nach § 25 Abs. 2 TTDSG „unbedingt erforderlich“, damit der Anbieter eines Telemediendienstes einen vom Nutzer „ausdrücklich gewünschten“ Telemediendienst zur Verfügung stellen kann?
Mit anderen Worten:
Wann brauche ich keine Einwilligung?
Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG:
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Hamburger Beauftragte für Datenschutz und Informationsfreiheit sagt folgendes:
„Außerhalb der genannten Voraussetzungen ist die Nutzung von Cookies, Web Storage, Browser-Fingerprinting und ähnlichen Technologien nur nach einer den Erfordernissen der DSGVO entsprechenden Einwilligung zulässig. Die Ausnahmen sind bereits dem Wortlaut nach eng auszulegen. So findet sich in Abs. 2 Nr. 2 die Formulierung „unbedingt erforderlich“, was vor dem Hintergrund der Gesetzesbegründung als technische, nicht jedoch wirtschaftliche Notwendigkeit zu verstehen ist. Regelmäßig wird daher die Reichweitenmessung, das Nutzertracking für Werbezwecke usw. für die Zurverfügungstellung eines Telemediendienstes nicht unbedingt erforderlich und daher nach dem TTDSG einwilligungspflichtig sein.“
Eine Rechtsanwaltskanzlei vertritt folgende Auffassung:
„Unter die unbedingte Erforderlichkeit des § 25 Abs. 2 Nr. 2 TTDSG kann nicht nur die technische Erforderlichkeit zur Bereitstellung des Dienstes fallen, sondern auch die Erforderlichkeit zur Einhaltung gesetzlicher Pflichten oder zur Erbringung vertraglich geschuldeter Leistungen. Erforderlich bleibt eine konkrete Einzelfallbetrachtung, welche auch den Spielraum des ausdrücklich vom Nutzer gewünschten Telemediendienstes berücksichtigt. Dem mancherorts geäußerten Wunsch, Regelbeispiele für die unbedingte Erforderlichkeit in den Wortlaut der Vorschrift mit aufzunehmen, ist der Gesetzgeber nicht nachgekommen. Auf Cookie-Ebene sind beispielweise Cookies zur dauerhaften Speicherung von Spracheinstellungen oder zum Anbieten einer Warenkorbfunktion typische Beispiele für die unbedingte Erforderlichkeit von Cookies.“
Ergebnis:
Die Ausnahme nach § 25 Abs. 2 TTDSG ist für den Fall vorgesehen, dass Speicherung oder Zugriff für Telemedienanbieter unbedingt erforderlich sind, um Nutzer:innen einen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen. Nach konservativer Auffassung sind damit die technisch erforderlichen Cookies gemeint. Sie dienen z.B. dem Betrieb einer Webseite, der Umsetzung von technischer Sicherheit oder auch der Speicherung von Warenkörben in Onlineshops. Letzteres ist aber eng verbunden mit der vertraglich geschuldeten Leistung, die technisch umgesetzt werden muss.
Wer also z.B. Browser-Fingerprinting einsetzt, um eine notwendige technische Sicherheit einer Website umzusetzen (und dies auch entsprechend begründen kann), braucht keine Einwilligung des Nutzers, sondern kann von der unbedingten Erforderlichkeit der Anwendung ausgehen, sofern er sie begründen kann.
Stand: 27.04.2022
Folgende Gesetze müssen hier zur Beantwortung hinzugezogen werden:
UrhG: Urheberrecht besteht 70 Jahre bei Fotografien (§ 64 UrhG);
hat mit Löschungspflichten nichts zu tun, sondern nur mit Urheberrechten, v.a. Verwertungsrechten nach §§ 15 ff. UrhG
KUG: bei Bildnissen muss eine Einwilligung vorliegen nach § 22 KUG oder eine Ausnahme nach § 23 KUG. Wenn Einwilligung widerrufen wird --> Löschung!
DSGVO: Löschung bei Zweckerreichung oder Wegfall des Zwecks, oder die anderen Gründe des Art. 17 DSGVO
Gem. Art. 7 Abs. 3 S. 2 DSGVO „[…] wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt“.
Art. 7 Abs. 3 S. 2 DSGVO regelt damit, dass die vergangene – bis zum Widerruf getätigte – Verarbeitung des Bildes trotz des Widerrufs rechtmäßig bleibt. Damit ist festgelegt, dass dem Widerruf der Einwilligung keine Rückwirkung zukommt, er also die bis zum Widerruf im Einklang mit Art. 6 Abs. 1 lit. a DSGVO erfolgte Verarbeitung nicht rechtswidrig macht. Auf den Beispielsfall bezogen bedeutet dies, dass die Verarbeitung des Bildes zum Herstellen der Werbematerialien – soweit sie vor Widerruf erfolgt ist – rechtmäßig war. Alle weiteren Verarbeitungstätigkeiten i.S.d. Art. 4 Nr. 2 DSGVO sind nach dem Widerruf rechtswidrig.
Nun ließe sich argumentieren, dass die nicht automatisierte Verarbeitung, z.B. durch händisches Verteilen von bereits hergestellten Werbematerialen, nicht dem sachlichen Anwendungsbereich von Art. 2 Abs. 1 DSGVO unterliegt. Zu beachten ist aber, dass die vorherige Verarbeitung, insb. die Speicherung und Vervielfältigung des Bildes, der DSGVO unterfallen ist und mit Widerruf der Einwilligung alle auf Basis der Einwilligung erhobenen personenbezogenen Daten gem. Art. 17 Abs. 1 lit. b DSGVO unverzüglich durch den Verantwortlichen zu löschen sind (soweit keine andere Rechtsgrundlage für die Verarbeitung besteht, was – wie bereits besprochen – nicht der Fall ist). Hierunter fallen das ursprüngliche Bild sowie alle Replikationen davon. Die einzige Möglichkeit, wie der Arbeitgeber das Bild weiter rechtmäßig verarbeiten könnte, wäre die Weiterbenutzung mit dem Beschäftigen vertraglich zu regeln (hierzu sogleich).
