Datenschutz und -sicherheit

In dem Urteil vom 22.03.2021 (AnwZ (Brfg) 2/20) hat der BGH entschieden, dass das Anwaltspostfach grundsätzlich sicher genug verschlüsselt sei und kein Anspruch auf eine andere Veschlüsselungstechnik bestehe.

BGH AnwZ (Brfg) 2/20

Geklagt hatten Rechtsanwälte gegen die Bundesrechtsanwaltskammer auf Grund des von der Kammer eingerichteten elektronischen Anwaltspostfach. Nach Ansicht der Kläger wäre dies nicht ausreichend verschlüsselt, um eine sichere Kommunikation zu gewährleisten. Die Kommunikation beim elektronischen Anwaltspostfach ist zwar Ende-zu-Ende verschlüsselt, jedoch wird diese nicht unmittelbar an den Empfänger übersandt, sondern in einem Hardware Security Module umgeschlüsselt. Eine Ende-zu-Ende Verschlüsselung im Sinne der europäischen Patentschrift EP 0 877 507 B1 sieht nur den direkten Versand vor. Eine solche wollten die Kläger erreichen, um eine sicherer Kommunikation unter Berufsgeheimnisträgern zu gewährleisten.

Laut Bundesrechtsanwaltskammer müsste die Kommunikation in einem Hardware Security Module umgeschlüsselt werden, damit auch mögliche Vertreter Zugriff auf die Kommunikation haben können.

Der BGH ist der Ansicht, dass die Verschlüsselungsmethode ausreichenden Schutz im Sinne der einfach gesetzlichen Vorschriften  § 19 Abs. 1 und § 20 Abs. 1 RAVPV habe. Diese Vorschriften räumen den Bundesanwaltskammern einen technischen Spielraum ein, soweit eine im Rechtsinn sichere Kommunikation gewährleistet wird. Ein Anspruch würde nur bestehen, wenn eine derartige Sicherheit allein durch die gewünschte Ende-zu-Ende Verschlüsselung (Patent EP 0 877 507 B1) gewährleistet würde. Dies hat der BGH jedoch verneint.

Nichts anderes ergebe sich auch im Lichte des Art. 12 GG, da die Berufsausübung nicht durch die im Rechtsinn sichere Kommunikation gestört wäre. Weder die Vertraulichkeit der Kommunikation noch das anwaltliche Vertrauensverhältnis zum Mandanten sah der BGH beeinträchtigt.

Die Kläger haben bereits angekündigt eine Verfassungsbeschwerde einzulegen. Ab 2022 soll die Nutzung des Anwaltspostfachs verpflichtend sein.

VG Mainz 1 K 778/19.MZ

Bereits am 17.12.2020 hat das Verwaltungsgericht Mainz eine Entscheidung zur Kommunikation von Geheimnisberufsträgern gefällt.

Vorliegend ging es um eine Verwarnung (Art. 58 Abs. 2 lit. b DS-GVO) welche die Datenschutzbehörde Rheinland-Pfalz gegen einen Rechtsanwalt ausgesprochen hatte. Der Rechtsanwalt hatte E-Mails ohne Ende-zu-Ende Verschlüsselung verschickt. Nach Ansicht der Behörde würde der unverschlüsselte Versand keine ausreichende Sicherheit für Berufsgeheimnisträger geben.

Nach Ansicht des Verwaltungsgerichts Mainz war die Verwarnung jedoch materiell rechtswidrig. Eine angemessene Sicherheit der Datenverarbeitung wird zwar in Art. 5 Abs. 1 lit. f, Abs. 2 DS-GVO verlangt, jedoch wird hier nicht regelmäßig eine Ende-zu-Ende Verschlüsselung benötigt. Das VG Mainz sieht eine erhöhte Sicherheitsanforderung nur in Einzelfällen. Es bedarf also einer Risikoabwägung im Einzelfall. Eine übliche E-Mail sei meist durch eine Transportverschlüsselung geschützt welche “ durchaus als sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen“ sei. Dies gilt auch für Berufsgeheimnisträger. Nur soweit sensible Daten, solche die zum Beispiel unter Art. 9 und 10 DS-GVO fallen, verarbeitet werden müsse eine erhöhte Sicherheit gewährt werden. Nicht jede Kommunikation eines Berufsgeheimnisträgers bedürfe eines erhöhten Schutzes.

BGH Urteil vom 22.03.2021 (AnwZ (Brfg) 2/20)

VG Mainz Urteil vom 17.12.2020 (VG Mainz 1 K 778/19.MZ)

Bei Fragen zur Datensicherheit stehen wir Ihnen gerne zur Verfügung.

Das OVG Lüneburg (Beschluss vom 19.01.2021 – 11 LA 16/20) hat in einer Berufungszulassungsklage zu Fragen zur Veröffentlichung von Bildern auf Facebook Fanpages entschieden. Gegenstand des Verfahrens waren Bilder auf einer Facebook-Fanpage eines Ortsvereins einer Partei auf denen Privatpersonen identifizierbar waren, die nicht zuvor in die Veröffentlichung eingewilligt hatten.

Im zugrunde liegenden Sachverhalt veröffentlichte ein Ortsverein einer Partei auf ihrerr Facebook Fanpage ein vier Jahre altes Foto einer öffentlichen Bürgerversammlung. Während der Veranstaltung wurde ein Foto gemacht auf dem die Gesichter der Betroffenen eindeutig zu erkennen waren. Die Betroffenen forderten die Verantwortliche auf, das Foto zu entfernen, da ihre Einwilligung fehle und meldeten den Vorfall der Aufsichtsbehörde, die am Ende des Verfahrens den Ortsverein gemäß Art. 58 Abs. 2 lit. b DS-GVO verwarnte und ihm die Kosten des Verfahrens auferlegte. Hiergegen erhob der Ortsverein Klage, welche bezüglich der Verwarnung abgewiesen wurde.

Die Klage auf Zulassung der Berufung hatte vor dem OVG keinen Erfolg.

Eine Rechtfertigung nach Art. 6 Abs. 1 lit. f DS-GVO liege nicht vor. Zum einen sei im Rahmen der Interessenabwägung zu berücksichtigen, dass eine Anonymisierung möglich und somit auch erforderlich gewesen sie und zum anderen überwogen nach Ansicht des Senats die Rechte der Betroffenen das berechtigte Interesse der Partei.

Das Ziel der Veröffentlichung, also das Hervorheben der Aktivität und des Erfolges, hätte auch durch Veröffentlichung des Fotos mit anonymisierten Gesichter der beiden Eheleute erfolgen können..

In der Interessenabwägung stand das Interesse zur Information über die Tätigkeiten und Erfolge des Ortsvereins gegen die Rechte der Eheleute F. Hier war zwar „nur“ die Sozialsphäre der Eheleute betroffen, jedoch wurden die Betroffenen ungefragt und unbemerkt fotografiert. Sie hatten somit keinerlei Kontrolle über das Bild und konnten nicht damit rechnen, dass dieses vier Jahre später auf Facebook veröffentlicht wird.

Auch eine Rechtsfertigung nach Art. 6 Abs. 1 lit. e) DS-GVO lehnte das Gericht ab. Das Veröffentlichen von Fotos auf Facebook stelle keine Wahrnehmung einer Aufgabe dar, die im öffentlichen Interesse liege oder in Ausübung öffentlicher Gewalt erfolge, und die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e) DS-GVO). Parteipolitisches Handeln stellt keine Wahrnehmung staatlicher Aufgaben dar. Darüber hinaus wäre auch hier eine Erforderlichkeit aus den genannten Gründen nicht gegeben.

Art. 21 GG, § 1 ParteienG stellten ebenfalls keine Rechtsgrundlage für die Verarbeitung von Daten nach Art. 6 Abs. 1 lit. e) Abs. 2, Abs. 3 DS-GVO dar. Den Vorschriften fehle es an spezifischen Bestimmungen zur Anpassung der Anwendung der Vorschriften der Datenschutz-Grundverordnung mit Bezug auf die Verarbeitung i.S.d. Art. 6 Abs. 1 lit. e) DS-GVO.

Eine Anwendung der §§ 22, 23 KUG lehnte des Verwaltungsgericht schließlich ebenfalls ab, da es sich bei dem Foto und dem dazugehörigen Text nicht um einen überwiegend journalistischen Beitrag nach Art. 85 Abs. 2 DS-GVO handelt. Parteipolitische Aktivitäten stellen kein journalistischen Zweck dar. Die parteipolitischen Aktivitäten des Ortsvereins sind zwar zur Meinungsbildung nach außen gerichtet worden aber hatten auch werbenden Charakter. Nach der Auslegung des OVG Lüneburgs müssen die Beiträge indes ausschließlich journalistischen Charakter haben, um die Ausnahme des Art. 85 Abs. 2 DS-GVO zu erfüllen.

OVG Lüneburg (11. Senat), Beschluss vom 19.01.2021 – 11 LA 16/20

Bei Fragen zum Thema Datenschutz stehen wir Ihnen gerne zur Verfügung.

Mit Beschluss vom 14.01.2021 hat das Bundesverfassungsgericht (Az. 1 BvR 2853/19) einer Urteilsverfassungsbeschwerde wegen Verletzung des Rechts auf den gesetzlichen Richter gemäß Art. 101 Abs. 1 Satz 2 GG stattgegeben. Das Gericht hätte die streitgegenständliche Frage bezüglich des Schmerzensgeldanspruchs wegen datenschutzwidriger Verwendung einer E-Mailadresse zu Werbezwecken dem EuGH vorlegen müssen.

