AKTUELL

VERDATA_ DATENSCHUTZ – DER PROFESSIONELLE DATENSCHUTZ-DIENSTLEISTER

Fachkompetenter Datenschutz ist ein Zukunftsschlüssel – VERDATA_ begleitet Sie in allen Themenbereichen zum Datenschutz. Langjährige Erfahrung ist unsere Stärke, auch in Spezialfragen. Bei uns finden Sie Antworten – denn wir verhindern moderne Technik nicht, wir ermöglichen sie!

Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten

Die DSK hat am 03.04.2019 folgende Entschließung zur Haftung des Unternehmens für Datenschutzverstöße der Beschäftigten gefasst:weiterlesen

„ Unternehmen haften im Rahmen von Art. 83 Datenschutz-Grundverordnung (DS-GVO) für schuldhafte Datenschutzverstöße ihrer Beschäftigten, sofern es sich nicht um einen Exzess handelt. Dabei ist nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen.
Diese Haftung für Mitarbeiterverschulden ergibt sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Der funktionale Unter-nehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) besagt, dass ein Unternehmen jede wirtschaftliche Einheit unabhängig von ihrer Rechtsformund der Art ihrer Finanzierung ist. Erwägungsgrund 150 der DS-GVO weist für die Verhängung von Geldbußen wegen Datenschutzverstößen gegen Unternehmen klarstellend daraufhin. Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten sämtlicher ihrer Beschäftigten. Eine Kenntnis der Geschäftsführungeines Unternehmens von dem konkreten Verstoß oder eine Verletzung der Aufsichtspflicht ist für die Zuordnung der Verantwortlichkeit nicht erforderlich. Handlungen von Beschäftigten,die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können („Exzesse“), sind ausgenommen.“

Die Entschließung finden Sie hier

Datenschutzkonferenz positioniert sich zu Telemediendiensten und Tracking

In einer neuen im März 2019 herausgegeben Orientierungshilfe der DSK zu Telemediendiensten beziehen die deutschen Aufsichtsbehörden Position zu zwei aktuell sehr in Diskussion befindlichen Themen:weiterlesen

Zum einen stellen die Behörden klar, dass sie die Datenschutzregeln im TMG nicht mehr für anwendbar halten. Die DSGVO hat als Regelung Vorrang. Nach Ansicht der Aufsichtsbehörden ist die ePrivacy-Richtlinie nicht in nationale gesetzliche Regelungen umgesetzt.
Zum anderen vertiefen die Behörden ihren Standpunkt zur Rechtmäßigkeit der Datenverarbeitung beim Tracking. Die Legitimation über das überwiegend berechtigte Interesse Art. 6 Abs.1 (f) DSGVO ist demnach nicht ausgeschlossen, muss aber im Einzelfall durch eine belegte Abwägung nachweisbar sein. Die Behörden beschreiben dazu eine dreistufige Prüfung, die durchzuführen ist. Am Beispiel der Pixel-Zählung kommen sie zum Schluss, dass kein berechtigtes Interesse besteht.
Hervorzuheben ist auch der klare Standpunkt, dass aus aufsichtsbehördlicher Sicht die typischen IDs im Webtracking wie Cookie-ID, MAC-ID oder Werbe-ID nicht als Pseudonym gesehen werden. Begründet wird dies damit, dass diese Merkmale nicht anlegt werden, um den Betroffenen vor Identifizierung zu schützen, sondern um ihn zu erkennen. In der Onlinewelt kommt es nach der Behördenansicht nicht auf den bürgerlichen Namen an, sondern die Erkennbarkeit z.B. durch Verknüpfung mit Accountanmeldungen.

Zur Orientierungshilfe hier

Steht eine andere Handhabung mit Cookies an?

VERDATA_ teilt bisher den Standpunkt, dass Tracking auf Webseiten unter den Anforderungen des § 15 TMG bzw. Art. 6 Abs.1 (f) DSGVO auch ohne ausdrückliche Einwilligung zulässig ist. Dieser Standpunkt begründet sich auf den deutschen Sonderweg in Bezug auf die EU Cookie-Richtlinie (Richtlinie 2002/58 und der Richtlinie 2009/136).
In einem laufenden Verfahren vor dem EUGH (BGH Vorlage nach Beschluss vom 5. Oktober 2017, Az.: I ZR 7/16) lehnt der EUGH Anwalt Szunpar diese Auffassung ab. weiterlesen

Im Kern geht es um die Frage, ob für Cookies eine Einwilligung erforderlich ist und wie diese Einwilligung aussehen muss.
Im Streitfall war formularmäßig voreingestellt, dass der Nutzer der Webseite den Cookies der Webseite zustimmt.

