Datenschutz

/Datenschutz

DSGVO und die Cookie Einwilligung

Entscheidungsanalyse Rechtssache C-673/17 (Cookie Einwilligung) In seiner Entscheidung vom 01.10.2019 hat der EuGH in der Rechtssache C-673/17 einige Vorabfragen im Zusammenhang mit der Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation durch Cookies getroffen und dabei den Begriff der Einwilligung der betroffenen Person in verschiedenen Aspekten behandelt sowie zu Inhalt und Umfang der Datenschutzinformation im Zusammenhang mit Cookies Feststellungen getroffen. Zusammenfassend wurden (nach „altem“ Datenschutzrecht, aber ausdrücklich unter Einbeziehung der Regelungen der DSGVO) folgende Feststellungen getroffen: Die geprüften europäischen Regelungen sind dahin auszulegen, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Die Grundsätze zur Einwilligung sind nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Die Regelungen zur Verpflichtung, den Betroffenen zu informieren sind dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat. Zunächst ist an der Entscheidung bemerkenswert, dass – der ursprüngliche Fall stammte aus dem Jahre 2013/2014 – der EuGH ausdrücklich den im Vorlageverfahren des BGH genannten Hinweis gefolgt war, dass aufgrund des Antrages im Ausgangsverfahren, dass das beanstandete Verhalten auch künftig zu unterlassen sei, nicht nur die damals gültige Rechtslage, sondern ausdrücklich auch spätere Rechtssetzungsakte der EU, insbesondere auch die DSGVO in der Entscheidung einbezogen war. Der EuGH hat also nicht nur das in 2013 gültige Recht zur Entscheidungsgrundlage gemacht, sondern [...]

By |1. Oktober 2019|Datenschutz, News|Kommentare deaktiviert für DSGVO und die Cookie Einwilligung

DSGVO Neuigkeiten

Nach und nach entwickelt sich die Praxis der Anwendung der DSGVO weiter und erste Entscheidungen werden bekannt. Nachstehend ein kleiner Überblick über Themen, die Stand Anfang November 2018 gerade aktuell in der Diskussion sind: Facebook-Fanpages - EuGH 5. 6. 2018, C-210/16 Die Entscheidung bezieht sich auf die Auslegung des Begriffs „für die Verarbeitung Verantwortliche“ im Sinne der Datenschutz-Richtlinie 95/46/EG (also die alte, von der DSGVO abgelöste Datenschutzrichtlinie) sowie auf die Qualifikation von Betreibern einer Fanpage auf Facebook. Dabei ging es um die Abgrenzung, wer von den Beteiligten beim Betrieb einer Facebook-Fanpage welche datenschutzrechtliche Rolle hat. Im Zusammenhang mit dieser Datenverarbeitung bejahte der EuGH eine gemeinsame Verantwortlichkeit von Facebook und den Betreibern von Fanpages. Anders als bei der Auftrags(daten)verarbeitung, bei der ausschließlich der Auftraggeber über Zwecke, Umfang und Art der Datenverarbeitung bestimmt, sieht der EuGH bei Facebook-Fanpages diese Voraussetzung nicht mehr als gegeben an. Denn der Betreiber der Fanpage bestimmt nicht in ausreichendem Maße über die Datenverarbeitung, wie es bei der Auftragsverarbeitung erforderlich ist. Auch wenn sich die Entscheidung noch nicht auf die DSGVO bezog, kann daraus doch für die aktuelle Situation für Facebook Fanpages unter der DSGVO daraus abgeleitet werden, dass entgegen der ersten Annahmen hier keine Auftragsverarbeitung, sondern eine Verarbeitung in gemeinsamer Verantwortung („Joint Controllership“ im Sinne von Art. 26 DSGVO). Dies erfordert damit eine andere vertragliche Gestaltung der Zusammenarbeit zwischen Facebook und dem Betreiber der Fanpage einerseits, andererseits müssen auch die Informationspflichten nach Art. 13 DSGVO und auch die sonstigen Betroffenenrechte so gestaltet sein, dass sie dieser Joint Controllership Rechnung tragen und zum Beispiel beide Beteiligten ihre jeweiligen Pflichten gegenüber dem Betroffenen auch erfüllen (können). Erfüllung von Informationspflichten und das UWG Das Landgericht Würzburg hat in einem einstweiligen Verfügungsverfahren mit Anwälten auf beiden Seiten [...]