Sachverhalt

Gegenstand der Verfassungsbeschwerde war ein Urteil des AG Goslar vom 27. September 2019 (Az. 28 C 7/19). Der dortige Kläger und Beschwerdeführer erhielt eine Werbe-Mail an seine berufliche E-Mail-Adresse. Neben Unterlassung beantragte der Kläger auf Grundlage von Art. 82 DSGVO ein Schmerzensgeld von mindestens 500 €.

Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Das Amtsgericht Goslar gab der Klage überwiegend statt, lehnte jedoch den Schmerzensgeldanspruch mit der Begründung ab, die Erheblichkeitsschwelle sei nicht überschritten. Eine einzige Werbe-Mail, die klar erkennbar als solche zu identifizieren sei, würde den Kläger nicht erheblich stören. Die Frage, ob die Erheblichkeitsschwelle der deutschen Rechtsprechung in Bezug auf Persönlichkeitsrechtsverletzungen auch im Unionsrecht (DSGVO) gelte, warf das Gericht auf, verzichtete gleichwohl auf ein Vorabentscheidungsersuchen an den EuGH.

Gegen dieses Urteil legte der Kläger Verfassungsbeschwerde nach Art. 101 Abs. 1 Satz. 2 GG ein, da er in seinem Recht auf den gesetzlichen Richter verletzt sei. Das Amtsgericht hätte den EuGH im Wege eines Vorabentscheidungsverfahren nach Art. 267 Abs. 3 AEUV anfragen müssen. Die Richter in Karlsruhe gaben ihm Recht und sahen das Recht des Klägers auf den gesetzlichen Richter verletzt.

Bisherige Entscheidungspraxis

Die bisherige Rechtsprechung offenbart, dass die nationalen Gerichte bislang eher zurückhaltend mit dem Zusprechen von immateriellem Schadensersatz wegen Verletzungshandlungen nach Maßgabe der DSGVO sind. Zwar wird im Lichte von Art. 82 DSGVO überwiegend keine schwere Verletzung des Persönlichkeitsrechts gefordert, gleichwohl üben sich ordentliche Gerichte und Arbeitsgerichte in Zurückhaltung bei der Zuerkennung von Schmerzensgeld, insbesondere bei bloßen Bagatellverstößen. Dies mag sich mit der Rechtsprechung des EuGH in Zukunft ändern.

BVerfG Beschluss vom 14. Januar 2021 (Az. 1 BvR 28531/19)

AG Goslar Urteil vom 27. September 2019 (Az. 28 C 7/19)

Bei Fragen zum Datenschutz stehen wir Ihnen gerne zur Verfügung.

Das Landgericht Bonn und das Landgericht Berlin entschieden kürzlich über die Anwendung der Unternehmerhaftung und die Bemessung des Bußgelds bei Verstößen gegen die DS-GVO.

LG Bonn

Der Entscheidung ging ein Bußgeldverfahren des Bundesdatenschutzbeauftragen(BfDI) voran, welcher gegen einem Telekommunikationsanbieter ein Bußgeld (Art. 83 DS-GVO) in Höhe von EUR 9.550.000,00 verhängte.

Das Telekommunikationsunternehmen betrieb ein Callcenter welches die Kunden durch die Telefonnummer/Kundennummer identifizierten und durch das Geburtsdatum authentifizierten. Eine Regelung für Dritte gab es nur in Bezug auf Betreuer. Dritte galten jedoch schon als legitimiert, soweit sie die Telefon-, Kundennummer oder den Namen sowie das Geburtsdatum des Kunden kannten.

Die Möglichkeit nutze eine ehemalige Lebensgefährtin eines Kunden aus um die bewusst geänderte Mobilfunknummer des Kunden zu erfahren und ihn daraufhin nachzustellen. Der BfDI wurde durch die Polizei informiert und verhängte das Bußgeld. Gegen dieses ging das Unternehmen vor.

Zunächst entschied das Gericht, dass das Unternehmen unmittelbar in die Haftung genommen werden könnte. Das Gericht ist der Ansicht, dass das Unternehmen wie im supranationalen europäischen Kartellrecht unmittelbar hafte.

„Das deutsche Sanktionsrecht kennt eine solche unmittelbare Haftung von Unternehmen bislang nicht“

Im deutschen Recht gilt bei Ordnungswidrigkeiten gemäß § 30 Abs. 1 OWiG das Rechtsträgerprinzip. Hiernach knüpft sich die Geldbuße stets an ein schuldhaftes Fehlverhalten einer natürlichen Person an und erst auf Rechtsfolgenseite stehen die Unternehmen dafür ein. Das Gericht begründete die Anwendung der direkten Unternehmerhaftung auf der europäischen Gesetzgebung. Diese hätte bei Schaffung des § 83 Abs. 4-6 DS-GVO das supranationale Kartellrecht als Vorbild gehabt.

Das Unternehmen hätte hier auch schuldhaft gegen Art. 32 Abs. 1 DS-GVO verstoßen. Der Zugang zu Daten von Dritten wäre leichtfertig ermöglicht worden. Der Namen und das Geburtsdatum wären leicht zugängliche Daten, die nicht zur Authentifizierung ausreichen dürften. Allerdings sieht das LG Bonn nur wenige sensible Daten betroffen (Kontaktdaten und Bankverbindung) und daher keinen schweren Verstoß.

Das LG Bonn kürzte jedoch das Bußgeld von EUR 9.550.000 um 90 % auf EUR 900.000. Das Gericht hat hierzu aufgeführt, dass zunächst ein Bußgeld maximal in Höhe von EUR 10.000.000 oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich ist, falls dieser Betrag höher ist. Im vorliegenden Fall lag der 2 % Umsatz bei 72,6 Millionen.

„Die Geldbuße muss spürbar sein; sie darf jedoch nicht als unangemessene Härte im Sinne einer überzogenen Reaktion auf den konkreten Verstoß erscheinen.“

Eine reine umsatzbezogene Bemessung des Bußgeldes, wie es der BfDI es vorliegend getan hat, sei jedoch unverhältnismäßig. Der Umsatz könne jedoch bei der Wirksamkeit und Spürbarkeit als Bemessungskriterium mit einbezogen werden. Weitere Kriterien seien zum Beispiel: Anzahl der Verstöße, Art der Daten, Schaden, Motiv und Vorsatz, Kooperation mit Behörden, Korrektur der Fehler, Anzahl der Verfahren, eigene Schäden.

Im vorliegenden Fall kam es dem Unternehmen zu Gute, dass es das erste Verfahren gegen sie war, nur ein Verstoß verfolgt wurde und keine sensiblen Daten betroffen waren. Darüber hinaus ist der Reputationsschaden des Unternehmens in die Berechnung mit eingeflossen, da das Bußgeldverfahren öffentlichkeitswirksam erlassen wurde.

LG Berlin

Das Landgericht Berlin hat in seinem Beschluss vom 18.02.2021 (Az. (526 OWi LG) 212 Js-OWi 1/20 (1/20)) die unternehmerische Haftung verneint. Der § 30 OWiG müsste angewendet werden und folglich wäre ein Fehlverhalten einer natürlichen Person notwendig. Eine Ordnungswidrigkeit könne immer nur eine natürliche Person vorwerfbar begehen; der juristischen Person könne lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden. Vorliegend war ein Verstoß eines börsennotiertes Immobilienunternehmens, welches zu einem Bußgeldbescheid der BlnBDI in Höhe von 14.549.503,15 Euro führte. Das Unternehmen kam Löschungspflichten bei nicht mehr benötigten Daten nicht nach.

Das LG Berlin hat nun das Bußgeld für rechtswidrig erklärt. Nach Ansicht des Gerichts wäre ausschließlich eine Anwendung des § 30 OWiG möglich. Der Art. 83 Abs. 8 DS-GVO verweise auf deutsches Verfahrensrecht. In der Begründung wird eingehend die Gesetzesentstehung thematisiert und dargestellt, dass der § 30 OWiG zwar zunächst ausgenommen werden sollte, dies aber Schluss endlich nicht getan wurde. Die Behörde hätte in ihrer Begründung jedoch nicht dargestellt, dass das Verhalten einer natürlichen Person den Verstoß begründete.

„Insoweit ist die Feststellung eines vorwerfbaren Verhaltens einer natürlichen Person die notwendige Grundvoraussetzung für die Begründung einer Verantwortlichkeit des möglicherweise pflichtigen Rechtsträgers.“

Der Beschluss des LG Berlin ist im Gegensatz zum Urteil des LG Bonn noch nicht rechtskräftig geworden. Die BlnBDI hat bereits Einspruch eingelegt.

Bußgeld gegen schwedisches Modeunternehmen

Gegen ein schwedisches Modeunternehmen verhängte der Hamburger Datenschutzbeauftragte bereits ein Bußgeld in Höhe von 35.258.707,95 Euro. Die Modekette akzeptierte dieses auch und ließ die Widerspruchsfrist verstreichen. Vorliegend kam es zu Erfassungen privater Lebensumstände über einen mehrjährigen Zeitraum. Diese umfassten zum Beispiel Familienleben, Urlaub, Krankheit und Religion. Das Bußgeld wurde aufgrund der schweren Missachtung des Beschäftigtendatenschutzes hoch angesetzt.

Auswirkungen

An den Fällen sieht man, dass Verstöße gegen die DS-GVO mit hohen Bußgeldern geahndet werden können, die Bußgelder jedoch immer im Verhältnis zum Verstoß angemessen seien müssen.

