Archiv-Gerichtsurteile-Email-Internet

Gerichtsurteile – Archiv

Email / Internet

Hier finden Sie eine Sammlung aktueller Gerichtsurteile zum Thema E-Mail und Internet

Weitere Gerichtsurteile zu verschiedenen Themen finden Sie hier:

Bildveröffentlichungen, Videodaten, Telefon, Finanzdaten, Patientendaten, weitere Urteile

Anforderungen an die E-Mailtransportverschlüsselung

Die Nordrhein-Westfälische Landesdatenschutzbeauftragte für den Datenschutz hat in einer aktuellen Empfehlung zur E-Mailsicherheit wesentliche Kriterien für eine Transportverschlüsselung benannt.
Nach Auffassung der Behörde handelt es sich dann um angemessene Schutzmaßnahmen im Sinne des Art.32 DSGVO, wenn die folgenden Punkte erfüllt werden:  Text: NRW Aufsichtsbehörde

•  Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird.
•  Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf der versendeten Daten und dem Risiko können Abweichungen von der Richtlinie statthaft sein.
•  Es ist zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind.  Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zu-Ende-Verschlüsselung können geboten sein. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar: Hierzu zählen der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung.

Die Empfehlung ist hier abrufbar

TeleTrusT legt aktualisierte Handreichung zum Stand der Technik vor

Der Bundesverband IT-Sicherheit e.V., kurz TeleTrusT, hat eine neue 73-seitige Handreichung zum Thema „Stand der Technik“ veröffentlicht. Darin finden sich Auseinandersetzungen mit verschiedenen typischen Maßnahmen wie Passwörter oder Verschlüsselung. Die Maßnahmen werden aus genannten Bedrohungslagen hergeleitet und sie werden anhand der Schutzziele (Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität) dargestellt. weiterlesen

In der Handreichung werden die Einzelheiten der Maßnahmen gleichermaßen für die Anforderungen des IT-Sicherheitsgesetzes als auch der DSGVO hergeleitet. Am Beispiel der Verschlüsselung wird dargestellt, welche Form der Verschlüsselung nach Auffassung der TeleTrustT als Stand der Technik einzustufen sind. Gleiches findet sich bei anderen Maßnahmen.

Das Dokument zum download hier

Steht eine andere Handhabung mit Cookies an?

VERDATA_ teilt bisher den Standpunkt, dass Tracking auf Webseiten unter den Anforderungen des § 15 TMG bzw. Art. 6 Abs.1 (f) DSGVO auch ohne ausdrückliche Einwilligung zulässig ist. Dieser Standpunkt begründet sich auf den deutschen Sonderweg in Bezug auf die EU Cookie-Richtlinie (Richtlinie 2002/58 und der Richtlinie 2009/136).
In einem laufenden Verfahren vor dem EUGH (BGH Vorlage nach Beschluss vom 5. Oktober 2017, Az.: I ZR 7/16) lehnt der EUGH Anwalt Szunpar diese Auffassung ab. weiterlesen

Im Kern geht es um die Frage, ob für Cookies eine Einwilligung erforderlich ist und wie diese Einwilligung aussehen muss.
Im Streitfall war formularmäßig voreingestellt, dass der Nutzer der Webseite den Cookies der Webseite zustimmt.

Frage 1: Form der Einwilligung. In seinem Antrag (siehe hier) erläutert Szunpar  zunächst, dass eine Einwilligung immer ein aktives Handeln erfordert. Vorausgefüllte Ankreuzfelder, bei denen man aktiv werden muss, um seine Ablehnung auszudrücken, sind keine Einwilligung. Diese Auffassung ist unstrittig. Eine Einwilligung ist ein aktiver, kein passiver Vorgang nach ausreichender Information.
Szunpar führt hinsichtlich der Informationen, die man über zu setzende Cookies machen muss, weitere Details aus. Die EU Richtlinie verlangt auch die Angabe der Lebensdauer und die Erläuterung, ob Dritte auf diese Cookies zugreifen.

Frage 2: Einwilligung für Cookies setzen. Szunpar führt zunächst aus, dass es unerheblich ist, ob man Cookies als personenbezogene Daten einordnet oder nicht. Die Cookie-Richtlinie verlange die Einwilligung für die Verarbeitung der Informationen. Wörtlich:
„Es macht keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Art. 5 Abs. 3 der Richtlinie 2002/58 bezieht sich auf „die Speicherung von Informationen oder [den] Zugriff auf Informationen, die bereits … gespeichert sind“. Es ist klar, dass alle solchen Informationen einen den Datenschutz betreffenden Aspekt haben, unabhängig davon, ob sie „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 der Verordnung 2016/679 sind. Wie die Kommission zutreffend hervorhebt, zielt Art. 5 Abs. 3 der Richtlinie 2002/58 auf den Schutz des Nutzers vor Eingriffen in seine Privatsphäre ab, ungeachtet des Umstands, ob dabei personenbezogene Daten oder andere Daten betroffen sind.“

Nach Auffassung des Anwaltes ist daher nicht entscheidend, was das deutsche TMG festlegt, denn dies regelt nur die Verarbeitung personenbezogener Daten. Entscheidend sei, dass die EU Cookie-Richtlinie diese Einwilligung verlangt:
„Infolgedessen wurden die Anforderungen von Art. 5 Abs. 3 der Richtlinie 2002/58 durch § 15 Abs. 3 TMG offenbar nicht in vollem Umfang in deutsches Recht umgesetzt“.

Offen ist damit allerdings, was die fehlende Umsetzung der Richtlinienvorgabe für den User bedeutet. Da eine Richtlinie nicht unmittelbar gilt, kann einem Webseitenbetreiber die fehlende Einwilligung nicht vorgeworfen werden, da es keine unmittelbare rechtliche Pflicht dafür gibt. Da sich aber nach dem Standpunkt des EUGH Anwaltes die Einwilligung auf das Datenformat „Cookie“, nicht aber allein am Merkmal „personenbezogene Verarbeitung“ fest macht, besteht ein vom Datenschutz losgelöster Grund für das Einwiligungserfordernis.

Urteil: Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers

EuGH vom 01.10.2019 – C-673/17

Es liegt keine wirksame Einwilligung des Internetnutzers in das Speichern von Cookies vor, wenn der Anbieter der Web-Seite ein Ankreuzkästchen mit einem voreingestellten Häkcken verwendet. Die Erlaubnis zum Setzen von Cookies erfordere vielmehr die aktive Einwilligung des Internetnutzers, betonte der Gerichtshof der Europäischen Union in seinem Urteil vom 01.10.2019.

zum Urteil 

LDA Bayern: Google Analytics nur mit Einwilligung

Die Bayerische Aufsichtsbehörde hat klargestellt, dass sie als Rechtsgrundlage des Trackings mittels Google Anlytics die Einwilligung sieht. Die Behörde begründet dies damit, dass Google sich das Recht einräumen lässt, dass die Daten zu eigenen Zwecken verarbeitet werden dürfen. weiterlesen

Warum die Behörde allerdings das überwiegende berechtigte Interesse nach Art. 6 Abs.2 (f) DSGVO ausschließt, begründet sie nicht. Allein die Beteiligung des Unternehmens Google spricht nicht gegen ein mögliches Überwiegen des Verarbeitungsinteresses. Hier besteht trotz behördlichen Statements weiterhin Auslegungsbedarf.

Zur Mitteilung der Behörde

VERDATA_
DATENSCHUTZ GMBH & CO. KG

© VERDATA_ DATENSCHUTZ GMBH & CO. KG  2018