Frage 1: Form der Einwilligung. In seinem Antrag (siehe hier) erläutert Szunpar  zunächst, dass eine Einwilligung immer ein aktives Handeln erfordert. Vorausgefüllte Ankreuzfelder, bei denen man aktiv werden muss, um seine Ablehnung auszudrücken, sind keine Einwilligung. Diese Auffassung ist unstrittig. Eine Einwilligung ist ein aktiver, kein passiver Vorgang nach ausreichender Information.
Szunpar führt hinsichtlich der Informationen, die man über zu setzende Cookies machen muss, weitere Details aus. Die EU Richtlinie verlangt auch die Angabe der Lebensdauer und die Erläuterung, ob Dritte auf diese Cookies zugreifen.

Frage 2: Einwilligung für Cookies setzen. Szunpar führt zunächst aus, dass es unerheblich ist, ob man Cookies als personenbezogene Daten einordnet oder nicht. Die Cookie-Richtlinie verlange die Einwilligung für die Verarbeitung der Informationen. Wörtlich:
„Es macht keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Art. 5 Abs. 3 der Richtlinie 2002/58 bezieht sich auf „die Speicherung von Informationen oder [den] Zugriff auf Informationen, die bereits … gespeichert sind“. Es ist klar, dass alle solchen Informationen einen den Datenschutz betreffenden Aspekt haben, unabhängig davon, ob sie „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 der Verordnung 2016/679 sind. Wie die Kommission zutreffend hervorhebt, zielt Art. 5 Abs. 3 der Richtlinie 2002/58 auf den Schutz des Nutzers vor Eingriffen in seine Privatsphäre ab, ungeachtet des Umstands, ob dabei personenbezogene Daten oder andere Daten betroffen sind.“

Nach Auffassung des Anwaltes ist daher nicht entscheidend, was das deutsche TMG festlegt, denn dies regelt nur die Verarbeitung personenbezogener Daten. Entscheidend sei, dass die EU Cookie-Richtlinie diese Einwilligung verlangt:
„Infolgedessen wurden die Anforderungen von Art. 5 Abs. 3 der Richtlinie 2002/58 durch § 15 Abs. 3 TMG offenbar nicht in vollem Umfang in deutsches Recht umgesetzt“.

Offen ist damit allerdings, was die fehlende Umsetzung der Richtlinienvorgabe für den User bedeutet. Da eine Richtlinie nicht unmittelbar gilt, kann einem Webseitenbetreiber die fehlende Einwilligung nicht vorgeworfen werden, da es keine unmittelbare rechtliche Pflicht dafür gibt. Da sich aber nach dem Standpunkt des EUGH Anwaltes die Einwilligung auf das Datenformat „Cookie“, nicht aber allein am Merkmal „personenbezogene Verarbeitung“ fest macht, besteht ein vom Datenschutz losgelöster Grund für das Einwiligungserfordernis.

Urteil: Ein Betreuer kann für einen Patienten eine datenschutzrechtliche Einwilligung abgeben

AG Gießen, Urt. v. 16.07.2018 – Az: 230 XVII 381/17 G

Das Amtsgericht erkennt für den Betreuer ein eigenes Recht, die datenschutzrechtliche Einwilligung abzugeben. Der Betreuer hat demnach eine eigene Ermächtigung.   weiterlesen

Aus dem Urteil:
„Die Ermächtigung hiermit ergibt sich aus § 1902 BGB in Verbindung mit dem Teilaufgabenkreis die Vertretung gegenüber sonstigen Institutionen. Das grundsätzlich für Betreuer geltende Verbot von In-sich-Geschäften gemäß § BGB § 1908i Abs. BGB § 1908I Absatz 1 S. 1 in Verbindung mit §§ BGB § 1795 Abs. BGB § 1795 Absatz 2, BGB § 181 BGB steht hier nicht entgegen.“

Das Gericht sieht in der Alternative, nämlich einen Ersatzbetreuer zu bestellen, der dann in die Einwilligung für Datenübermittlungen an den Betreuer einwilligt, einen „Kurzschluss“, weshalb dieser Weg nicht zum Ziel führt. Bereits die Bestellung eines Ersatzbetreuers erfordert eine Einwilligung, so dass das Problem nicht behoben werden kann. Entscheidend ist, so das Gericht, dass die Datenerfassung durch den Betreuer „ sich in den Grenzen seines gesetzlichen Auftrags bewegt“.