Die Frage, ob eine unternehmerische Haftung oder das Rechtsträgerprinzip anzuwenden ist, bleibt umstritten und bedarf höchstrichterlicher Entscheidung. Die Aufsichtsbehörden werden die Bußgelder zumindest genauer begründen müssen, um sicherzustellen, dass die Haftung als Unternehmen direkt oder im Zuge des Rechtsträgerprinzips greift.

DSK Berechnungsmodell

Bereits im Oktober 2019 stellte die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, ein Berechnungsmodell vor, mit dem ein Bußgeld berechnet werden soll. Eine Bindung für Behörden oder Gerichte gibt es hierdurch jedoch nicht. Maßstab ist immer noch der Art. 83 Abs. 1 DS-GVO, somit muss das Bußgeld wirksam, angemessen und abschreckend sein.

Das DSK Berechnungsmodell beinhaltet 5 Schritte:

1. Schritt: Das betreffende Unternehmen wird einer bestimmten Größenklasse zugeordnet.
2. Schritt: Es wird der mittlere Jahresumsatz der jeweiligen Größenklasse-Untergruppe ermittelt.
3. Schritt: Der wirtschaftliche Grundwert wird ermittelt.
4. Schritt: Dieser Grundwert wird mit einem von der Schwere der Tat abhängigen Faktor multipliziert.
5. Schritt: Berücksichtigung und Anpassung des Wertes anhand täterbezogener und sonstiger, noch nicht berücksichtigter Umstände.

LG Bonn Urteil vom 11.11.2020 Az. 29 OWi 1/20

LG Berlin Beschluss vom 18.02.2021 (Az. (526 OWi LG) 212 Js-OWi 1/20 (1/20))

Bei Fragen zum Datenschutzrecht stehen wir Ihnen gerne zur Verfügung.

Seit dem 01.01.2021 ist das Vereinigte Königreich nicht mehr Teil der EU. Der Austritt hat auch Auswirkungen auf den Datenschutz. Abhilfe schafft zunächst das Brexit-Abkommen.

Der Datentransfer zwischen Unternehmen in verschiedenen Ländern ist allgegenwärtig. Innerhalb der EU ist dies im Rahmen der DSGVO möglich. Durch den Austritt Großbritanniens drohte Ungewissheit in wie fern ein Datentransfer weiterhin zulässig wäre.

Durch das in letzter Sekunde zustande gekommene Brexit-Abkommen verschaffen sich das Vereinigte Königreich und die EU Zeit um den Datenaustausch weiterhin zulässig zu ermöglichen. Wäre Großbritannien ohne Abkommen aus der EU ausgeschieden hätte ein Datentransfer in ein Drittland vorgelegen, welcher nur unter strengen Voraussetzungen erlaubt gewesen wäre und bei dem gemäß Art. 46 Abs. 1 DS-GVO „geeignete Garantien“ vorgesehen werden müssen und den Betroffenen „durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen“ müssen.

Im Brexit-Abkommen (Teil 7, Art. FINPROV.10A Abs. 1) wurde jetzt aber eine Übergangszeit von zunächst 4 Monaten (stillschweigend verlängerbar auf 6 Monate) festgehalten, in der Großbritannien nicht als Drittstaat gilt. Innerhalb dieser Zeit soll ein Angemessenheitsbeschluss durch die EU-Kommission nach Art. 45 Abs. 3 DS-GVO verabschiedet werden. Dieser würde den angemessenen Schutz feststellen und ein Datentransfer nach Großbritannien wäre einem innereuropäischen Datentransfer gleichgestellt.

Bis jetzt ist jedoch ein solcher Angemessenheitsbeschluss nicht verabschiedet worden.

Wenn Sie Fragen zum Thema Datenschutz haben stehen wir Ihnen gerne zur Verfügung.

Eine Vielzahl von Unternehmen ermöglichen zum Schutz ihrer Mitarbeiterinnen und Mitarbeiter die Telearbeit bzw. das „HomeOffice“. Nach Maßgabe datenschutzrechtlicher Anforderungen und dem Geschäftsgeheimnisgesetz obliegt es dem Arbeitgeber die erforderlichen Maßnahmen zum Schutze dieser Daten zu treffen.

Der Europäische Gerichtshof (EuGH) hat in einem Urteil vom 01.10.2019 wesentliche Fragen im Zusammenhang mit dem rechtskonformen Einsatz von Cookies beantwortet.

Die Entscheidung ist inhaltlich nicht überraschend. Bereits der Generalanwalt hatte sich zu den nun entschiedenen Fragen entsprechend positioniert. Zudem deckt sich die in der Entscheidung vom EuGH vertretene Auffassung mit der von vielen Seiten bereits seit langem vertretenen Auslegung der maßgeblichen europäischen Vorschriften. Gleichwohl sind die Konsequenzen der nun höchstrichterlich bestätigten hohen Anforderungen an den Einsatz von Cookies für Betreiber von Webseiten und Online-Diensten, insbesondere aber für die Online-Marketingbranche, erheblich.

Was wurde konkret entschieden?

Der EuGH stellt in seiner Entscheidung zunächst fest, dass der Einsatz von Cookies oder – anders ausgedrückt – das Speichern von Informationen auf dem Endgerät eines Nutzers bzw. das Abrufen von Informationen, die im Endgerät des Nutzers gespeichert sind, grundsätzlich der vorherigen Zustimmung (Einwilligung) des betreffenden Nutzers bedarf. Dabei muss die Einwilligung des Nutzers in Form einer aktiven Handlung erfolgen. Das bisher weit verbreitete Opt-Out-Verfahren, bei der die Einwilligung „voreingestellt“ ist und der Nutzers nur aktiv werden muss, wenn er die Verwendung ablehnen möchte, reicht dazu nicht aus. Nicht ausreichend sind daher auch Gestaltungen, bei denen der Nutzer durch das reine Weiternutzen eines Online-Angebotes die Zustimmung zur Verwendung der Cookies erteilen soll. Erforderlich sind vielmehr Opt-In-Verfahren bzw. solche Verfahren, bei denen der Nutzer nachvollziehbare, aktive Handlungen vornimmt, mit denen er die Zustimmung zur Verwendung der Cookies ausdrückt.

Entsprechende Einwilligungen des Nutzers sind grundsätzlich immer erforderlich, ganz gleich, ob mittels der eingesetzten Cookies personenbezogene Daten erhoben bzw. verarbeitet werden oder nicht. Ausgenommen vom Einwilligungserfordernis ist lediglich der Einsatz solcher Cookies, die zur Bereitstellung des jeweiligen Dienstes technisch erforderlich sind. 

Weiter befasst sich die Entscheidung des EuGH mit der Frage des Umfangs der dem Nutzer im Zusammenhang mit seiner Einwilligung zu erteilenden Informationen. Der EuGH stellt hierzu fest, dass die Wirksamkeit der vom Nutzer erteilten Einwilligung maßgeblich davon abhänge, dass der Nutzer diese auf Grundlage klarer und umfassender Informationen über die eingesetzten Cookies erteilt. Diese Informationen müssen so beschaffen sein, dass der Nutzer bei der Einwilligungserteilung über alle das konkrete Cookie betreffenden Informationen verfüge. Diese Informationen müssten den Nutzer somit in die Lage versetzen, die Konsequenzen einer von ihm erteilten Einwilligung leicht zu überblicken. Insofern müssten die Informationen insbesondere über die Funktionsweise des jeweiligen Cookies, die Funktionsdauer sowie über den Umstand aufklären, ob Dritte Zugriff auf die Cookies erhalten können.

Betreiber von Webseiten, Anbieter von Online-Shops und Online-Diensten sollten daher vor diesem Hintergrund die Gestaltung des Einsatzes von Cookies im Rahmen Ihres Angebotes zunächst dahingehend prüfen, ob sie einwilligungspflichtige, d.h. nicht technisch notwendige Cookies einsetzen. Relevant sind dabei insbesondere Tracking- und Analyse-Tools, Tools für das Retargeting und Remarketing sowie Social-Media-Plugins, die Informationen unter Verwendung von Cookies oder entsprechender Technologien verarbeiten.

In diesen Fällen ist dann zunächst das Einwilligungsverfahren so zu gestalten, dass der Nutzer aktiv und vorab seine Zustimmung erteilt (insbesondere mittels Opt-in-Lösungen) und andernfalls – bei Ablehnung durch den Nutzer – entsprechende Techniken nicht zum Einsatz kommen. Zudem muss im Kontext der Einwilligung sichergestellt sein, dass dem Nutzer vor der Erteilung der Einwilligung die erforderlichen Informationen zu den jeweiligen Cookies zur Verfügung stellt werden, etwa – soweit möglich – unmittelbar im Einwilligungsverfahren sowie ergänzend über transparent einbezogene und leicht zugängliche (Datenschutz-)Hinweise.

Bei Fragen zum Datenschutz stehen wir gern zur Verfügung.

Der EuGH hat auf der Grundlage der Datenschutzrichtlinie (Richtlinie 95/46/EG) mit Urteil vom 29.07.2019 – Az. C‑40/17 – entschieden, dass Websitebetreiber beim Einsatz des Facebook-Plugins gemeinsam mit dem Anbieter (Facebook) für die Erhebung auf der Website und die Übermittlung dieser Daten an Facebook datenschutzrechtlich verantwortlich sind. Die gemeinsame Verantwortlichkeit führt jedoch nicht zu einer allumfassenden Verantwortlichkeit des Websitebetreibers für vor- oder nachgelagerte Phasen der Datenverarbeitung, auf die keinerlei Einfluss besteht.