Dem Arbeitnehmer steht zudem ein Anspruch auf Unterlassung und Vernichtung nach §§ 823, 1004 BGB (und Art. 17 DSGVO) zu. Weiterhin kommen Schadensersatzansprüche, z.B. aus Art. 82 DSGVO in Betracht.
Der Model-Release Vertrag stellt einen guten Ausweg vom Einwilligungserfordernis dar, denn ist ein solcher wirksam geschlossen, kann die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden. Gleichzeitig überträgt der Arbeitnehmer dem Arbeitgeber die Nutzungsrechte am Bild, sodass auch das Einwilligungserfordernis nach § 22 KUG erfüllt ist. Der Vertrag sollte jedoch rechtssicher gestaltet werden und der Entwurf ggf. anwaltlich geprüft werden.
Model Release Vertrag als Ausweg vom Einwilligungserfordernis
Im Arbeitsverhältnis:
Aufgrund des starken Arbeitnehmerdatenschutzrechts, ist in Arbeitsverhältnissen der Versuch das Einwilligungserfordernis mittels eines Model-Release-Vertrages herzustellen, kritisch zu sehen. Es sollte auf jeden Fall eine angemessene Vergütung vereinbart werden. Je mehr der Mitarbeiter in den Fokus rückt und vor allem je mehr die Bilder (professionellen) Model-Bildern nahekommen, desto höher muss die Vergütung ausfallen, damit der Vertrag nicht als unwirksam angesehen wird.
Wird eine „Model-Release-Klausel“ standardmäßig im Arbeitsvertrag aufgenommen, ist zu beachten, dass es dann um eine AGB handelt. Eine solche Klausel wäre (wohl) unwirksam (§§ 305c, 307 BGB).
Ein Muster für einen solchen Vertrag findet man bspw. hier.
Stand: 21.12.2022
Ergebnis des Kurzgutachtens der Tascforce Facebook Fanpages vom 18.03.2022:
„Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben.
Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.“
Ergebnis der DSK-Konferenz vom 23.03.2022:
Die DSK nimmt das von der Taskforce Facebook-Fanpages erstellte Kurzgutachten zur Frage der datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vom 18.03.2022 zur Kenntnis und stimmt der Bewertung zu.
Es bildet für die Mitglieder der DSK eine wichtige Grundlage ihrer aufsichtsbehördlichen Tätigkeit gegenüber öffentlichen und nichtöffentlichen Stellen.
Aufgrund ihrer Vorbildfunktion stehen öffentliche Stellen zuvörderst im Fokus. Deshalb werden die Mitglieder der DSK im Rahmen ihrer Zuständigkeit
Dieser Nachweis betrifft vor allem:
Hinweis von LiiDU:
Künftig dürfen nur, wenn diese hier genannten Nachweise erbracht werden, Facebook-Fanpages betrieben werden.
Stand: 06.04.2022
Wenn die Proben rein dem Gesundheitsschutz oder wissenschaftlichen Zwecken dienen sollen, greift Art. 9 Abs. 2 lit h. i DSGVO. und Erwägungsgrund 52
--> Verarbeitung sogar in nicht anonymisierter Form zulässig, wenn Voraussetzungen vorliegen.
Sind die Proben anonymisierbar?
Antwort:
Stand: 06.04.2022
Ein DSGVO-konformes Kontaktformular sollte folgende Punkte abdecken:
1. Datensparsamkeit: so wenige Daten wie möglich erheben
2. Zweckbindung: Daten nur zu einem bestimmten Zweck verwenden
3. Mit Datenschutzerklärung der Transparenz- und Informationspflicht nachkommen:
Man braucht keine gesonderte Einwilligung des Nutzers, weil die Absendung des Kontaktformulars bereits die Einwilligung darstellt!
Vorschläge:
Beispiel - Mehr Informationen finden Sie hier
Nicht tief. Es müssen die gesetzlichen Anforderungen erfüllt sein.
Ziff. 13
Im Verfahrensverzeichnis sollte die Website ein eigenes Verzeichnis haben – außer es ist eine reine Informationsseite.
Dort kann der Punkt „Kontaktformular“ als Unterpunkt aufgenommen werden.
Stand: 30.03.2022
EU-Kommission und die USA haben am 25.03.2022 durch ihre ranghöchsten Vertreter bekanntgegeben, dass man sich auf ein neues Datenschutzabkommen zwischen den USA und Europa geeinigt hat. Hier ein Textauszug aus der Veröffentlichung:
The European Commission and the United States reached an agreement in principle for a
Trans-Atlantic Data Privacy Framework.
Key principles
• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies
Hier finden Sie den ganzen Text
Es gibt noch keinen rechtlichen Text, der veröffentlicht wäre.
Nach der (oben verlinkten) Ankündigung, wird nun erst die Vereinbarungen in rechtliche Texte übertragen. Das wird Monate dauern.
Max Schrems hat erklärt, dass jedes neue Abkommen, das die Anforderungen des EU-Rechts nicht erfüllt, innerhalb weniger Monate vor dem EuGH angefochten werden wird, z. B. durch zivilrechtliche Verfahren und einstweilige Verfügungen.
Stand: 30.03.2022
Ausführliche Informationen über Google Optimize finden Sie in unserem Blog.
Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.
Ein Verein, dessen Zweck nicht auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist, erlangt Rechtsfähigkeit durch Eintragung in das Vereinsregister des zuständigen Amtsgerichts, vgl. § 21 BGB.