By |2. November 2018|Datenschutz, News|Kommentare deaktiviert für DSGVO Neuigkeiten

DSGVO und Kunsturhebergesetz – eine erste Entscheidung

Eines der meistdiskutierten Themen rund um die DSGVO ist ihr Verhältnis zum Kunsturhebergesetz. Es war schon die Rede vom "Fotografieverbot", wie es die Süddeutsche Zeitung in ihrem Beitrag "Das hat sich beim Datenschutz geändert" erst kürzlich sehr interessant und übersichtlich darstellte. Passend in diesen Kontext hat das Oberlandesgericht Köln nunmehr mit Beschluss vom 18.06.2018, AZ: 15 W 27/18, eine der ersten Entscheidungen zum Verhältnis zwischen der am 25.05.2018 wirksam gewordenen Europäischen Datenschutzgrundverordnung (DSGVO) und dem Kunsturhebergesetz (KUG) im Bereich der öffentlichen Berichterstattung getroffen. Im entschiedenen Fall ging es um einen Fernsehbericht, in dem auch der Antragsteller gezeigt wurde; dagegen richtete sich der Verfügungsantrag. Inhaltlich hat das OLG Köln entschieden, dass dem Antragsteller kein Unterlassungsanspruch gemäß §§ 1004 Abs. 1 S. 2, 823 Abs. 2 BGB i.V.m. § 22 KUG zusteht, da es sich im entschiedenen Fall um Bildnisse der Zeitgeschichte im Sinne von § 23 Abs.1 Nr. 1 KUG handele. Interessant ist an der Entscheidung aber insbesondere, dass der Antragsteller seinen Unterlassungsanspruch wohl insbesondere auch auf die Vorschriften der DSGVO gestützt hatte. Dazu führt das OLG aus: Soweit der Antragsteller sich mit der Beschwerdebegründung auf die Datenschutzgrundverordnung (DS-GVO) beruft, geht dies fehl. Artikel 85 DS-GVO erlaubt wie die Vorgängerregelung in Art 9 der Richtlinie RL 95/46/EG nationale Gesetze mit Abweichungen von der DS-GVO zugunsten der Verarbeitung zu journalistischen Zwecken. Er enthält damit eine Öffnungsklausel, die nicht nur neue Gesetze erlaubt, sondern auch bestehende Regelungen – soweit sie sich einfügen – erfassen kann. Aus Sicht des Senates mache Art 85 Abs. 2 DS-GVO im Kern keine materiell-rechtlichen Vorgaben (Auernhammer/von Lewinski, DS-GVO, 5. Aufl. 2017, Art. 85 Rn. 13; Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 3, 34, 67, 72 ff.), sondern stellt nur auf die Erforderlichkeit zur [...]

By |26. Juni 2018|Datenschutz|Kommentare deaktiviert für DSGVO und Kunsturhebergesetz – eine erste Entscheidung

Kurzdarstellung zum Entwurf der ePrivacy-Verordnung

Die EU Kommission hat am 10.01.2017 den Entwurf der „Regulation on Privacy and Electronic Communications” auf Deutsch ePrivacy-Verordnung veröffentlicht. Dieser Entwurf ergänzt die Datenschutzgrundverordnung und hat den Schutz der Grundrechte und der Freiheiten natürlicher und juristischer Personen bei der Bereitstellung und Nutzung von elektronischen Kommunikationsdiensten, insbesondere die Achtung des Privatlebens und der Kommunikation sowie den Schutz natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten, zum Ziel. Anwendungsbereich der ePrivacy-Verordnung Die ePrivacy-Verordnung wird für folgenden Bereich anwendbar sein: Diese Verordnung gilt für die Verarbeitung elektronischer Kommunikationsdaten, die im Zusammenhang mit der Bereitstellung und Nutzung elektronischer Kommunikationsdienste und mit Informationen über Endgeräte des Endverbrauchers durchgeführt werden. Ausgenommen davon sind elektronische Kommunikationsdienste, die nicht öffentlich zugänglich sind. Die ePrivacy-Verordnung gilt für die Bereitstellung elektronischer Kommunikationsdienste für Endnutzer in der Union, unabhängig davon, ob eine Zahlung des Endnutzers erforderlich ist; die Nutzung dieser Dienste; den Schutz von Informationen auf Endgeräten von Endbenutzern in der Union. Da vorstehend definierter Anwendungsbereich auf Nutzer im Gebiet der Europäischen Union beschränkt ist, haben Anbieter eines elektronischen Kommunikationsdienstes, die nicht in der Union niedergelassen sind, schriftlich einen Vertreter in der Union zu bestimmen. In Artikel 4 der ePrivacy-Verordnung werden dann eine Reihe von Begriffen definiert, die unter anderem die Begriffe „Daten“, „Content“ und „Metadaten“ umfassen. Grundsätze und Ausnahmen Als Grundsatz legt die ePrivacy-Verordnung folgendes fest: Elektronische Kommunikationsdaten sind vertraulich. Jede Interferenz mit elektronischen Kommunikationsdaten, z. B. durch Hören, Abhören, Speichern, Überwachen, Scannen oder andere Arten von Abhören, Überwachen oder Verarbeiten von elektronischen Kommunikationsdaten durch andere Personen als den jeweiligen Endnutzer, ist nicht zulässig, außer diese Verordnung gestattet dies ausdrücklich. Damit wird das Fernmeldegeheimnis technologieneutral auf sämtliche elektronische Kommunikationsmittel erstreckt. Die von der Verordnung vorgesehenen Gestattungen sind dabei zusammengefasst folgende: Anbieter elektronischer Kommunikationsnetze und [...]