In dem dem Vorlageverfahren zugrunde liegenden Sachverhalt hatte ein Online-Händler (Fashion-ID) auf seiner Website ein sog. Facebook-PlugIn „Gefällt mir“ eingebunden. Aufgrund des Einsatzes des Plugins wurden beim Aufruf der Website Daten an Facebook, insbesondere IP-Adresse des Endgeräts des Besuchers sowie technische Informationen des Browers übermittelt.

Unter Bezugnahme auf die vorangegangene Rechtsprechung hat der EuGH den Website-Betreiber als gemeinsam Verantwortlichen im Sinne der Datenschutz-RL qualifiziert, da der Website-Betreiber durch die Integration des Plugins auf dessen Website die Erhebung der Daten und die Weitergabe an Facebook beeinflusse, mithin gemeinsam über „Zweck und Mittel“ der Datenverarbeitung entscheide. Demgegenüber erscheine es jedoch nach Aktenlage ausgeschlossen, dass auch eine gemeinsame Verantwortlichkeit bezüglich einer nachgelagerten Datenverarbeitung durch bzw. bei Facebook in Frage käme.

Bezüglich der Legitimation der Datenverarbeitung könnten sich die gemeinsam Verantwortlichen nur dann auf ein „berechtigtes Interesse“ berufen, wenn sowohl Website-Betreiber als auch Anbieter mit den Verarbeitungsvorgängen jeweils ein berechtigtes Interesse wahrnähmen.

Besteht beim Website-Betreiber ein solches nicht, bedürfe es neben der Erteilung der Pflichtinformationen einer vorherigen Einwilligung des Website-Besuchers. Unter Berücksichtigung der unterschiedlichen Verantwortungsbereiche in den unterschiedlichen Datenverarbeitungsphasen könne sich der Umfang der Einwilligung und die Erteilung der Pflichtinformationen jedoch auf solche Datenverarbeitungsvorgänge beschränken, welche der gemeinsamen Verantwortlichkeit unterliegen.

Hinweise:

Das Urteil des EuGH bestätigt erneut den weiten Anwendungsbereich der datenschutzrechtlichen „gemeinsamen Verantwortlichkeit“, wie sie nunmehr in Art. 4 Nr. 7, 26 DSGVO verankert ist. Geht man mit guten Gründen davon aus, dass die Bewertungsmaßstäbe für eine gemeinsame Verantwortlichkeit auf die DSGVO übertragbar sind, bedarf es unter Geltung der DSGVO nunmehr einer zusätzlichen Vereinbarung zwischen den Verantwortlichen, wobei das Wesentliche den betroffenen Personen zur Verfügung gestellt werden muss. Ob in jedem Fall auch eine Einwilligung vom Websitebetreiber einzuholen ist, lässt das Gericht grundsätzlich offen. Geht man jedoch davon aus, dass Cookies oder ähnliche Webtechnologien im Rahmen des Plugins zum Einsatz kommen bzw. Zugriff auf Informationen im Endgerät gewährt wird, die nicht notwendigerweise datenschutzrechtlich relevant sein müssen, wäre zumindest eine Einwilligung und Informationserteilung nach Maßgabe der Richtlinie 2002/58 geboten.

Bei Fragen zur gemeinsamen Verantwortlichkeit oder anderen datenschutzrechtlichen Themen stehen wir gern zur Verfügung.

Der Europäische Gerichtshof hat im Jahr 2018 wegweisende Urteile über die gemeinsame Verantwortlichkeit verkündet (u.a. „Facebook-Insights“ u. „Zeugen Jehovas“). Die Rechtsfigur der „gemeinsamen Verantwortlichkeit“ und die damit verbundene Notwendigkeit einer vertraglichen Vereinbarung zwischen den beteiligten Verantwortlichen ist für viele Verantwortliche neu. Entscheiden mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Datenverarbeitung, so sind sie gemeinsam verantwortlich und müssen untereinander vereinbaren, wer im Innenverhältnis welcher Pflicht aus der Datenschutz-Grundverordnung (DSGVO) nachkommt.

Gemäß Art. 26 Abs. 1 S. 1 DSGVO sind mehrere Stellen „gemeinsam für die Verarbeitung Verantwortliche“, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Diese Definition baut auf Art. 4 Nr. 7 DSGVO auf, wonach Verantwortlicher diejenige Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Einordnung und Abgrenzung

Die „gemeinsame Verantwortlichkeit“ stellt keine Rechtsgrundlage für eine Verarbeitung durch mehrere Verantwortliche dar, sondern dient der Klarstellung, wer welche Aufgaben aus der DSGVO zu erfüllen hat. Soweit der jeweilige Verantwortliche im Rahmen der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, ist für diese Verarbeitung eine eigene Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO notwendig.

Abzugrenzen ist die gemeinsame Verantwortlichkeit insbesondere von der Auftragsverarbeitung nach Art. 28 DSGVO. Maßgeblich sind die tatsächlichen Umstände der Entscheidung über die Datenverarbeitung sowie der faktische Einfluss auf diese, nicht hingegen die in einer Vereinbarung festgelegte „formale“ Bezeichnung. Ein wichtiges Abgrenzungskriterium ist die Weisungsabhängigkeit.

Voraussetzungen

Voraussetzung für die gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO ist eine gemeinsame Festlegung der Zwecke der und Mittel zur Verarbeitung. Eine „gemeinsame Entscheidung“ über die Zwecke und Mittel der Verarbeitung setzt voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt. Ein bestimmender Einfluss kann sich darin äußern, dass bei verschiedenen Zwecken, die von den jeweiligen Beteiligten verfolgt werden, eine Zweckverfolgung im Rahmen dieser konkreten Datenverarbeitung nicht ohne die andere möglich ist. Ein bestimmender Einfluss erfordert nicht, dass jeder der Beteiligten die umfassende Kontrolle über alle Umstände und Phasen der Verarbeitung besitzt.

Der Europäische Gerichtshof hat in der Entscheidung „Zeugen Jehovas“ klargestellt, dass das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten voraussetzt. Die Akteure könnten vielmehr in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände zu beurteilen ist. Die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung setze zudem nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat. Es sei denkbar, dass beteiligte datenverarbeitende Stellen nur in bestimmten Phasen der Datenverarbeitung, etwa bei der Datenerhebung gemeinsam Verantwortliche sind.

Dass ein tatsächlicher Einfluss auf die Datenverarbeitung verknüpft mit der Möglichkeit, daraus wirtschaftliche Vorteile zu ziehen, eine gemeinsame Verantwortlichkeit im Sinne des Art. 16 DSGVO begründen kann, zeigt die Rechtsprechung des Europäischen Gerichtshofs in Bezug auf die Funktion Facebook Insights.

Facebook-Fanpage Betreiber können anonymisierte statistische Daten betreffend die Nutzer in Facebook-Insights einsehen und z.B. für gezielte Werbung nutzen. Bei der Einrichtung einer Facebook-Fanpage nimmt der Betreiber der Seite eine Parametrierung u.a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten vor, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Außerdem kann der Betreiber die Kriterien festlegen, nach denen Statistiken erstellt werden sollen und die Kategorien von Personen bezeichnen, deren personenbezogenen Daten ausgewertet werden. Daraus schließt der Gerichtshof, dass der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung personenbezogener Daten der Besucher seiner Seite beiträgt. Durch die vorgenommene Parametrierung u.a. entsprechend dem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten sei der Fanpage Betreiber an der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten beteiligt und daher als gemeinsam mit Facebook Ireland für diese Verarbeitung verantwortlich.

Rechtsfolgen des Art. 26 DSGVO

Art. 26 DSGVO legt den gemeinsam Verantwortlichen spezifische Pflichten auf, die über die für jeden Verantwortlichen nach der DSGVO geltenden Pflichten hinausgehen. Dadurch soll u.a. die Transparenz und Rechtsdurchsetzung für die betroffenen Personen verbessert werden. Außerdem soll bezüglich der Verantwortung und Haftung der Verantwortlichen – auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden – eine klare Zuteilung der Verantwortlichkeiten durch die DSGVO gewährleistet werden.

Es ist eine Vereinbarung nach Art. 26 DSGVO (Joint Controllership Agreement) abzuschließen. In dieser Vereinbarung ist gemäß Art. 26 Abs. 1 S. 2 DSGVO festzulegen, wer welche in der DSGVO geregelten Verpflichtungen, insbesondere die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14 DSGVO, erfüllt. Nach Art. 26 Abs. 1 S. 3 DSGVO kann eine Anlaufstelle für die betroffene Person angegeben werden. Art. 26 Abs. 2 S. 1 DSGVO regelt, dass die Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln muss. Gemäß Art. 26 Abs. 2 S. 2 DSGVO „wird“ das Wesentliche der Vereinbarung der betroffenen Person zur Verfügung gestellt. Das umfasst eine nachvollziehbare Beschreibung des Zusammenwirkens und der Rollen der Beteiligten und ihrer jeweiligen Beziehung zur betroffenen Person sowie die Angabe, welcher der gemeinsam Verantwortlichen welche Betroffenenrechte und Informationspflichten erfüllen soll.

Der Abschluss einer solchen Vereinbarung ist wichtig, um die in Art. 83 Abs. 4 lit. a DSGVO enthaltenen Geldbußen zu vermeiden. Jeder der gemeinsam Verantwortlichen haftet nach Art. 82 Abs. 4 in Verbindung mit Abs. 2 Satz 1 DSGVO im Falle rechtswidriger Verarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann (Art. 82 Abs. 3 DSGVO). Die Verantwortlichen haften auch ohne eine Vereinbarung nach Art. 26 Abs. 1 DSGVO gemeinschaftlich.