Damit eine Geschäftsstelle eingerichtet werden kann, muss dies in der Vereinssatzung geregelt sein.
Es ist deshalb ratsam, schon bei Vereinsgründung eine Regelung aufzunehmen, die grundsätzlich die Einrichtung einer Geschäftsstelle ermöglicht. Ob, wann und wo diese dann tatsächlich eingerichtet wird, bleibt der Beschlussfassung in der Mitgliederversammlung vorbehalten. Es sollte in der Satzung auch geregelt werden, welche Aufgaben die Geschäftsstelle hat (z.B. Bearbeitung von Anträgen für die Aufnahme neuer Mitglieder, Postbearbeitung, Aktualisierungen der Mitgliederkartei, Einkauf von Büroartikeln, …).
In der Praxis sind Verwaltungssitz und Vereinssitz meist identisch. Es ist jedoch möglich, dass Vereins- und Verwaltungssitz auseinanderfallen.
Das heißt im vorliegenden Fall wäre das Vorliegen von zwei Zuständigkeiten (Bayern und NRW) grundsätzlich möglich.
Konkret zur Zuständigkeit: Art. 55 DSGVO
Art. 56 Zuständigkeit der federführenden Aufsichtsbehörde
Unabhängig von Zuständigkeitsfragen können sich betroffene Personen mit Beschwerden an jede Datenschutzaufsichtsbehörde wenden!
Ergebnis:
Hier ist die Hauptniederlassung der Vereinssitz in NRW. Es kann aber nach Art. 56 Abs. 2 DSGVO jede Aufsichtsbehörde zuständig sein, wenn in ihrem Gebiet eine Datenschutzverletzung begangen wurde.
Das Verfahren zum Ablauf regelt Art. 60 DSGVO.
Stand: 23.03.2022
BETROFFENENRECHTE:
Eine Bürgerin möchte jetzt, dass ihre Daten, die 2015 in einem Amtsblatt einer Gemeinde standen, weil sie Dozentin von Bildungsveranstaltungen der VHS der Gemeinde war, komplett aus dem Internet gelöscht werden. Diesem Wunsch ist die Gemeinde nachgekommen, soweit sie Zugriff hatten.
Allerdings wurde das PDF auch auf Websites wie docplayer.org und kipdf.com hochgeladen, was nicht die Gemeinde gemacht hat.
Die beiden Websites sind britisch bzw. amerikanisch und haben kein Impressum, keine Kontaktdaten bzw. es wird auf eine Mail an info@... nicht reagiert.
Wie weit geht die Verantwortung des Verantwortlichen, Daten, die ohne seine Zustimmung
im Internet weiterverbreitet wurden, zu löschen bzw. löschen zu lassen?
Hier muss unterschieden werden:
Evtl. Recht auf Vergessenwerden, Art. 17 DSGVO à Antrag bei Google, die Listung der Inhalte zu löschen.
Google entscheidet nach dem Löschungsantrag über die Entfernung. Gute Aussichten auf Löschung haben Grundrechtsverletzungen. Hier ist das informationelle Selbstbestimmungsrecht der betroffenen Dozentin betroffen à Inhalt im Netz ist zu löschen.
Wird Löschungsantrag abgelehnt: betroffene Person kann sich an die zuständige Aufsichtsbehörde der Suchmaschine wenden.
Bei einem Vertrag über die Leistungen der Dozentin, sollte auch die Veröffentlichung eines Fotos, Ihres Namens etc. geregelt werden. Je klarer die diesbezügliche Regelung, desto besser.
Falls das nicht der Fall ist, muss der Vertrag ausgelegt werden.
Stand: 23.03.2022
Ein Geschäftsführer wird zur Zahlung von EUR 5.000 Schadensersatz für eine Datenschutzverletzung verurteilt.
OLG Dresden, Urteil vom 30.11.2021, Az. 4 U 1158/21
Sachverhalt:
Ein Verein holte nach einem Mitgliedsantrag umfangreiche Informationen über die Person ein, u.a. über Vorstrafen. Daraufhin wurde der Mitgliedsantrag abgelehnt. Die betroffene Person klagte u.a. auf Schadenersatz gegen die GmbH und gegen des Geschäftsführer.
Zum Urteil:
1. Der Geschäftsführer einer GmbH ist neben der Gesellschaft „Verantwortlicher“ im Sinne der DSGVO.
2. Eine Erhebung von Daten muss zunächst bei der betroffenen Person stattfinden – und erst danach bei Dritten, sofern dies für den Verantwortlichen nicht ausnahmsweise unzumutbar ist.
3. Die Datenerhebung von Vorstrafen des Betroffenen ist nur unter den Voraussetzungen des Art. 10 DSGVO zulässig.
4. EUR 5.000,- als immaterieller Schaden ist angemessen (… Dies bedeutet aber nicht, dass die Geldentschädigung zwingend „Strafcharakter“ haben muss, sondern die Höhe des Anspruchs muss auf der Basis des Effektivitätsprinzips eine abschreckende Wirkung haben.“)
Stand: 16.03.2022
Es gibt Vorlagen verschiedener Bundesländer für die Schulen, um auch dort den Datenschutz DSGVO-konform umzusetzen.
Vorlagen für typische Verarbeitungstätigkeiten in Schulen
Die Auskunft ist gemäß 15 DSGVO zu erteilen. Demnach ist zu prüfen, ob der Antragsteller eine Berechtigung hat, die Auskunft zu verlangen (eine Mutter hat das in aller Regel für sich und ihr Kind). Danach ist binnen Monatsfrist zu antworten.