Anders ist die Lage nur dann, wenn der Patient noch einwilligungsfähig ist.

zum Urteil

TeleTrusT legt aktualisierte Handreichung zum Stand der Technik vor

Der Bundesverband IT-Sicherheit e.V., kurz TeleTrusT, hat eine neue 73-seitige Handreichung zum Thema „Stand der Technik“ veröffentlicht. Darin finden sich Auseinandersetzungen mit verschiedenen typischen Maßnahmen wie Passwörter oder Verschlüsselung. Die Maßnahmen werden aus genannten Bedrohungslagen hergeleitet und sie werden anhand der Schutzziele (Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität) dargestellt. weiterlesen

In der Handreichung werden die Einzelheiten der Maßnahmen gleichermaßen für die Anforderungen des IT-Sicherheitsgesetzes als auch der DSGVO hergeleitet. Am Beispiel der Verschlüsselung wird dargestellt, welche Form der Verschlüsselung nach Auffassung der TeleTrustT als Stand der Technik einzustufen sind. Gleiches findet sich bei anderen Maßnahmen.

Das Dokument zum download hier

Anforderungen an die E-Mailtransportverschlüsselung

Die Nordrhein-Westfälische Landesdatenschutzbeauftragte für den Datenschutz hat in einer aktuellen Empfehlung zur E-Mailsicherheit wesentliche Kriterien für eine Transportverschlüsselung benannt.
Nach Auffassung der Behörde handelt es sich dann um angemessene Schutzmaßnahmen im Sinne des Art.32 DSGVO, wenn die folgenden Punkte erfüllt werden:  Text: NRW Aufsichtsbehörde

•  Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird.
•  Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf der versendeten Daten und dem Risiko können Abweichungen von der Richtlinie statthaft sein.
•  Es ist zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind.  Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zu-Ende-Verschlüsselung können geboten sein. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar: Hierzu zählen der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung.

Die Empfehlung ist hier abrufbar

Baden-Württembergische Aufsichtsbehörde sieht gemeinsame Verantwortung für Betriebsräte

In dem heute vorgestellten Tätigkeitsbericht der Datenschutzaufsichtsbehörde aus Baden-Württemberg bezieht der LfDI klare Stellung zur Datenverarbeitung durch den Betriebsrat: Die Behörde bewertet diese Verarbeitung als Verarbeitung in einer eigenen Verantwortung des Betriebsrates.  weiterlesen


Sie begründet dies damit, dass der Betriebsrat selbst über Zweck und Mittel der Datenverarbeitung entscheidet. Sie ist nicht der Auffassung, dass der Zweck der Verarbeitung durch einen Betriebsrat allein durch Gesetz vorgegeben ist.
Wörtlich: „Gegen diese Ansicht spricht jedoch, dass sich auch in zahlreichen anderen Fallkonstellationen die Zwecke der Verarbeitung aus gesetzlichen Vorgaben ergeben. Verarbeitet ein Verantwortlicher personenbezogene Daten zu Zwecken, die gesetzlich vorgegeben werden (vgl. Art. 6 Abs. 1  Buchstabe c, Abs. 2 DS-GVO), vermag dies nichts an seiner datenschutzrechtlichen Verantwortlichkeit zu ändern.“

VERDATA vertritt schon seit längerem die Auffassung, dass der Betriebsrat und die Mitarbeitervertretungen als Verantwortlicher im Sinne des Art.4 DSGVO gelten. Die Auffassung ist, wie auch die Behörde ausdrücklich einräumt, nicht unumstritten, wird aber nun erstmalig aus Baden Württemberg öffentlich so publiziert.