Hinweise

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat ein Muster zur Vereinbarung gemäß Art. 26 Abs. 1 S. 1 DSGVO sowie zur Information betroffener Personen gemäß Art. 26 Abs. 2 S. 2 DSGVO veröffentlicht. Hingewiesen sei außerdem auf das durch die Datenschutzkonferenz veröffentlichte Kurzpapier zur gemeinsamen Verantwortlichkeit.

Links zu den Entscheidungen des Europäischen Gerichtshofs: „Facebook Insight“, „Zeugen Jehovas“

Für Fragen zur gemeinsamen Verantwortlichkeit oder anderen Themen der DSGVO stehen wir gern zur Verfügung.

Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine der genannten Rechtsgrundlagen vorliegt. Neben einer Einwilligung oder der Erfüllung eines Vertrags ist das „berechtigte Interesse“ zentrale Rechtsgrundlage.

Nach Art. 6 Abs. 1 lit. f) DSGVO  ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Daraus folgen drei Voraussetzungen, die vorliegen müssen, damit die Verarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO bzw. ein „berechtigtes Interesse“ gestützt werden kann.

• Der für die Verarbeitung personenbezogener Daten Verantwortliche oder ein Dritter hat ein berechtigtes Interesse an der Datenverarbeitung

• Die Verarbeitung ist zur Wahrung des berechtigten Interesses erforderlich

• Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen nicht

Berechtigtes Interesse

Die Datenschutzgrundverordnung enthält keine Regelung, was genau ein „berechtigtes Interesse“ des Verantwortlichen oder eines Dritten ist. Es handelt sich um einen unbestimmten Rechtsbegriff, dessen Bedeutung durch Auslegung zu ermitteln ist. Der Begriff „Interesse“ ist sehr weit gefasst und umfasst grundsätzlich jedes rechtliche, tatsächliche oder wirtschaftliche Interesse. Das Wort „berechtigt“ schränkt den Begriff „Interesse“ insoweit ein, als dass nur die Interessen, die der Rechtsordnung nicht zuwiderlaufen, geschützt werden sollen. Das zugrundeliegende Interesse darf nicht verboten oder strafrechtlich relevant sein.

Die vor Geltung der DSGVO anwendbare Datenschutzrichtlinie RL 95/46/EG kannte den Begriff des berechtigten Interesses bereits. Die Artikel-29-Datenschutzgruppe hatte dieses als „das Bestreben im weiteren Sinne, das ein für die Verarbeitung Verantwortlicher an dieser Verarbeitung haben kann, oder der Nutzen, den der für die Verarbeitung Verantwortliche aus der Verarbeitung zieht – oder den die Gesellschaft daraus ziehen könnte“ definiert.

In den Erwägungsgründen 47 bis 49 zur DSGVO sind einige Beispiele genannt. Ein berechtigtes Interesse kann vorliegen, wenn „eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht“. Bei der Verarbeitung personenbezogener Daten zur Verhinderung von Betrug zum Zwecke der Direktwerbung kann ebenfalls ein berechtigtes Interesse vorliegen. Darüber hinaus kann die Übermittlung zwischen Teilen von Unternehmensgruppen oder Gruppen von Einrichtungen für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigen ein berechtigtes Interesse darstellen.

Erforderlichkeit

Die Verarbeitung ist zur Wahrung des berechtigten Interesses erforderlich, soweit der Zweck der Verarbeitung nicht auch in zumutbarer Weise durch ein anderes, milderes Mittel erreicht werden kann.

Interessenabwägung

Ob die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, ist durch Abwägung mit den Interessen des Verantwortlichen oder des Dritten zu ermitteln. Die DSGVO enthält keine Regelung, welche Kriterien dabei anzuwenden sind. Daher sollten die Interessen des Verantwortlichen oder des Dritten benannt und gewichtet werden. Hohes Gewicht kommt einem Interesse etwa dann zu, wenn es sich auf ein oder gar mehrere Grundrechte stützen lässt. Außerdem hat ein Interesse mehr Gewicht, soweit die Verarbeitung nicht ausschließlich dem Verantwortlichen, sondern zumindest auch der Allgemeinheit zugutekommt.

Demgegenüber stehen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person. Diese sind ebenfalls zu gewichten, um eine Abwägung zu ermöglichen. Dabei kann insbesondere auf die Art der Daten, die Menge der Daten und der betroffenen Personen, die Quelle der Daten, die Anzahl der Verarbeiter, die Dauer der Verarbeitung sowie die Sicherheit der Verarbeitung Bezug genommen werden. Zu berücksichtigen ist zudem, ob die betroffene Person im Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen diese Erhebung erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für den angestrebten Zweck erfolgen wird (Erwägungsgrund 47 Satz 1 bis 3).

Überwiegen nunmehr die Interessen des Verantwortlichen oder des Dritten die der betroffenen Person, so ist die Datenverarbeitung zulässig. Überwiegen die Interessen des Verantwortlichen oder des Dritten die der betroffenen Person nicht, so ist die Datenverarbeitung unzulässig. In diesem Fall kann durch geeignete Maßnahmen wie eine Verkürzung der Dauer der Verarbeitung oder der Erhöhung der Sicherheit der Verarbeitung möglicherweise ein Überwiegen der Interessen des Verantwortlichen gerechtfertigt werden.

Bei Fragen zur Datenschutzgrundverordnung (DSGVO) stehen wir Ihnen jederzeit gerne zur Verfügung.

Eine Verarbeitung personenbezogener Daten ist nach Art. 6 Abs. 1 DSGVO nur dann rechtmäßig, wenn sie auf eine der sechs genannten Rechtsgrundlagen gestützt werden kann. Nach Art. 6 Abs. 1 lit. a) DSGVO ist eine Verarbeitung rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Die DSGVO regelt insbesondere in Art. 7 DSGVO spezielle Anforderungen für die Wirksamkeit einer Einwilligung.

Nach Artikel 4 Nr. 11 DSGVO ist eine „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Freiwilligkeit

Eine freiwillige Einwilligung liegt nur vor, wenn eine echte und freie Wahl, mithin die Möglichkeit besteht, die Einwilligung zu verweigern oder zurückzuziehen, ohne dass Nachteile eintreten. Die Erfüllung eines Vertrages darf daher im Sinne des sog. Koppelungsverbots nicht von der Einwilligung in eine Datenverarbeitung abhängig gemacht werden, wenn diese nicht für die Erfüllung des Vertrages erforderlich ist (Artikel 7 Abs. 4 DSGVO).

Vorab zu erteilende Informationen

Vorab muss darüber informiert werden, wer für die Datenverarbeitung verantwortlich ist und zu welchen Zwecken personenbezogene Daten verarbeitet werden sollen. Wird eine vorformulierte Einwilligungserklärung bereitgestellt, so muss diese in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache gefasst sein. Nach Auffassung des Europäischen Datenschutzausschusses ist zudem über die Art der Daten, über das Widerrufsrecht, ggf. über die Verwendung der Daten für eine automatisierte Entscheidungsfindung und über mögliche Risiken von Datenübermittlungen in Drittländer ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien nach Artikel 46 DSGVO zu informieren.

Unmissverständliche Willensbekundung

Einwilligungen müssen nicht schriftlich abgegeben werden. Allerdings muss eine unmissverständlich abgegebene Willensbekundung vorliegen. Diese kann in Form einer Erklärung oder durch eine sonstige eindeutig bestätigende Handlung – wie das Anklicken eines Feldes oder eine mündliche Aussage – erfolgen. Dabei muss das Einverständnis zur Datenverarbeitung unmissverständlich sein. Stillschweigen, bereits angeklickte Kästchen oder Untätigkeit stellen keine Einwilligung dar.

Im Gegensatz zur bisherigen Rechtsprechung (BGH, 11.11.2009, VIII ZR 12/08) reicht es nicht mehr aus, auf Vertragsklauseln zu verweisen, die eine fiktive Einwilligung enthalten. Ein vorformulierter Einwilligungstext, der nicht durchgestrichen wird oder ein Kreuz zur Nichterteilung einer Einwilligung ist keine wirksame Einwilligung.

Nachweis

Nach Artikel 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, wenn die Verarbeitung auf der Einwilligung beruht. Wird die Einwilligung elektronisch erteilt, ist daher sicherzustellen, dass die Einwilligung protokolliert wird. Mit Blick auf die Nachweispflicht sind mündliche Einwilligungen eher wenig praktikabel.

Widerruf

Nach Artikel 7 Abs. 3 DSGVO hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf durchgeführten Verarbeitung personenbezogener Daten nicht berührt. Die betroffene Person muss vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt werden. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Besondere Kategorien personenbezogener Daten

Für die Verarbeitung besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten, genetische Daten oder biometrische Daten ist gemäß Artikel 9 Abs. 2 lit. a DSGVO eine ausdrückliche Einwilligung erforderlich. Konkludente Handlungen sind in diesem Zusammenhang ausgeschlossen. Für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft enthält Artikel 8 DSGVO besondere Bedingungen. Im Beschäftigtendatenschutz sieht das neue BDSG grundsätzlich weiterhin das Erfordernis der Schriftform vor.

