Sehr geehrte Damen und Herren,

Der Europäische Gerichtshof (EuGH) hat die Auffassung der Verbraucherzentrale NRW bestätigt, wonach der Betreiber einer Internetseite, der auf seiner Homepage den "Gefällt mir"-Button von Facebook einbindet, gemeinsam mit Facebook für die damit einhergehende Datenverarbeitung verantwortlich ist. Eine Einbindung ist daher nur dann möglich, wenn der Nutzer der Internetseite zuvor hinreichend aufgeklärt wurde und sein Einverständnis gegeben hat. Wir haben die gerichtliche Durchsetzung der entsprechenden Ansprüche übernommen und sind dabei auch für die Verbraucherzentrale NRW sowie im Interesse der Verbraucher erfolgreich geblieben.

In unserem Schwerpunktthema für diesen Monat besprechen wir das Urteil genauer und weisen auch auf die konkreten Folgen für Unternehmen hin. Daneben berichten wir wie gewohnt über andere Neuigkeiten zum Thema Datenschutz, z. B. über verschiedene Bußgelder, die wegen Datenschutzverstößen gegen Unternehmen verhängt wurden, sowie über weitere Aktivitäten der Aufsichtsbehörden.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Viel Freude mit der Lektüre unseres Newsletters wünschen Ihnen

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: EuGH-Urteil zum Facebook-Plugin

Die Verbraucherzentrale NRW hatte die Fashion ID GmbH & Co. KG (Peek & Cloppenburg) abgemahnt, nachdem auf deren Website der „Gefällt-mir“-Button von Facebook eingebunden worden war, ohne dass die Nutzer hierüber ausreichend aufgeklärt wurden und der damit verbundenen Datenübermittlung an Facebook zugestimmt hätten. In der Datenschutzerklärung von Fashion ID hieß es insoweit nur, eine Auswertung der Daten könne verhindert werden, wenn der Nutzer sich zuvor bei Facebook ausloggt. Nachdem Fashion ID nicht zusagen wollte, diese Praxis zukünftig zu ändern und entsprechend eine Unterlassungsverpflichtungserklärung abzugeben, haben wir für die Verbraucherzentrale NRW vor dem Landgericht Düsseldorf Klage erhoben. In erster Instanz waren wir mit der Klage erfolgreich; das Landgericht hat Fashion ID zur Unterlassung des angegriffenen Verhaltens verurteilt. Das Oberlandesgericht Düsseldorf hat in der Berufung die Angelegenheit dem EuGH vorgelegt, damit dieser über die verschiedenen Rechtsfragen zum europäischen Datenschutzrecht entscheidet.

Für die datenschutzrechtliche Bewertung ist es entscheidend, dass eine Übermittlung von Daten an Facebook nicht erst dann erfolgt, wenn ein Nutzer den „Gefällt mir“-Button tatsächlich anklickt. Bedingt durch die Gestaltung des Buttons, die von Facebook vorgegeben wird, erfolgt eine Datenübermittlung an Facebook bereits dann, wenn der Nutzer eine Website öffnet, bei der der „Gefällt mir“-Button nur eingebunden ist. Für diese Datenerhebung und -übermittlung ist der Websitebetreiber mit verantwortlich, wodurch eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO zwischen Facebook und dem Seitenbetreiber entsteht. Die Datenverarbeitung ist dabei nicht privilegiert, sondern muss sich wie jede andere Datenweitergabe an den Anforderungen des Datenschutzrechts messen lassen. Nach Auffassung des EuGH ist insbesondere für die Übermittlung von personenbezogenen Daten im Rahmen der Nutzung des „Gefällt mir“-Buttons eine Einwilligung der Nutzer erforderlich. Für die weitergehende Datenverarbeitung durch Facebook, die sich an die Datenübermittlung anschließt, ist Fashion ID unterdessen nicht mehr (mit-) verantwortlich. Jedenfalls für die erste Phase der Erhebung und Übermittlung müssen aber sämtliche Informationspflichten erfüllt werden, weswegen unter anderem über die Zwecke der Verarbeitung zu informieren ist.