Hier Templates des BayLDA für die Auskunftserteilung
Hier ein ausführliches Merkblatt des Bayerischen Landesbeauftragten für den Datenschutz zum Thema Auskunft
Stand: 16.03.2022
Ausführliche Informationen über Microsoft Office 365 finden Sie in unserem Blog.
Die lokale Einbindung von Google-Fonts muss gar nicht in die Datenschutzerklärung aufgenommen werden.
Begründung:
Es werden keine personenbezogenen Daten verarbeitet.
Stand: 09.03.2022
Die Beschwerden und die gemeldeten Datenschutzverletzungen nehmen zu!
Im Jahr 2011 gab es beim Bayerischen Landesamt für Datenschutzaufsicht 687 Beschwerden, im Jahr 2018 bereits 3643 Beschwerden und im Jahr 2020 sogar 6185 Beschwerden. Bei den gemeldeten Datenschutzverletzungen haben sich die Zahlen in den letzten 10 Jahren ähnlich entwickelt. 2011 lag der Wert bei 10, 2018 bei 2471 und 2020 wurden 3752 Datenschutzverletzungen gemeldet. Es ist also sowohl bei den Beschwerden als auch bei den Datenschutzverletzungen ein signifkanter Anstieg zu verzeichnen.
Stand: 09.03.2022
Ausführliche Informationen über Cloudflare finden Sie in unserem Blog.
Urteil des LG Lüneburg vom 14.07.2020 – 9 O 145/19
Sachverhalt:
Der Kläger wurde von seiner Hausbank wegen der Überziehung eines Dispo-Kredits von EUR 20,- an die Schufa gemeldet. Er machte gerichtlich den Widerruf der Meldung und die Zahlung immateriellen Schadensersatzes geltend.
Entscheidung:
Folge:
Verbraucher kann seine Rechte aus BGB mit seinen Rechten aus der DSGVO kombinieren.
Wiederholt ist jetzt bereits ein Anspruch auf Schadensersatz durchgesetzt worden!
Im Sommer 2023 wird ein EuGH Urteil erwartet. Im Urteil wird u.a. eine Aussage erwartet, ob die „Berechnung eines Scores für eine Privatperson als automatisierte Entscheidung über eine Kreditvergabe zu verstehen ist und wie lange Auskunfteien über eine Restschuldbefreiung informieren dürfen“. (Schufa)
Sollte das Gericht dem Generalanwalt folgen , wird die Schufa zukünftig Daten nur noch über einen Zeitraum von bis zu 6 Monaten speichern dürfen und nicht mehr – wie bisher – bis zu 3 Jahren.
Stand: 03.05.2023
Nein, nicht ausdrücklich. Aber manchmal indirekt:
Ein Geschäftsgeheimnis im Sinne dieses Gesetzes ist
eine Information
Das Geschäftsgeheimnisgesetz schützt Informationen von wirtschaftlichem Wert --> Art. 14 GG
Die DSGVO schützt die informationelle Selbstbestimmung von Personen --> Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG
Stand: 09.03.2022
Die konkrete Fragestellung lautet:
Eine Firma beauftragt einen externen Dienstleister (z.B. IT-Unternehmen) mit der Wartung des Systems.
Darf von der Tätigkeit des Dienstleisters auf dem Firmenrechner ein Screencast erstellt werden?
Falls ja: welche Voraussetzungen gelten hier? Muss z.B. der Dienstleister über die Aufnahme informiert werden?
Regelfall:
Man kennt die Person, die die Tätigkeiten vornimmt
--> Verarbeitung personenbezogener Daten!
-->Screencast kann erstellt werden, sofern eine Einwilligung vorliegt.
--> Falls keine Einwilligung vorliegt: Stichprobenkontrolle
(gestützt auf Art. 6 Abs. 1 S. 1 lit. f DSGVO) zulässig.
Stand: 09.03.2022
Vorschlag für die nächsten Schritte:
Dr. Korch in der NJW 2021, 978: folgende Fragen müssten an den EuGH gestellt werden:
Stand: 23.02.2022
„Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (…). Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden.“
Bußgeld:
gestaffelt von 2%/10 Mio. EUR bis 4%/20 Mio. EUR, bezogen auf den weltweit erzielten Jahresumsatz des Unternehmens, je nachdem welcher der Beträge höher ist, https://dsgvo-gesetz.de/art-83-dsgvo/
Strafrecht:
jeweiliges nationales Recht
Stand: 23.02.2022
Ausführliche Informationen über Google Optimize finden Sie in unserem Blog.
Zoom ist datenschutzkonform einsetzbar.
Dienst wurde erheblich nachgebessert, v.a. nach Kritik des LfDI Baden-Württemberg zur fehlenden Verschlüsselung, der unklaren Beteiligung von Unternehmen aus Drittländern und der üblichen Kritik, dass die Server in den USA stehen.
Jetzt: LfDI Baden-Württemberg hat seine Warnung zurückgezogen.
Empfehlungen:
von Zoom in die Datenschutzerklärung aufnehmen
Stand: 23.02.2022
Ausführliche Informationen über Microsoft Teams finden Sie in unserem Blog.
Ja, aber es heißt jetzt: Verpflichtung zur Vertraulichkeit, § 32 Abs. 4 DSGVO
https://www.lda.bayern.de/media/dsk_kpnr_19_verpflichtungBeschaeftigte.pdf
Stand: 23.02.2022
In Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) steht:
Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
Grundsätzlich ist jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) und auch jeder Auftragsverarbeiter zur Erstellung und Führung eines Verfahrensverzeichnisses verpflichtet.
Ausnahmen: Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern, es sei denn: Die verantwortliche Stelle /Auftragsverarbeiter führt Verarbeitungen personenbezogener Daten durch, die
•ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (dazu gehören regelmäßig Fälle von Scoring und Überwachungsmaßnahmen) oder
•die nicht nur gelegentlich erfolgen (z.B. die regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten) oder
•die besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (Religionsdaten, Gesundheitsdaten, usw.) oder strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO betreffen.