Zum entsprechenden Ausschnitt aus dem Bericht

Der vollständige 34. Tätigkeitsbericht auf der Homepage des LfDI ist hier abrufbar

Urteil: Angabe einer E-Mailadresse ist keine Einwilligung und ein Sporthändlersortiment keine vergleichbare Leistung zu Kinderhosenkauf

LG Berlin, Urt. v. 16.11.2017 – Az.: 16 O 225/17

Sachverhalt: Ein Kunde hatte bei einem Sportartikel-Versand eine Kinderhose bestellt und bekam später mehrere E-Mails mit Werbung an die im Bestellprozess angegebene (private) Emailadresse. Diese Werbung bezog sich auf das gesamte Produktportfolio des Sportartikel-Versands. In der Datenschutzerklärung des Shops hieß es u.a.: „Als Kunde werden deine Daten zum Zweck der Vertragserfüllung und für eigene Werbezwecke genutzt.“  weiterlesen

Entscheidung:
Das Gericht stellte einen Unterlassunganspruch des Kunden gegen den Händler fest (§§ 3, 7, 8 UWG)  zu. Es fehlte an den Voraussetzungen, unter den E-Mailwerbung zulässig ist. E-Mailwerbung ohne die Voraussetzungen des § 7 UWG ist als unzumutbare Belästigung einzustufen.

1. Die bloße Angabe einer E-Mail-Adresse im Rahmen des Bestellprozesses bei einem Online-Shop ist keine Einwilligung für E-Mail-Werbung. Eine Einwilligung ist eine Willensbekundung, die ohne Zwang und für den konkreten Fall und in Kenntnis der Sachlage erfolgt. Mit der Willensbekundung kommuniziert die betroffene Person, dass sie akzeptiert, dass sie betreffende personenbezogene Daten werden. Notwendig ist, dass die betroffene Person eine Erklärung ausdrücklich und in gesonderter Weise (z.B. durch eine getrennte Checkbox) abgibt.
Das ist nicht gegeben, wenn die Verarbeitung nur im Rahmen der AGBs erläutert wird.
2. Nach Auffassung des Gerichtes liegt auch kein Ausnahmetatbestand des § 7 Abs. 3 UWG zur Bestandskundenwerbung vor. Das Gericht vertrat die Auffassung, dass Werbung für das gesamte Sortiment nicht Werbung für gleichartige Produkte bedeutet. Das gesamte Sortiment eines Sportartikel-Händlers ist nicht ähnlich mit einer dort gekauften Kinderhose, so dass die Voraussetzungen des § 7 Abs.3 UWG nicht vorliegen.

Anmerkung: Da hier der Anwalt eines Verbandes geklagt hatte, konnten Ansprüche aus dem UWG geltend gemacht werden. Als Privatperson hätte (auch) Verletzung aus §§ 1004, 823 BGB geltend gemacht werden können.
Offen ist, ob die Werbung nicht auch als unzulässig eingestuft werden muss, weil der betroffene nicht über das Widerspruchsrecht unterrichtet wurden.

BayLDA: Medienbruch in der Information über Videoüberwachung zulässig

Das Bayerische Landesamt für Datenschutz setzt sich in einer kleinen Stellungnahme mit der Informationspflicht nach Art.13 DSGVO bei Videoüberwachung auseinander. Die  Behörde verweist zum einen auf die bereits bekannte Darstellung der Informationen nach dem Muster der Datenschutzkonferenz. Zum anderen äußert sich die Behörde aber zur Information über die Rechte von Betroffenen, über die nach Art. 13 DSGVO ebenfalls zu unterrichten ist.  weiterlesen

Hier hält das BayLDA es für zulässig, auf online bereitgestellte Informationen zu verweisen und lediglich den Link zu dieser Info abzugeben. Auch sollte die Information für Personen, die über keinen Internetzugang verfügen, an anderer Stelle erhaltbar sein.
Die Behörde verweist hinsichtlich des Informationsblattes auf ein Muster, das ebenfalls von der DSK herausgegeben wurde
Das interessante Fazit dieser Stellungnahme ist, dass die Behörde einen Medienbruch in der Information nach Art.13 DSGVO für zulässig bewertet hat.
Zur Stellungnahme:
https://www.lda.bayern.de/de/videoueberwachung.html

VERDATA_
DATENSCHUTZ GMBH & CO. KG

© VERDATA_ DATENSCHUTZ GMBH & CO. KG  2018