Zum vollständigen Schwerpunktthema

US-Handelsaufsicht: 5 Milliarden Dollar Strafe für Facebook

Die US-Handelsaufsicht „Federal Trade Commission“ („FTC“) hat sich mit Facebook auf die Zahlung einer Strafe von 5 Milliarden US-Dollar für die Datenschutzverstöße im Rahmen des Cambridge-Analytica-Skandals verständigt. Bei der Strafe handelt es sich um die größte Summe, die jemals von einem Unternehmen wegen Verstößen gegen Persönlichkeitsrechte gezahlt werden musste. Neben der Strafzahlung hat sich Facebook verpflichtet, eine Reihe von Datenschutzanforderungen der FTC umzusetzen. So soll Facebooks Verwaltungsrat ein unabhängiges Gremium schaffen, das für den Schutz von Daten und die Privatsphäre der Nutzer zuständig ist. Die Mitglieder des Datenschutzrates sollen von einer unabhängigen Kommission besetzt werden. Neben der FTC hat auch die US-Börsenaufsicht ihr Verfahren gegen Facebook abgeschlossen und sich mit Facebook auf eine separate Strafe in Höhe von 100 Millionen US-Dollar verständigt.

Soweit neben der Zahlung einer Geldsumme auch die Umsetzung von Nachbesserungsmaßnahmen vereinbart wurde, soll auf diese Weise für einen stärkeren Schutz der Kundendaten für die Zukunft gesorgt werden. Der Datenschutzrat wäre damit erstmals innerhalb der Strukturen von Facebook eine Stelle, die auf die Einhaltung von Datenschutzbestimmungen hinwirken kann und ist insoweit entfernt vergleichbar mit der Stellung des Datenschutzbeauftragten in Europa. Inwieweit es auf diese Weise gelingt, für spürbare Änderungen im Bereich des Datenschutzes zu sorgen, bleibt abzuwarten. Von der Entscheidung des EuGH über die Anforderungen bei der Bereitstellung des „Gefällt mir“-Buttons gibt sich Facebook bisher beispielsweise weiter unbeeindruckt.

DSK: DSGVO-Anforderungen an Kundendatenübertragung bei Asset Deals

Die Datenschutzkonferenz (DSK), der Zusammenschluss der deutschen Aufsichtsbehörden der Länder und des Bundes, hat in einem Beschluss einen Katalog von Fallgruppen zur Kundendatenübertragung bei Asset Deals aufgestellt. Bei einem Asset Deal übernimmt der Käufer nicht das Unternehmen als solches, sondern erwirbt einzelne oder alle Vermögenswerte („Assets“) des Unternehmens, z. B. die Kundendaten.

Nach Auffassung der DSK ist für die Frage der Zulässigkeit des Datenerwerbs zwischen verschiedenen Konstellationen zu unterscheiden. Abhängig davon, woher die Kundendaten stammen und ob es sich um laufende oder beendete Verträge handelt, soll eine Datenübermittlung aufgrund einer Widerspruchslösung oder nur mit ausdrücklicher Einwilligung des Kunden möglich sein. Werden diese Anforderungen nicht erfüllt, dürfen die im Rahmen des Asset Deals erworbenen Daten nach Auffassung der DSK nicht verwendet werden.

Es ist zu beachten, dass die Rechtsauffassung der DSK nicht bindend, sondern vielmehr Ausdruck der Meinung der Aufsichtsbehörden ist. Im konkreten Beschluss heißt es zudem ausdrücklich, dass dieser „unter Ablehnung der Berliner Beauftragten für Datenschutz und Informationsfreiheit sowie des Sächsischen Datenschutzbeauftragten“ erlassen worden sei. Insoweit besteht also scheinbar selbst zwischen den Aufsichtsbehörden Uneinigkeit darüber, welche Anforderungen bei Asset Deals zu berücksichtigen sind.