Das Vorliegen einer der Fallgruppen reicht, um ein solches Verzeichnis führen zu müssen --> sehr viele Unternehmen.
Auch die DSK stellt deshalb fest:
Da „jedes Risiko für die Rechte und Freiheiten bezüglich der Verarbeitung zu betrachten ist, wird vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten sein“, siehe Kurzpapier Nr. 1 der DSK
So kann ein Verarbeitungsverzeichnis beispielsweise aussehen:
Stand: 26.10.2022
Antwort für ein kleines Unternehmen:
Für ein mittleres Unternehmen (mehr als 80 Mitarbeiter):
Stand: 23.02.2022
Eine klare Trennschärfe zwischen nicht-erforderlichen und technisch notwendigen Cookies ist bis dato nicht vorhanden. Daher ist die korrekte Einordnung der Cookies für Webseitenbetreiber oftmals nach schwierig. Das führt in der Praxis dazu, dass aufgrund von Rechtsunsicherheiten teilweise Einwilligungen für Verarbeitungen eingeholt werden, die nicht einwilligungsbedürftig sind.
Daher wird gefordert, dass einheitliche Kriterien für die Einordnung von unbedingt erforderlichen Cookies gesetzlich im TTDSG verankert werden sollten. Bisher hat sich der Bundesgesetzgeber jedoch nicht klar dazu geäußert.
Unbedingt erforderliche Cookies werden von den Aufsichtsbehörden in folgende Bereiche eingeteilt:
Quelle: Kommentar von Säcker/Körber/Werkmeister TTDSG § 25 Rn. 34-38:
„ (1) User-Input-Cookies (Session-ID) für die Dauer einer Sitzung oder in bestimmten Fällen persistente Cookies, deren
Gültigkeitsdauer auf wenige Stunden beschränkt ist,
(2 )Authentifizierungscookies für die Dauer einer Sitzung, wenn eine Authentifizierung des Endnutzers erforderlich ist,
(3) nutzerorientierte Sicherheitscookies zur Erkennung von Authentifizierungsmissbrauch für eine begrenzte längere Dauer,
(4) Multimedia-Player-Sitzungscookies, wie Flash-Player-Cookies für die Dauer einer Sitzung,
(5) Lastverteilungs-Sitzungscookies für die Dauer der Sitzung,
(6) persistente Cookies zur Anpassung der Benutzeroberfläche für die Dauer einer Sitzung (oder etwas länger),
(7) Third-Party-Content-Sharing-Cookies sozialer Plugins für angemeldete Mitglieder eines sozialen Netzwerks.“
Nach Auffassung der Aufsichtsbehörden sind „nicht unbedingt erforderliche Cookies“ u.a.
• Tracking-Cookies sozialer Plugins
• Third-Party-Cookies zu Werbezwecken
• First-Party-Analysecookies
Stand: 03.05.2023
Was ist überhaupt eine Datenschutzfolgeabschätzung (DSFA)?
Art. 35 DSGVO - Datenschutz-Folgenabschätzung
Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte --> Risikoanalyse!
Die DSGVO sieht für die Übermittlung personenbezogener Daten in Drittländer besondere Anforderungen vor (Art. 44 ff)
Wichtigste Möglichkeiten für Drittstaatenübermittlung:
1.Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (Art. 45)
--> Datenübermittlung brauchen keine weitere Genehmigung
2.Datenübermittlung auf Basis von SSC --> TIA
Viele Informationen dazu hier
Eine DSFA muss durchgeführt werden, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Bei vorliegen bestimmter Fälle muss eine DSFA durchgeführt werden.
Und es gibt Regelbeispiele, wann eine DSFA durchzuführen ist, Art. 35 Abs. 3 DSGVO
Die Bestandteile, die eine DSFA haben muss (Mindestbestandteile) sind in Art. 35 Abs. 7 DSGVO festgelegt:
„(7) Die Folgenabschätzung enthält zumindest Folgendes:
a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.“
Mehr Infos vom LDA Bayern
Definition von TIA: Transfer Impact Assessment (Risikobewertung)
Es ist zu prüfen, ob der Empfänger der Daten durch sein nationales Recht (im Drittland) gezwungen sein kann, gegen die Regelungen aus den Standardvertragsklauseln zu verstoßen.
Ein TIA ist grundsätzlich immer durchzuführen, wenn neue Standardvertragsklauseln (SCCs) abgeschlossen werden.
Eine Ausnahme davon besteht nur dann, wenn eine europäischer Auftragsverarbeiter Daten von einem Drittlands-Verantwortlichen erhält und diese „Drittlands-Daten“ ohne sie mit europäischen Daten zu vermischen an den Verantwortlichen zurücksendet.
Ausführliche Informationen zum TIA finden Sie in unserem Blog
Sowohl bei Durchführung einer Datenschutzfolgenaschätzung als auch bei einem TIA müssen die Verarbeitungsvorgänge genau beschrieben und dokumentiert werden.
Sobald Datenverarbeitungen mit einem Drittland auf Basis der SSC stattfinden, ist zwingend ein TIA durchzuführen.
Eine Datenschutz-Folgenabschätzung und ein Transfer Impact Assessment haben teilweise überlappende Bestandteile. Jedoch sind es dem Grundsatz nach zwei unterschiedliche Dokumente.
Wir empfehlen beides durchzuführen.
Stand: 17.05.2023
Sachverhalt:
Der Beklagte hatte Google Fonts per Link auf seiner Webseite eingebettet (und nicht lokal auf seinem Server gespeichert).
Der Kläger sah darin einen Anspruch gegen den Beklagten auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog.