By |18. Januar 2017|Datenschutz, Fachbeiträge|Kommentare deaktiviert für Kurzdarstellung zum Entwurf der ePrivacy-Verordnung

Immer wieder ein Thema: Datenschutzkonformer Einsatz von Google Analytics

Datenschutzkonformer Einsatz von Google Analytics in deutschen Unternehmen Seit April 2012 prüfen die Datenschutzbehörden der Länder regelmäßig, ob in ihrem Zuständigkeitsbereich ein datenschutzkonformer Einsatz von Google Analytics erfolgt. Die Datenschutzbehörden haben dazu ein automatisiertes Programm entwickelt, dass die Grundprüfung automatisiert vornehmen kann. Dabei werden die Texte der Webseite sowie der Seitenquelltext der Leitseite analysiert. Zweiteres kann übrigens jeder, der sich den Quelltext einer Webseite anzeigen lässt und nach dem Begriff "_anonymizeIp" sucht. Damit wird schnell erkennbar, ob Google Analytics eingesetzt wird und ob die Anonymisierungsfunktion aktiviert ist. Daher sind die Fragen, wie Google Analytics datenschutzkonform eingesetzt werden kann, immer wieder Teil der anwaltlichen Beratungsanfragen. Die Prüfung des Bayerischen Landesbeauftragten für den Datenschutz hatte bei der ersten Prüfung ergeben, dass „auf den geprüften 13.404 Webseiten bei 10.955 Google Analytics nicht eingesetzt wurde und bei den 2.449 Webseiten bayerischer Anbieter, die Google Analytics nutzen, nur 78 (d.h. 3%) das Tracking-Programm datenschutzkonform eingesetzt haben. Soweit der Einsatz nicht datenschutzkonform erfolgte, hat das BayLDA die übrigen 2.371 Webseitenbetreiber angeschrieben, sie über das Ergebnis der Prüfung informiert und aufgefordert, den Einsatz des Programms gemäß den Vorgaben der Datenschutzbehörden datenschutzkonform zu gestalten. (Quelle: BayLDA)“ In einigen Fällen wurde bei Nicht-Reaktion durch den Angemahnten auch Bußgelder verhängt. Dabei ist der datenschutzkonforme Einsatz von Google Analytics ganz einfach. Folgende Punkte müssen nach der Feststellung des Düsseldorfer Kreises, dem bundesweiten Gremium der Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich (Hinweise für eine datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten geäußert gemäß Beschluss vom 26./27.11.2009) sowie den weiteren Hinweisen beziehungsweise vertraglichen Anforderungen (hier von Google) beachtet werden und zwar bevor mit dem Einsatz der Analysetools, hier Google Analytics begonnen wird. Umzusetzende Maßnahmen Implementierung der Funktion _anonymizeIp, Aufnahme eines Cookie Hinweises auf die Webseite, [...]

By |10. Januar 2017|Datenschutz|Kommentare deaktiviert für Immer wieder ein Thema: Datenschutzkonformer Einsatz von Google Analytics

Datengeheimnis nach § 5 BDSG

Häufig werden Unternehmer, die IT Verträge mit Kunden abschließen, einen Hinweis auf § 5 Bundesdatenschutzgesetz (BDSG) oder auf das Datengeheimnis nach § 5 BDSG lesen, insbesondere dann, wenn solche Verträge zum Beispiel im Rahmen der Wartung Zugriff auf die Daten der Kunden erlauben. Diese Klauseln kommen dabei nicht nur in IT Verträgen vor, sondern in vielen Verträgen, bei denen eine Vertragspartei von der anderen Partei personenbezogene Daten erhält oder diese im Auftrag dieser Partei verarbeitet. Die anwaltliche Erfahrung zeigt aber, dass diese Regelungen entweder einfach überlesen oder - trotz "guter Vorsätze" bei Vertragsabschluss - nicht umgesetzt werden. Gesetzliche Verpflichtung Das ist ein Fehler, denn schon § 5 BDSG gibt zwingend vor, dass bei der Datenverarbeitung beschäftigte Personen, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten sind. Sie sind also darüber zu belehren, dass es den bei der Datenverarbeitung beschäftigten Personen untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). § 5 BDSG lautet wie folgt: § 5 BDSG Datengeheimnis Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Vertrag und Auftragsdatenverarbeitung Daneben kann auch ein Verstoß gegen den Vertrag vorliegen, denn häufig enthalten entsprechende Verträge Klauseln, die eine Zusicherung des Unternehmens z.B. als Auftragnehmer oder Anbieter von Software-Wartung enthalten, dass alle Mitarbeiter auf das Datengeheimnis verpflichtet sind. Insbesondere wenn neben allgemeinen vertraglichen Vereinbarungen auch eine Vereinbarung über die Verarbeitung von Daten im Auftrag (Auftragsdatenverarbeitung im Sinne von § 11 BDSG = ADV) besteht, [...]

By |28. April 2016|Datenschutz, Praxishinweise|Kommentare deaktiviert für Datengeheimnis nach § 5 BDSG