Fortgeltung „alter“ Einwilligungen

Einwilligungen, die vor der Anwendbarkeit der DSGVO erteilt wurden gelten grundsätzlich weiterhin. Voraussetzung dafür ist, dass sie ihrer Art nach den Bedingungen der DSGVO entsprechen. Dabei ist entscheidend, dass die Einwilligung nachgewiesen werden kann und freiwillig abgegeben wurde. Außerdem muss die betroffene Person vorab insbesondere darüber informiert worden sein, wer Verantwortlicher für die Datenverarbeitung ist und zu welchem Zweck personenbezogene Daten verarbeitet werden. Darüber hinaus muss über das Widerrufsrecht informiert worden sein und es müssen Mechanismen bereitstehen, die den Widerruf der Einwilligung ermöglichen. Einwilligungen, die diesen Anforderungen nicht genügen sind unwirksam und damit keine wirksame Rechtsgrundlage für eine Verarbeitung personenbezogener Daten.

Folgen einer unwirksamen Einwilligung

Im Falle einer unwirksamen Einwilligung kann die Datenverarbeitung grundsätzlich nicht auf eine andere Rechtsgrundlage wie die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten (Artikel 6 Abs. 1 lit. f DSGVO) gestützt werden. Dies liegt daran, dass der Verantwortliche die Grundsätze der Fairness und Transparenz (Artikel 5 Abs. 1 lit. a DSGVO) zu beachten hat.

Bei Verstößen gegen die Grundsätze der Verarbeitung einschließlich der Bedingungen für die Einwilligung kann von der zuständigen Aufsichtsbehörde nach Maßgabe von Artikel 83 Abs. 5 lit. a DSGVO eine Geldbuße verhängt werden.

Bei Fragen zur Datenschutz-Grundverordnung (DSGVO) stehen wir Ihnen jederzeit gerne zur Verfügung.

Unternehmen in Nordrhein-Westfalen müssen spätestens bis zum Jahresende ihren Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde registrieren, um Sanktionen zu vermeiden.

Gemäß Art. 37 Abs. 7 DS-GVO sind Verantwortliche und Auftragsverarbeiter nicht bloß verpflichtet, die Kontaktdaten ihrer/ihres Datenschutzbeauftragten (DSB) zu veröffentlichen, sondern müssen diesen auch gegenüber den zuständigen Aufsichtsbehörden benennen. Verstöße hiergegen sind gemäß Art. 83 Abs. 4 lit. a) DSGVO bußgeldbewehrt. weiterlesen …

Betreiber von Facebook-Fanpages sollten zur Risikominimierung ihre Datenschutzhinweise an die von Facebook bereitgestellte Joint-Controller-Vereinbarung anpassen. Rechtssicherheit bezüglich des datenschutzkonformen Betreibens von Social-Media-Auftritten besteht hierdurch jedoch weiterhin nicht.

Im Juni 2018 hatte der EuGH (Az. C-210/16) in einem viel beachteten Urteil entschieden, dass Betreiber einer Facebook-Fanpage gemeinsam mit Facebook verantwortlich für die Verarbeitung personenbezogener Daten der Besucher sind, sog. „Joint Controllership“.

Eine gemeinsame datenschutzrechtliche Verantwortlichkeit erfordert nach Maßgabe des seit Mai 2018 anzuwendendem Art. 26 DS-GVO insbesondere auch eine sog. Joint Controller-Vereinbarung, die klarstellt, wie die gemeinsam Verantwortlichen die Pflichten aus der DSGVO erfüllen werden. Zudem müssen Fanpage-Besucher vom Betreiber der Fanpage in transparenter und verständlicher Form über die gemeinsame Datenverarbeitung informiert werden (Datenschutzhinweise). weiterlesen …

Die Datenschutzgrundverordnung (DSGVO) wird die betriebliche Datenschutzpraxis in Europa insgesamt verändern und die Anforderungen an die Datenschutz-Compliance steigern.

Grundlegende Informationen dazu erhalten Sie nachfolgend im Überblick:

1. Ab wann gilt die DSGVO?

Formal betrachtet ist die DSGVO bereits am 25.05.2016 in Kraft getreten. In den europäischen Mitgliedstaaten, und damit auch in Deutschland, ist sie ab dem 25.05.2018 unmittelbar anzuwenden. Das heißt, ab dem 25.05.2018 sind die Anforderungen der DSGVO ohne weitere Umstellungsfrist einzuhalten.

2. Datenschutzorganisation

Die DSGVO stellt neue, strengere Anforderungen an die betriebliche Datenschutzorganisation sowie an die im Zusammenhang mit der Verarbeitung personenbezogener Daten implementierten Prozesse in Unternehmen.

RISIKOBASIERTER DATENSCHUTZ UND DATENSICHERHEIT

Die von der DSGVO geforderten Maßnahmen beim Umgang mit personenbezogenen Daten stehen weitgehend in direkter Abhängigkeit von den Risiken, die eine Datenverarbeitung für die persönlichen Rechte und Freiheiten der betroffenen Personen mit sich bringt. Insoweit sind die bisherigen Maßnahmen unter Berücksichtigung einer entsprechenden Risikoanalyse zu prüfen und anzupassen.

Unternehmen müssen zudem grundsätzlich ein – in Bezug auf die vorstehend genannten Risiken für die betroffenen Personen – angemessenes Schutzniveau im Hinblick auf die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten und die dafür zu implementierenden Sicherungsmaßnahmen einer regelmäßigen Überprüfung unterziehen. Verstöße im Bereich der Datensicherheit sind – anders als bisher – nunmehr bußgeldbewehrt (siehe hierzu auch unten „8. Haftung des Unternehmens und Bußgelder“).

DATENSCHUTZ-FOLGENABSCHÄTZUNG

Ein wesentliches Element der Risikoanalyse ist die sogenannte Datenschutz-Folgenabschätzung. Das Konzept der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO weicht erheblich von dem bisher bekannten Prinzip der sog. Vorabkontrolle ab.
Birgt eine Datenverarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen in sich, so muss das Unternehmen vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen. Dabei sollen insbesondere Eintrittswahrscheinlichkeit und Schwere möglicher Risiken der Datenverarbeitung bewertet werden. Das Unternehmen soll auch Art, Umfang, Umstände, verfolgte Zwecke sowie Ursachen möglicher Risiken bewerten und dieses Verfahren nachweisbar dokumentieren. In diesem Zusammenhang sollen auch Maßnahmen, Garantien und Verfahren geprüft werden, mit denen Unternehmen bestehende Risiken eindämmen und die sonstigen Vorgaben der Verordnung einhalten können. Sofern die Datenschutz-Folgenabschätzung ergibt, dass die geplante Datenverarbeitung tatsächlich ein hohes Risiko zur Folge hätte, muss der Verantwortliche nach Art. 36 DSGVO die zuständige Aufsichtsbehörde konsultieren, sofern keine Maßnahmen zur Eindämmung des Risikos getroffen werden.

DATENSCHUTZ DURCH TECHNIK UND DATENSCHUTZFREUNDLICHE VOREINSTELLUNGEN

Die DSGVO enthält spezifische Rahmenbedingungen für die Art und Weise, wie die Anforderungen der DSGVO schon bei der Prozessgestaltung – Art. 25 Abs. 1 DSGVO: Grundsatz der „privacy by design“ – und bei den Voreinstellungen umzusetzen sind – Art. 25 Abs. 2 DSGVO: Anforderung der „privacy by default“.

Nach dem Grundsatz der „privacy by design“ müssen Unternehmen ihre Verarbeitungsvorgänge und IT-Systeme grundsätzlich so ausgestalten, dass sie die Datenschutzgrundsätze des Art. 5 DSGVO wirksam umsetzen. Hier ist insbesondere das Gebot der Datenminimierung zu beachten, wonach Unternehmen nur gerade so viele Daten erheben und verarbeiten dürfen, wie es zur Erfüllung des verfolgten Zwecks erforderlich ist.

Zudem sollen insbesondere IT-Systeme nach der Anforderung der „privacy by default“ so „voreingestellt“ sein, dass sie grundsätzlich nur solche personenbezogenen Daten verarbeiten, deren Verarbeitung für den jeweils verfolgten Zweck erforderlich ist.

3. Dokumentation und Nachweis

Die DSGVO rückt die Verantwortlichkeit der Unternehmen in den Vordergrund und erweitert die Dokumentations- und Nachweispflichten der Unternehmen erheblich.

RECHENSCHAFTSPFLICHT

Nach Art. 5 Abs. 2 DSGVO sind Unternehmen verpflichtet, im Rahmen der neu eingeführten Rechenschaftspflicht (sogenannte „accountability“) die Einhaltung der Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO nachweisen zu können.

NACHWEISPFLICHT GEMÄSS ART. 24 ABS. 1 DSGVO

Nach Art. 24 Abs. 1 DSGVO muss das Unternehmen nachweisen können, dass es personenbezogene Daten in Übereinstimmung mit der DSGVO verarbeitet. Daher müssen Unternehmen nicht nur geeignete technische und organisatorische Maßnahmen ergreifen, die sicherstellen, dass eine Verarbeitung der Daten gemäß der DSGVO erfolgt, sondern auch jederzeit den entsprechenden Nachweis hierüber durch eine geeignete Dokumentation erbringen können. Dementsprechend sind Aufbau und die Durchführung eines effektiven Datenschutzmanagements – einschließlich der umfassenden Dokumentation der Verarbeitungstätigkeiten – zentraler Bestandteil des DSGVO-Anpassungsbedarfs.