Rechtliche Würdigung:
Hier finden Sie das Urteil zum Thema "Google Fonts"
Die Konsequenzen aus diesem Urteil sind ganz klar:
Stand: 16.02.2022
Die Beschwerden nehmen zu. Auch „unbedeutende“ Verstöße gegen die DSGVO werden verfolgt.
Das BayLDA hat hierfür eine Statistik veröffentlicht. In 2020 gab es 6185 Beschwerden und Kontrollanregungen. Dabei wurden 230 Bußgelder verhängt. Das sind nicht mal 5% aller Vorgänge.
Im September 2022 wurde der Tätigkeitsbericht des LDA Bayern für das Jahr 2021 veröffentlicht.
Im Jahr 2021 gingen 6009 Beschwerden und Kotrollanregungen bei der Aufsichtsbehörde ein.
Die Zahl von Meldungen von Verstößen gegen Art. 33 DSGVO ist erneut auf hohem Niveau mit 3946 Meldungen, darunter sind u.a. Cyberangriffe, Softwarefehler, Fehlversand oder auch Verlust oder Diebstahl verortet.
Bußgeldbescheide wurden lediglich 11 erlassen, 60 weitere Vorgänge befanden sich Ende des Berichtzeitraums noch in Bearbeitung. Diese Zahl ist im Vergleich zum Vorjahr signifikant gesunken.
Eine aktuelle Auflistung von Datenschutzverstößen findet man auf dem DSGVO-Portal
Stand: 03.05.2023
Zur Überprüfung von Webseiten empfiehlt es sich, so viele Browser wie möglich zu nutzen/installieren:
Auf Windows können folgende Browser zur Untersuchung genutzt werden:
- Microsoft Edge
- Firefox
- Chrome
- Brave
- Opera
Auf iOS kann der Browser Safari zur Untersuchung genutzt werden.
Beim Firefox empfiehlt sich die Installation von Plug-Ins, insbesondere:
- NoScript
- Ghostery: Die Software Ghostery weist beim Surfen auf versteckte Anwendungen hin und blockiert sie auf Wunsch.
- Privacy Badger
- Cookies and Headers Analyser
Das Plug-in uMatrix wird leider vom Entwickler nicht mehr gepflegt.
Es gibt noch eine Reihe von Werbeblockern. Damit wird das Browsen aber schnell ungemütlich, weil viele Webseiten die Blocker erkennen und dann nicht funktionieren.
Mit dem Tool von Decareto kann man sich umfassende technische Prüfberichte von Website erstellen lassen.
Darüber hinaus gibt es eine Fingerprinting-Statistik-Studie der Friedrich-Alexander-Universität Erlangen (Fachbereich Informatik der FAU):
Bei der Teilnahme erhält man Detailinformationen und Aussagen zu:
- Ist der Fingerprint einzigartig bezüglich des einzelnen Teilnehmers ?
- Ist der Browser eindeutig über die Zeit verfolgbar ?
Wir danken Hr. Schmid (Dipl.-Ing. (Univ.) Lutz J. Schmid, Schmid Datensicherheit GmbH, Tel.: 0961-4712941. Mobil: 0160-98492962, E-Mail: info@schmid-datensicherheit.de, URL: www.schmid-datensicherheit.de für seinen Beitrag und seine Hinweise.
Stand: 09.02.2022
Der Dienst „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Dabei werden die tatsächlich eingesetzten Cookies kontrolliert und solche Cookies blockiert, für die eine Zustimmung nicht erteilt wurde.
Dabei werden (nach Ansicht des Antragstellers) auch personenbezogene Daten des Nutzers an den Server von „Cookiebot“ übermittelt. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse, sei der Endnutzer eindeutig identifizierbar.
Im Eilverfahren vor dem VG Wiesbaden wollte nun der Antragsteller erreichen, dass es der Hochschule RheinMain untersagt wird, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden.
Das Gericht hat dem Antrag stattgegeben (Az.: 6 L 738/21.WI)
--> Panik bei öffentlichen Einrichtungen und Unternehmen
Aber! Die Entscheidung wurde vom Berufungsgericht (Hessischen Verwaltungsgerichtshof) aufgehoben. Es fehle die Eilbedürftigkeit, die man für einen solchen Antrag im Eilverfahren brauche.
Der Hessische Verwaltungsgerichtshof (Beschluss vom 17.01.2022, Az. 10 B 2486/21) hat die Einstweilige Verfügung aufgehoben: „Das Verwaltungsgericht hätte die vom Antragsteller begehrte einstweilige Anordnung nicht erlassen dürfen.“.
Grund:
Es liegt kein Anordnungsgrund vor bzw. wurde ein solcher nicht glaubhaft gemacht (z.B. ist Antragsteller auf die Nutzung der Website angewiesen oder erfährt er wesentliche Nachteile durch die Nichtnutzung) .
Derzeit darf Cookiebot also eingesetzt werden. Es muss abgewartet werden, wie das Gericht im Hauptsacheverfahren in dieser Sache entscheiden wird.
Bis dahin kann der Dienst genutzt werden, ohne dass von einem Verstoß gegen die DSGVO ausgegangen werden muss. Es ist (derzeit) zu empfehlen auf einen Anbieter zu setzen, der seine Daten nur in der EU hostet.
Stand: 03.05.2023
Ein rechtskonformer Cookie-Banner sieht so aus:
Stand: 09.02.2022
Nein, man braucht nicht immer einen Cookie-Banner.
Wer keine oder nur technisch notwendige Cookies setzt, braucht keine Einwilligung über einen Banner.
Wenn Cookies gesetzt werden, die technisch nicht notwendig sind, ist eine Einwilligung gemäß § 25 TTDSG erforderlich.