Unternehmen kann insoweit nur empfohlen werden, im Rahmen von Asset Deals, die Kundendaten betreffen, frühzeitig den eigenen Datenschutzbeauftragten einzuschalten. Anderenfalls droht womöglich ein Verwendungsverbot mit der Konsequenz, dass die erworbenen Kundendaten nicht datenschutzkonform verwendet werden können.

Irische Datenschutzaufsicht: Untersuchung von Apple eingeleitet

Die irische Datenschutzaufsichtsbehörde hat ein Untersuchungsverfahren gegen Apple eingeleitet. Ziel der Untersuchung sei es, die Einhaltung der Vorschriften der DSGVO durch Apple in Europa zu überprüfen. Die irische Aufsichtsbehörde ist für Apple zuständig, weil das Unternehmen seinen europäischen Hauptsitz in Irland hat.

Die irische Aufsichtsbehörde leitet damit ihr drittes Prüfverfahren gegen Apple ein, nachdem bereits im Vorjahr Prüfverfahren zur Datenschutzkonformität der Datenschutzerklärung und der Verarbeitung von Nutzerdaten zu Werbezwecken eingeleitet worden waren.

Neben Apple untersucht die irische Aufsichtsbehörde aktuell auch das US-Unternehmen Facebook (8 Untersuchungen), die Facebook-Tochter WhatsApp (2 Untersuchungen) sowie das zum Facebook-Konzern gehörige Instagram (1 Untersuchung). Daneben werden gegenwärtig auch Twitter (3 Untersuchungen) sowie Google, Microsoft und LinkedIn überprüft (je eine Untersuchung). Bisher dauern sämtliche Untersuchungen noch an; mit einem zeitnahen Abschluss der Überprüfungen wird nicht gerechnet.

Soweit im Rahmen der Überprüfungen Datenschutzverstöße festgestellt werden sollten, drohen den Unternehmen DSGVO-Bußgelder von bis 4% des weltweiten Konzernjahresumsatzes. Bisher war die irische Aufsichtsbehörde allerdings nicht für besonders strenge Kontrollen oder die Verhängung hoher Bußgelder bekannt.

Britische Datenschutzbehörde: Millionenbußgelder gegen Hotelkette Marriott und British Airways angekündigt

Die britische Datenschutzaufsicht „Information Commissioner’s Office“ („ICO“) hat Bußgelder in Millionenhöhe gegen zwei Unternehmen angekündigt. Die Ankündigung von Bußgeldern in Form einer Absichtserklärung der Behörde ist in Großbritannien ein übliches Mittel, um dem betroffenen Unternehmen vor Erlassung des finalen Bußgeldbescheids eine Möglichkeit zur Stellungnahme zu gewähren.

Das erste Bußgeld in Höhe von ca. 204 Mio. Euro (183,39 Mio. Pfund) soll von der Fluggesellschaft British Airways gezahlt werden. Hintergrund ist ein Datenschutzvorfall aus dem Jahr 2018, bei dem sich kriminelle Angreifer persönliche Daten und Kreditkarteninformationen einschließlich der Prüfziffer (CVC- bzw. CVV-Nummer) durch die Ausnutzung von Sicherheitslücken verschafft hatten. Betroffen waren seinerzeit ca. eine halbe Million Flugpassagiere. Nach Auffassung des ICO sei der Datendiebstahl nur möglich gewesen, weil keine ausreichenden Sicherheitsvorkehrungen von British Airways getroffen worden waren. Unternehmen sind unter dem Datenschutzrecht gemäß Art. 32 DSGVO verpflichtet, ausreichende Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Zusätzlich sind auch die Anforderungen des Payment-Card-Industry-Standards bei der Verarbeitung von Kreditkartendaten zu beachten.