VERZEICHNIS VON DATENVERARBEITUNGSTÄTIGKEITEN

Fast alle Unternehmen müssen zudem ein Verzeichnis über die Datenverarbeitungstätigkeiten führen, die der Zuständigkeit des jeweiligen Unternehmens unterliegen. Das heißt, alle Tätigkeiten, die sich mit personenbezogenen Daten beschäftigen, sind in einem geordneten Verzeichnis zu erfassen, die Zulässigkeit der Verarbeitung auf ihre Rechtmäßigkeit hin zu überprüfen, zu dokumentieren und ständig zu aktualisieren. Jede Verarbeitung von personenbezogenen Daten bedarf einer gesonderten Rechtsgrundlage, die im Verfahrensverzeichnis gesondert zu dokumentieren ist. Zudem sind Löschfristen zu beachten und ebenfalls zu dokumentieren.

Das entsprechende Verzeichnis ist der Aufsichtsbehörde jederzeit auf Anfrage zur Verfügung zu stellen.

4. Melde- und Benachrichtigungspflichten

Bei Verletzungen des Schutzes personenbezogener Daten sieht die DSGVO gegenüber der bisherigen Rechtslage nach dem Bundesdatenschutzgesetz deutlich erweiterte Meldepflichten gegenüber der Aufsichtsbehörde sowie Benachrichtigungspflichten gegenüber den betroffenen Personen vor.

Wesentliche Voraussetzung für eine entsprechende Pflicht zum Tätigwerden ist eine Verletzung des Schutzes personenbezogener Daten. Danach sind die Hürden für entsprechende Meldepflichten im Vergleich zur bisherigen Rechtslage nach dem Bundesdatenschutzgesetz deutlich abgesenkt. Nach der neuen, abgestuften Meldepflicht ist eine Meldung an die Aufsichtsbehörde bei einer entsprechenden Datenpanne immer erforderlich, es sei denn, dass diese voraussichtlich nicht zu einem Risiko für den Betroffenen führt. Dies ist allerdings nur in den seltensten Fällen der Fall. Dagegen muss eine Benachrichtigung der betroffenen Person grundsätzlich nur dann erfolgen, wenn ein hohes Risiko für die entsprechenden Rechte des Betroffenen besteht.

Grundsätzlich muss das verantwortliche Unternehmen der Aufsichtsbehörde jede Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden melden, nachdem das Unternehmen Kenntnis von der Verletzung erlangt hat.

Verstöße bei der Umsetzung der Melde- und Benachrichtigungspflichten bei Verletzungen des Schutzes personenbezogener Daten sind mit teilweise empfindlichen Bußgeldern belegt.

5. Auftragsverarbeiter

Den Auftragsverarbeitern (Unternehmen, die weisungsgebunden für Drittunternehmen personenbezogene Daten verarbeiten) werden durch die DSGVO mehr Verantwortung und mehr Pflichten auferlegt.

Auftragsverarbeiter verarbeiten die Daten nach wie vor weisungsgebunden für die verantwortliche Stelle. Verstößt ein Auftragsverarbeiter zukünftig gegen die Pflicht zur weisungsgebundenen Verarbeitung, gilt er nach Art. 28 Abs. 10 DSGVO insoweit selbst als Verantwortlicher, mit allen rechtlichen Konsequenzen. Zudem unterliegt der Auftragsverarbeiter auch neuen speziellen Haftungsregelungen bei Datenschutzverletzungen, die zu Schadensersatzforderungen von Betroffenen auch gegen den Auftragsverarbeiter führen können. Von der Schadensersatzpflicht sind dabei nicht nur materielle, sondern vielmehr auch immaterielle Schäden umfasst.

Darüber hinaus besteht zukünftig für Auftragsverarbeiter die neu eingeführte Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen. Das entsprechende Verzeichnis muss fortlaufend aktualisiert werden und der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Weiter müssen Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, die er benötigt, um nachweisen zu können, dass er seine, aus der DSGVO resultierenden Pflichten erfüllt.

6. Datenschutzbeauftragter

Die Pflicht zur Bestellung eines Datenschutzbeauftragten bleibt unter der neuen Rechtslage im Wesentlichen unberührt.

Der Datenschutzbeauftragte wird nach der DSGVO aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzes und der Datenschutzpraxis sowie seinen Fähigkeiten, die gesetzlichen Aufgaben zu erfüllen, benannt. Datenschutzbeauftragter kann dabei sowohl ein im Unternehmen Beschäftigter als auch ein Externer (im Dienstleistungsverhältnis) sein.

Das Unternehmen muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Datenschutzfragen eingebunden wird. Er muss bei der Erfüllung seiner Aufgaben umfassend unterstützt werden, insbesondere mit den hierzu erforderlichen Ressourcen und einem Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen ausgestattet sein.

Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Unternehmens und hat zukünftig unter der DSGVO folgende Aufgaben:

• Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
• Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
• Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO;
• Zusammenarbeit mit der Aufsichtsbehörde;
• Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Der Datenschutzbeauftragte hat bei der Erfüllung seiner Aufgaben dem mit den jeweiligen Verarbeitungsvorgängen zusammenhängende Risiko gebührend Rechnung zu tragen. Dabei muss er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung stets im Blick haben.

Die Verletzung der Vorschriften zum Datenschutzbeauftragten ist nach den Regelungen der DSGVO mit Geldbuße bedroht.

7. Rechte der Betroffenen Person

Die Rechte der Personen, deren personenbezogene Daten von der Verarbeitung durch ein Unternehmen betroffen sind, werden unter Geltung der DSGVO noch einmal erweitert.

Pflicht zur Information und zur Transparenz

Unternehmen müssen betroffene Personen zukünftig deutlich umfassender als bislang darüber informieren, wie sie die personenbezogenen Daten der betroffenen Personen verarbeiten. Nach Art. 5 Abs. 1 DSGVO zählt der Transparenzgrundsatz zu den wesentlichen Prinzipien der Verordnung.

Grundsätzlich müssen Unternehmen betroffene Personen von der Verarbeitung ihrer personenbezogenen Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ informieren. Neben spezifischen Vorgaben zu Informationspflichten bei der Erhebung personenbezogener Daten – auch diese gehen hinsichtlich des Umfangs über die bisherigen Anforderungen des bisher geltenden Rechts hinaus – sieht die DSGVO als zentrales Instrument der Transparenz ein erweitertes Auskunftsrecht des Betroffenen über den Umgang mit seinen personenbezogenen Daten vor (Art. 15 DSGVO).

Löschen von Daten und Recht auf Vergessenwerden

Die DSGVO sieht umfassendere Löschpflichten vor als das bisherige nationale Recht. Nach der zukünftigen Regelung in Art. 17 DSGVO, muss der Verantwortliche personenbezogene Daten ohne unangemessene Verzögerung löschen, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe vorliegt. So ergibt sich eine Pflicht zum Löschen beispielsweise dann, wenn der Zweck für die Datenverarbeitung weggefallen ist, die betroffene Person ihre Einwilligung oder die entsprechenden Daten unrechtmäßig erhoben oder verarbeitet wurden.

In diesem Falle muss das Unternehmen die entsprechenden Daten löschen, sofern keine vorrangigen berechtigten Gründe für die weitere Verarbeitung vorliegen, Art. 17 Abs. 1 lit. c DSGVO.

Neu eingeführt ist die Regelung, wonach das Unternehmen, sofern es die betroffenen Daten öffentlich gemacht hat, diese nicht nur löschen muss, sondern zukünftig vielmehr auch Dritte, die diese Daten verarbeiten, darüber zu informieren hat, dass eine betroffene Person von ihnen die Löschung aller Links zu oder aller Kopien oder Replikationen von diesen personenbezogenen Daten verlangt hat, Art. 17 Abs. 2 DSGVO. Auf diese Weise soll dem sogenannten Recht auf Vergessenwerden Geltung verschafft werden.

Koppelungsverbot bei Einwilligungen

Ist die Einwilligung der betroffenen Person zur Erhebung bzw. Verarbeitung ihrer personenbezogenen Daten erforderlich, so muss die entsprechende Einwilligung nach Art. 7 DSGVO durch eine eindeutige Handlung erfolgen. Insbesondere muss die betroffene Person ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich bekunden, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist.

Um sicherzustellen, dass die Einwilligung ohne Zwang erfolgt, darf ein Unternehmen die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung nicht mehr davon abhängig machen, dass die betroffene Person in eine Verarbeitung ihrer personenbezogenen Daten einwilligt, sofern diese Daten für die Erfüllung dieses Vertrags nicht erforderlich sind.

8. Haftung des Unternehmens und Bußgelder

Die DSGVO regelt auch die Haftung von Unternehmen bei Pflichtverletzungen sowie die Sanktionen bei Verstößen gegen die DSGVO in Form von Bußgeldern völlig neu.

Erweiterte Haftung für Verantwortliche und für Auftragsverarbeiter

Die Risiken im Zusammenhang mit der zivilrechtlichen Haftung von Unternehmen wegen tatsächlichen oder behaupteten Verstößen gegen datenschutzrechtliche Pflichten sind unter der DSGVO ebenfalls gestiegen. Nach Art. 82 Abs. 1 DSGVO sind sowohl materielle als auch ausdrücklich immaterielle Schäden zu erstatten, die auf Verstößen gegen die DSGVO beruhen. Die ausdrückliche Erwähnung der immateriellen Schäden ermöglicht es betroffenen Personen zukünftig auch ein angemessenes Schmerzensgeld bei der Verletzung der DSGVO im Rahmen der Verarbeitung ihrer personenbezogenen Daten zu verlangen.