Aber:
Aufklärung in der Datenschutzerklärung über die technisch notwendigen Cookies ist aber trotzdem notwendig, vgl. Art. 13 DSGVO.
Stand: 09.02.2022
Seit 01.12.2022 gilt § 25 TTDSG
Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Telemediendienste müssen Datenschutzanforderungen erfüllen, nämlich
1.SSL-Verschlüsselung der Website
2.Datenschutzerklärung auf der Website richtig und vollständig
3.Cookie-Banner richtig gestalten; hier v.a. Einwilligungsmanagement genau prüfen, insbesondere:
Stand: 09.02.2022
Eine Auflistung von Datenschutzverstößen findet man auf dem DSGVO-Portal
Stand: 02.02.2022
Ja, man braucht eine Datenschutzerklärung auf Amazon.
Die gesetzlichen Vorgaben aus DSGVO, BDSG und TTDSG sind immer einzuhalten, sobald der Anwendungsbereich eröffnet ist.
Vorliegend ist es vor allem bereits vor Vertragsschluss der Art. 13 DSGVO, der eingehalten werden muss (Informationspflichten).
AMAZON bietet einen eigenen Speicherort für die Datenschutzerklärung, nämlich den Reiter „Datenschutzrichtlinie“ unter „Ihre Informationen und Richtlinien“.
Stand: 02.02.2022
Zur Erläuterung der Frage:
"Wir spielen jede Woche in einem Verein zusammen Fussball in der Halle. Es gilt 2G+.
Damit nicht jeder vor dem Spiel seinen Nachweis vorzeigen muss, wurde eine Liste mit den Geimpften (samt Datum der Impfung und Namen) erstellt. Am Eingang wird dann überwiegend nur noch abgehakt.
Darf man die Liste an einzelne Spieler schicken, die jeweils abwechselnd die Eingangskontrolle durchführen?"
Um die Fragestellung bzgl. der listenmäßigen Erfassung (und Weitergabe) des Impf-/Genesenenstatus zu konkretisieren, muss vorab die Regelung 2G+ definiert werden.
Was ist 2G plus?
2G plus bedeutet, dass nur Menschen Zutritt haben, die vollständig geimpft oder von einer COVID-19-Infektion genesen sind und die zusätzlich auch noch aktuell schnellgetestet sind. Das "plus" steht für den Antigen-Schnelltest, dem sich Geimpfte und Genesene unterziehen müssen. Bei 2G plus haben Ungeimpfte keinen Zutritt. Z.B. haben am 7. Januar Bundesregierung und Länderchefs beschlossen, dass in der Gastronomie künftig 2G plus gilt. Dies gilt nicht in Bayern - das beschloss das bayerische Kabinett am 11. Januar.
Impf-/Genesenennachweis und aktueller Schnelltest müssen kontrolliert werden, ansonsten droht Bußgeld.
Sobald die Spieler den Impf-/Genesenennachweis erbringen, kann dieser vom Vorstand oder einem Vertreter dokumentiert werden, sodass nur noch der aktuelle Schnelltest kontrolliert werden muss.
Voraussetzung:
Die Registrierung des Impfstatus zählt zur Verarbeitung von Gesundheitsdaten. Nach Art. 9 Abs. 2 lit. a DSGVO kann eine solche Speicherung zulässig sein, wenn der Betroffene ausdrücklich und freiwillig eingewilligt hat. Wichtig ist hierbei, dass eine echte Wahl besteht.
Ergebnis:
Wenn die Spieler der Verarbeitung zugestimmt haben, kann die Liste auch an Vertreter des Vereinsvorstands weitergegeben werden. Am besten sollten die Spieler auch dieser Weitergabe ausdrücklich und freiwillig zustimmen.
Stand: 02.02.2022
Ja, die DSGVO gilt auch für Selbstständige und kleine Unternehmen.
Die gesetzlichen Vorgaben aus DSGVO, BDSG und TTDSG sind immer einzuhalten, sobald der Anwendungsbereich eröffnet ist.
Der sachliche Anwendungsbereich der DSGVO ist bei automatisierter Verarbeitung von personenbezogenen Daten gemäß Art. 2 Abs. 2 immer eröffnet - und bei nichtautomatisierter Verarbeitung dann, wenn die Daten in einem Dateisystem gespeichert sind.
Nicht zu verwechseln ist dies mit der Notwendigkeit der Bestellung eines Datenschutzbeauftragten nach § 38 BDSG.
Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 679/2016 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 679/2016 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
Stand: 02.02.2022
Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit und amtierender Vorsitzender der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) sagt zur Einordnung des Gutachtens:
„Die Ergebnisse des in Auftrag gegebenen, unabhängigen Gutachtens steuern wichtige Aspekte zur Analyse der Rechtsverhältnisse in den USA bei. Die unabhängigen Datenschutzaufsichtsbehörden werden nun darüber beraten, wie die Ergebnisse in die Aufsichts- und Beratungspraxis einfließen.“
Stand: 02.02.2022
Hintergrund:
Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte 2021 zusammen mit den anderen deutschen Datenschutz-Aufsichtsbehörden Hr. Prof. Stephen I. Vladeck, University of Texas, Austin, Experte im US-amerikanischen Geheimdienstrecht, mit der Begutachtung von Fragen beauftragt, die in der aufsichtlichen Praxis häufig wiederkehren.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörde des Bundes und der Länder (DSK) hat am 25.01.2022 die Ergebnisse dieses Gutachtens (v.a. zur Reichweite bestimmter Zugriffsrechte von US-amerikanischen Sicherheitsbehörden) veröffentlicht.
Hier finden Sie weiterführende Links.