Ein zweites Bußgeld soll aus ähnlichen Gründen gegen den Hotelkonzern Marriott verhängt werden. Im November 2018 hatte die Hotelkette gemeldet, dass Dritte unerlaubt auf die Reservierungsdatenbank der Marriott-Tochterfirma Starwood zugegriffen hatten. Dabei seien neben den Namen und Adressinformationen der Hotelgäste zumindest teilweise auch unverschlüsselte Pass- und Kreditkarteninformationen gestohlen worden. Nach Aussagen des ICO hatten die unbekannten Täter bereits 2014 Zugriffe auf die Systeme von Starwood genommen. Marriott hatte das Unternehmen 2016 gekauft und bis 2018 nichts von den Datensicherheitsprobleme gemerkt. Aufgrund der unzureichenden Überprüfungen habe Marriott das Datenschutzrecht verletzt, da es ab der Übernahme für die Sicherheit der Verarbeitung (Art. 32 DSGVO) verantwortlich war.

Die angekündigten Bußgelder zeigen, wie wichtig es für Unternehmen ist, ausreichende Schutzmaßnahmen gegen Cyberkriminalität zu ergreifen. Das ICO stellte in seinen Bußgeldbegründungen nicht darauf ab, dass es (überhaupt) zu Datenschutzvorfällen gekommen war, sondern kritisierte jeweils die von vornherein als nicht ausreichend zu bewertenden Schutzmaßnahmen der Unternehmen.

Erpressungstrojaner: US-Bundesstaat Louisiana ruft Notstand aus

Der Gouverneur des US-Bundesstaates Lousiana hat den Notstand ausgerufen, nachdem diverse Schulbezirke in Lousiana mit Erpressungstrojanern angegriffen worden waren. Durch den Notstand können die Behörden des Bundesstaates zusätzliche Geldmittel zur Bekämpfung der Angriffe bereitstellen. So soll beispielsweise ein Expertenteam aus Mitarbeitern der Nationalgarde, der Landespolizei sowie der Homeland-Security-Abteilung des Gouverneurs eingesetzt werden. Der Notstand ist zunächst bis zum 21. August 2019 befristet.

Bereits in unserem letzten Newsletter hatten wir berichtet, dass US-Städte in letzter Zeit verstärkt von derartigen Angriffen mit Erpressungstrojanern betroffen sind. Im Juni 2019 wurde beispielsweise bekannt, dass die IT-Systeme der US-Städte Riviera Beach (Florida) und Baltimore (Maryland) von Angreifern verschlüsselt wurden. Riviera Beach hat sich dazu entschieden, umgerechnet etwa 600.000 US-Dollar Lösegeld in Bitcoins als Lösegeld zu zahlen. Baltimore entschied sich, nicht an die Erpresser zu zahlen, obwohl ein Schaden von ca. 18 Mio. US-Dollar drohte. Nach Aussagen der Stadt sei zu unsicher, ob die Erpresser die versprochene Entschlüsselung auch tatsächlich vornähmen.

Nähere Informationen zu Erpressungstrojanern und den möglichen Schutzmaßnahmen finden Sie in unserem Schwerpunktthema der März-Ausgabe aus dem Jahr 2016, die insoweit weiterhin aktuell sind.

DIHK: Umfrage zur DSGVO

Der Deutsche Industrie- und Handelskammer-Tag (DIHK), ein Zusammenschluss aus 79 Industrie- und Handelskammern, hat ca. 4.500 Unternehmen aller Branchen und Größenordnungen zu ihren Erfahrungen mit der DSGVO befragt.

Die Ergebnisse der Umfrage wurden in von der DIHK in einer Pressemitteilung zusammengefasst. Zudem hat die DIHK ein Positionspapier veröffentlicht, in dem konkrete Forderungen zur Verbesserung der DSGVO und der bevorstehenden e-Privcacy-Richtlinie aufgestellt werden.