Zudem wird durch die DSGVO nun auch die Haftung explizit auf Auftragsverarbeiter erweitert, Art. 82 Abs. 1 DSGVO.

Bußgelder

Verstöße gegen die DSGVO werden zukünftig drastischer sanktioniert, als dies bisher bei Verstößen gegen das nationale Datenschutzrecht der Fall war.

So sieht Art. 83 DSGVO für Unternehmen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des globalen Umsatzes des betroffenen Unternehmens vor, je nachdem welcher Betrag höher ist. Unter dem BDSG drohte bisher ein Bußgeld von maximal 300.000,00 Euro.
Natürliche Personen, die an Verstößen gegen die DSGVO beteiligt sind, müssen mit Geldbußen von bis zu 20 Millionen Euro rechnen.

In diesem Zusammenhang ist es die Aufgabe der Aufsichtsbehörden, sicherzustellen, dass die Geldbußen für Verstöße gegen die Verordnung „wirksam, verhältnismäßig und abschreckend“ sind.

Bei Fragen zur DSGVO stehen wir gerne zur Verfügung.

Freie-Vogel-Straße 393
44269 Dortmund

Telefon: +49 231 286598-0
Telefax: +49 231 286598-51

E-Mail: kontakt@awpr.de
www.awpr.de

Daniel Christian Pohl, LL.M.
Rechtsanwalt
Zertifizierter
Datenschutzbeauftragter (TÜV Süd)

Dominik Rücker, LL.M.
Rechtsanwalt
Fachanwalt für IT-Recht
Zertifizierter
Datenschutzbeauftragter (TÜV Nord)

Unternehmen, die per E-Mail werben wollen, müssen strenge rechtliche Vorgaben beachten.

E-Mail-Adressen sollten grundsätzlich nur dann für E-Mail-Werbung verwendet werden, wenn eine Einwilligung des Nutzers vorliegt. Datenverwendungen, die nicht gesetzlich legitimiert sind unterliegen einem sogenannten datenschutzrechtlichen Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass die Einwilligung des Nutzers zwingende Voraussetzung für die Datenverwendung ist, wenn nicht bereits eine gesetzliche Legitimation für die Verwendung besteht. Wird ohne die notwendige Einwilligung geworben, so liegt darin eine unzumutbare Belästigung im Sinne des § 7 Abs. 2 Nr. 3 UWG.

Die Einwilligung des Nutzers muss bewusst und eindeutig erteilt werden. Da die Beweislast beim Unternehmer liegt, sollte dieser die Einwilligung dokumentieren. Der Nutzer muss die Einwilligung jederzeit abrufen können und nach § 13 Abs.2 TMG darauf hingewiesen werden, dass die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann.

Eine Einwilligungs-Klausel in der Datenschutzerklärung erfüllt die Anforderungen an die Ausdrücklichkeit der Einwilligung nicht. Auch sogenannte „Opt-Out“-Lösungen bei denen bereits ein Häkchen an einer Checkbox gesetzt ist, dieses aktiv entfernt werden muss damit keine Einwilligung erteilt wird, stellt keine ausdrückliche Einwilligung dar. Wird die Einwilligung im Rahmen des Bestellprozesses eingeholt, so ist eine anzuklickende („Opt-In“) Checkbox erforderlich. Zur Bestellung eines Newsletters sind die Eingabe einer E-Mail-Adresse und das anschließende Betätigen des Buttons ausreichend. weiterlesen …

Zur ordnungsgemäßen Vertragsabwicklung im elektronischen Geschäftsverkehr gehört die Bestätigung der Bestellung seitens des Unternehmers. Kunden, die in Online-Shops Produkte bestellen erhalten daher grundsätzlich eine Bestellbestätigungs-Mail des Online-Händlers. Eine rechtssichere Gestaltung der Bestellbestätigung ist unerlässlich.

Bestätigung der Bestellung

Die Notwendigkeit einer Bestellbestätigung folgt aus § 312i Abs. 1 Nr. 3 BGB. Danach müssen Online-Händler dem Kunden den Zugang von dessen Bestellung unverzüglich auf elektronischem Wege bestätigen. Kunden sollen dadurch die Gewissheit erhalten, dass ihre Bestellung tatsächlich angekommen ist.

Bestätigung des Vertrags

Rechtlich abzugrenzen ist die Bestätigung der Bestellung von der Bestätigung des Vertrages. Aus § 312 Abs. 2 S. 1 BGB ergibt sich die Verpflichtung, dem Verbraucher eine Bestätigung des Vertrags, in der der Vertragsinhalt wiedergegeben ist, innerhalb einer angemessenen Frist nach Vertragsschluss, spätestens jedoch bei der Lieferung der Ware oder bevor mit der Ausführung der Dienstleistung begonnen wird, auf einem dauerhaften Datenträger zur Verfügung zu stellen. weiterlesen …

Ein rechtskonform gestaltetes Impressum ist im elektronischen Rechtsverkehr unerlässlich. Die detaillierten Anforderungen an den Kommunikationsweg zwischen Kunden und Online-Händlern sind in § 5 Abs. 1 Nr. 2 Telemediengesetz (TMG) verankert. Einzelne Fragen hinsichtlich der Kommunikationsmittel konkretisiert die Rechtsprechung des Bundesgerichtshofs. Dies betrifft auch die Verwendung von Mehrwertdienstenummern im Impressum. Problematisch ist dabei, dass Kunden zusätzliche Kosten für die Kontaktaufnahme entstehen.

Der BGH beleuchtet in diesem Zusammenhang insbesondere, ob seitens des Online-Händlers noch weitere Kommunikationswege zu Verfügung gestellt werden, um eine unmittelbare und effiziente Kommunikation zu ermöglichen. Die ausschließliche Möglichkeit der Kontaktaufnahme über eine kostenpflichtige Mehrwertdienstenummer sei nicht ausreichend, genüge mithin nicht den Anforderungen des § 5 Abs. 1 Nr. 2 TMG.

weiterlesen …

Ab 25. Mai 2018 ist die 2016 in Kraft getretene Datenschutzgrundverordnung (DSGVO) anwendbar. Ziel der Verordnung ist die Vereinheitlichung des Datenschutzrechts in Europa. EU-Verordnungen gelten in den Mitgliedsstaaten unmittelbar, d.h. sie bedürfen keiner einzelstaatlichen Umsetzung sondern sind direkt anwendbar.

Die Neuregelung auf europäischer Ebene führt dazu, dass das bisherige Bundesdatenschutzgesetz angepasst werden muss. Das zukünftige BDSG betrifft nur noch die Bereiche, die nicht bereits von der Datenschutzgrundverordnung abgedeckt sind bzw. diejenigen hinsichtlich derer sich aus der Verordnung Regelungsspielräume für den deutschen Gesetzgeber ergeben. Das bisherige BDSG sowie die Landesdatenschutzgesetze werden ab dem 25. Mai 2018 im Anwendungsbereich der neuen Verordnung unanwendbar.

Aus diesen Gründen hat der Bundestag am 27. April 2017 ein Datenschutz-Anpassungs- und Umsetzungsgesetz – EU (DSAnpUG-EU) und das darin in Artikel 1 enthaltene neue Bundesdatenschutzgesetz verabschiedet. Der Bundesrat hat dem Gesetz am 12. Mai 2017 zugestimmt. Das neue Bundesdatenschutzgesetz tritt am 25. Mai 2018 gleichzeitig mit dem Gültigwerden der Datenschutzgrundverordnung in Kraft. Es gilt wie die alte Fassung insbesondere für Datenverarbeitung bei öffentlichen Stellen des Bundes und durch nicht-öffentliche Stellen. Das Gesetz enthält unter anderem neue Regelungen für Videoüberwachung im öffentlichen Raum, Scoring und Arbeitnehmerdatenschutz. Abweichend zum geltenden BDSG enthält die Neufassung keine Regelungen mehr für Ausnahmen für die Datenverarbeitung durch Presseunternehmen, da für das Pressewesen nunmehr ausschließlich die Länder zuständig sind.

Bei Fragen zu Datenschutz & Datensicherheit stehen wir gern zur Verfügung.

Freie-Vogel-Straße 393
44269 Dortmund

Telefon: +49 231 286598-0
Telefax: +49 231 286598-51

E-Mail: kontakt@awpr.de
www.awpr.de

Daniel Christian Pohl, LL.M.
Rechtsanwalt
Zertifizierter
Datenschutzbeauftragter (TÜV Süd)

Dominik Rücker, LL.M.
Rechtsanwalt
Fachanwalt für IT-Recht
Zertifizierter
Datenschutzbeauftragter (TÜV Nord)

Der Bundesgerichtshof hat unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs (EuGH) entschieden, dass dynamische IP-Adressen, die beim Aufruf einer Webseite gespeichert werden, personenbezogene Daten sind. Die Speicherung der IP-Adresse über das Nutzungsende hinaus könne jedoch bei Gefahr von Cyberattacken zur Gewährleistung der Funktionsfähigkeit der Webseite zulässig sein. Das Interesse des Webseitenbetreibers an der Speicherung müsse dabei gegen die Grundrechte der Nutzer abgewogen werden.

Maßgeblich für diese BGH-Entscheidung war das am 19.10.2016 ergangene Urteil des Europäischen Gerichtshofs womit dieser das Vorabentscheidungsersuchen des Bundesgerichtshofs beantwortete. Ausführliche Informationen diesbezüglich finden Sie unter: http://awpr.de/news/die-entscheidung-des-eugh-zur-frage-des-personenbezugs-von-ip-adressen/ weiterlesen …