Inhalt:
Der Begriff „electronic communication service provider“ die Anwendbarkeit von Section 702 des US-amerikanischen Foreign Intelligence Surveillance Act (FISA) ist weit zu verstehen. Er umfasst nicht nur
Ausreichend: Bereitstellung z.B. eines E-Mail-Dienstes für Mitarbeiter
Rechtsfolgen (Auszüge):
1.Zugriffsmöglichkeit der US-Behörden auf sämtliche Daten des Unternehmens, nicht nur auf Daten des jeweiligen Dienstes (also z.B. nicht nur E-Mails).
2.Daten europäischer Unternehmen, die in den USA aktiv sind, unterfallen dem FISA 702 ebenso. Zumindest dann, wenn die Daten auf US-Servern liegen.
3.Europäische Bürgerinnen und Bürger haben kaum Möglichkeiten, Rechtsschutz in den USA zu erlangen.
Hier finden Sie das Rechtsgutachten
Stand: 02.02.2022
Sachverhalt:
Der Beklagte, ein gewerblicher eBay Händler, hielt für potenzielle Kunden keine Erklärung zum Datenschutz vor. Er verstößt damit gegen Art. 13 DSGVO.
Die Klägerin war der IDO-Verband (Interessenverband für das Rechts- und Finanzconsulting deutscher Online-Unternehmen).
Die durch die Klägerin ausgesprochene Abmahnung blieb erfolglos. Das LG Stuttgart hatte die Klage mit der Begründung abgewiesen, dass die DSGVO als abschließende Regelung dem UWG vorgehe mit der Folge, dass Datenschutzverstöße nicht als Wettbewerbsverstöße abgemahnt werden könnten (Urteil v. 20.05.2019, Az. 35 O 68/18).
Entscheidung:
Die Regelungen des Art. 80 DSGVO sind nicht abschließend.
Verstöße gegen die DSGVO sich nach Wettbewerbsrecht abmahnfähig, wenn sie die Marktverhaltensregeln verletzten.
Die Informationspflichten nach Art. 13 DSGVO stellen laut OLG Stuttgart eine solche Markverhaltensregel da, denn diese Informationen hätten eine verbraucherschützende Funktion und sind damit wettbewerbsrechtlich relevant.
Wettbewerbsverbände sind somit nach § 8 Abs. 3 Nr. 2 UWG i. V. m. § 8 Abs. 1 und § 3 a UWG befugt, Verstöße gegen Bestimmungen der DSGVO wettbewerbsrechtlich geltend zu machen, bei denen es sich um Markverhaltensregelungen handelt.
Bereits 2018 entschied das OLG Hamburg für eine Abmahnfähigkeit der DSGVO, sofern die konkrete Norm im Einzelfall eine Regelung des Marktverhaltens darstellt (OLG Hamburg, Urteil v. 25.10.2018, 3 U 66/17).
Der EuGH hat im April 2022 eine Abmahnfähigkeit im Rahmen eines Vorabentscheidungsverfahrens bejaht, jedoch nur durch Verbände. Die Frage, ob Wettbewerber dies dürfen, wurde weiter offen gelassen (EuGH, Urteil v. 28.04.2022, C-319/20).
Der BGH hat im Januar 2023 die konkrete Frage nach einer Abmahnung durch Wettbewerber dem EuGH vorgelegt. Danach wird endgültig klar sein, ob die Tendenz der Abmahnfähigkeit bestätigt wird (BGH, Beschluss v. 12.01.2023, Az. I ZR 222/19 und I ZR 223/19)
Stand: 03.05.2023
Es gibt keine gesetzliche Verpflichtung, den DSB auf der Website anzugeben.
Gibt man ihn aber an, muss eine natürliche Person genannt werden.
BayLDA hierzu:
„Die Regelungen zur Benennung, zur Stellung und zu den Aufgaben des Datenschutzbeauftragten nach den Art. 37, 38 und 39 DS-GVO stellen auf eine natürliche Person des Datenschutzbeauftragten ab, so dass auch betroffene Personen (Beschäftigte, Kunden usw.) einen klaren Ansprechpartner für ihre oft sehr vertraulichen Datenschutz-Anliegen haben.“
Stand: 26.01.2022
Das BayLDA gibt folgende Hinweise zum Thema Zertifzierung nach DSGVO:
Zertifizierung
Datenschutzzertifikate
Datenschutzzertifikate nach Art. 42 DS-GVO sind freiwillig und können entweder von der zuständigen Datenschutzaufsichtsbehörde oder einer dafür akkreditierten Zertifizierungsstelle erteilt werden. Das BayLDA wird mangels personeller Ressourcen als Aufsichtsbehörde selbst nicht zertifizieren, ist jedoch maßgeblich in den Akkreditierungsprozess involviert, so dass zukünftig erfolgreich akkreditierte Stellen diese Aufgabe übernehmen werden. Momentan gibt es noch keine akkreditierten Zertifizierungsstellen und somit auch noch keine Zertifikate.
Das Verzeichnis aller in Deutschland akkreditierter Stellen finden Sie hier
Stand: 26.01.2022
Ausführliche Informationen über Google Analytics finden Sie in unserem Blog.
Das TTDSG regelt:
Zweck des TTDSG:
v.a. Anpassung der TK- und TM-Anbieter an die geänderten Anforderungen der DSGVO und verbindliche gesetzliche Cookie-Regelung.
Schutz der Privatsphäre bei Endeinrichtungen, § 25 TTDSG
(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Das TTDSG regelt den personenbezogenen Datenschutz in Bezug auf das Telekommunikationsrecht und Telemedienrecht.
Darüber hinaus sind über § 25 TTDSG auch weitere personen- und auch nicht personenbezogene Daten betroffen (§ 25 TTDSG), denn „Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“ können auch nicht-personenbezogene Daten sein.
Stand: 17.05.2023
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung
