Sehr geehrte Damen und Herren,

nachdem der Bundesgerichtshof (BGH) im Mai 2020 über das Einwilligungserfordernis für das Setzen von Tracking- und Werbecookies entschieden hat (BGH, Urt. v. 28.05.2020, Az.: I ZR 7/16, wir berichteten), hat nun der Europäische Gerichtshof (EuGH) eine weitere Entscheidung mit großen Auswirkungen für viele europäische Unternehmen veröffentlicht. In seinem Urteil erklärt der EuGH das EU-US-Privacy Shield für unwirksam und äußert sich auch zu den EU-Standardvertragsklauseln (EuGH, Urt. v. 16.07.2020, Az. C-311/18). Da angesichts der stark voranschreitenden Globalisierung und Digitalisierung in vielen Fällen Daten an Empfänger außerhalb der EU übertragen werden und das Urteil damit für viele Unternehmen relevant ist, informieren wir diesen Monat detailliert über die Datenübermittlung in Drittstaaten und gehen in diesem Zusammenhang auf das Urteil des EuGH ein. Außerdem berichten wir über andere aktuelle Meldungen aus dem Datenschutzrecht, zum Beispiel über eine Warnung des FBI vor chinesischer Steuersoftware.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI Rechtsanwälte

Thema des Monats: Datenübermittlung in Drittstaaten

Um Datenübertragungen in Drittstaaten, also Staaten, die weder Mitglied der Europäischen Union (EU) noch des Europäischen Wirtschaftsraums (EWR) sind, zu rechtfertigen, wurde bisher in vielen Fällen auf das EU-US Privacy Shield und die EU-Standardvertragsklauseln zurückgegriffen. Der Europäische Gerichtshof hat nun mit einer Entscheidung vom 16.07.2020 das EU-US Privacy Shield für unwirksam erklärt und sich außerdem zu den EU-Standardvertragsklauseln geäußert (EuGH, Urt. v. 16.07.2020, Az. C-311/18).

Wir haben das Urteil zum Anlass genommen, uns in diesem Monat in unserem Schwerpunktthema vertieft mit der Datenübermittlung in Drittstaaten, insbesondere in die USA, auseinanderzusetzen. Der folgende Beitrag soll dabei helfen, das Urteil datenschutzrechtlich einzuordnen. Zudem werden wir Praxishinweise für den zukünftigen Datenaustausch mit den USA und anderen Drittstaaten geben.

Zum vollständigen Schwerpunktthema

BGH: Veröffentlichung des Volltextes zur „Cookie-Entscheidung“

In unserem Newsletter im Juni 2020 haben wir über die Entscheidung des BGH vom 28.05.2020 berichtet (BGH, Urt. v. 28.05.2020, Az.: I ZR 7/16), in der der BGH das Setzen von Tracking- und Werbecookies an die Voraussetzung einer aktiven Einwilligung des betroffenen Nutzers geknüpft hat.

Mittlerweile liegt zu diesem Urteil die vollständige Urteilsbegründung vor. Inhaltlich ergeben sich aus dem Volltext keine wesentlichen neuen Erkenntnisse, sodass damit endgültig geklärt sein dürfte, dass für Unternehmen keine Möglichkeit mehr besteht, Tracking- und Werbecookies ohne aktive Einwilligung der Nutzer zu setzen. Die wirksame Einholung der datenschutzrechtlichen Einwilligung in die Speicherung von Cookies mittels einer vorausgewählten Checkbox ist nicht möglich.

Unternehmen, die ihre Einbindung von Cookies bisher noch nicht angepasst haben, sollten spätestens jetzt nochmals prüfen, inwieweit Tracking- und Werbecookies für die eigenen Internetauftritte verwendet werden. Gegebenenfalls sollte kurzfristig auf eine Einwilligungslösung umgestellt oder auf Tracking- und Werbecookies zumindest vorübergehend verzichtet werden.

Arbeitsgericht Düsseldorf: 5.000 Euro Schadensersatz wegen verspäteter und unvollständiger Auskunftserteilung

Das Arbeitsgericht Düsseldorf hat einem Kläger Schadensersatz in Höhe von 5.000 Euro zugesprochen, da dessen früherer Arbeitgeber seinen Auskunftsantrag verspätet und unvollständig beantwortet habe (ArbG Düsseldorf, Urt. v. 05.03.2020, Az. 9 Ca 6557/18).

Der Kläger hatte nach Beendigung seines Arbeitsverhältnisses den Anspruch auf Auskunft nach Art. 15 DSGVO gegen seinen ehemaligen Arbeitgeber geltend gemacht. Dieser kam dem Auskunftsverlangen erst Monate später und nur unvollständig nach.

Nach Auffassung des Gerichts hätten wesentliche Informationen über die verarbeiteten Datenkategorien und die Verarbeitungszwecke gefehlt. Die unvollständige Erteilung einer Auskunft stelle einen ersatzfähigen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar. Sie erschwere dem Betroffenen die Kontrolle über seine personenbezogenen Daten. Bei der Höhe des Schadensersatzes habe das Gericht auch die finanzielle Leistungsfähigkeit des beklagten Unternehmens berücksichtigt, da nur ein spürbarer Schadensersatz abschreckend auf finanzstarke Unternehmen wirke.

Das Urteil ist noch nicht rechtskräftig. Die Berufung wurde bei dem Landesarbeitsgericht Düsseldorf eingelegt.

Die Entscheidung zeigt, dass Unternehmen besonderen Wert auf die ordnungsgemäße Beantwortung von Betroffenenanfragen legen sollten. Bei einem Verstoß drohen unter Berücksichtigung der Rechtsprechung nicht nur empfindliche Bußgelder, sondern teilweise auch individuelle Schadensersatzansprüche, die in keinem Verhältnis zu einem tatsächlichen Schaden stehen.

Microsoft: Reaktion auf die Hinweise der Berliner Datenschutzbeauftragten zur Durchführung von Videokonferenzen

Am 03.07.2020 hat die Berlin Beauftragte für Datenschutz und Informationsfreiheit (BInBDI) die Ergebnisse einer Kurzprüfung von Videokonferenzdiensten verschiedener Anbieter auf ihrer Internetseite veröffentlicht, über die wir in unserem Newsletter im Juli 2020 berichtet haben. In der Überprüfung wurden datenschutzrechtliche Mängel und Risiken bei dem Einsatz von Microsoft Produkten, wie zum Beispiel Microsoft Teams, festgestellt.

Microsoft hat sich am 08.07.2020 in einer Stellungnahme zu den Hinweisen der BInBDI geäußert. Microsoft nehme Datenschutz sehr ernst und sei überzeugt, dass seine Produkte im Allgemeinen und damit auch Microsoft Teams datenschutzkonform seien und im Einklang mit dem anwendbaren Datenschutzrecht genutzt werden könnten. Der Einschätzung der BInBDI könne das Unternehmen nicht folgen. Informationen, die Microsoft der BInBDI zur Verfügung gestellt habe, seien bislang größtenteils nicht berücksichtigt worden. Microsoft kündigte an, weiterhin den Dialog mit der BInBDI zu suchen, um Rückfragen und Unklarheiten zu klären.

In der Stellungnahme äußerte sich Microsoft zu einzelnen von der BInBDI kritisierten Punkten und ging dabei auch auf den Kritikpunkt „Unzulässige Datenexporte“ ein. Die Stellungnahme von Microsoft entstand, bevor der EuGH seine Entscheidung zur Unwirksamkeit des EU-US Privacy Shields veröffentlichte. Es wird darin deshalb noch auf das EU-US Privacy Shield und die EU-Standardvertragsklauseln Bezug genommen, ohne dass die aktuelle Rechtsprechung des EuGHs insofern bereits berücksichtigt wird.

EU-Kommission: Evaluation der DSGVO

Die Europäische Kommission hat einen Bericht zur Bewertung und Überprüfung der DSGVO veröffentlicht. Darin stellte sie fest, dass die DSGVO zwei Jahre nach Beginn ihrer Anwendung ihre Ziele, nämlich die Stärkung des Rechts des Einzelnen auf Schutz personenbezogener Daten und die Gewährleistung des freien Verkehrs personenbezogener Daten innerhalb der EU, erreicht habe. Es sei jedoch auch eine Reihe von Bereichen ermittelt worden, in denen weitere Verbesserungen erforderlich seien. Insgesamt sei es derzeit noch zu früh, endgültige Schlussfolgerungen in Bezug auf die Anwendung der DSGVO zu ziehen.

Positiv wurde von der Kommission hervorgehoben, dass immer mehr Bürger sich ihrer Rechte bewusst seien. Außerdem seien von den Datenschutzbehörden einige Maßnahmen entwickelt worden, um kleine und mittlere Unternehmen bei der Einhaltung der DSGVO zu unterstützen, zum Beispiel durch die Bereitstellung von Mustern sowie Seminare und Hotlines zur Beratung. Die EU-Kommission empfiehlt, weitere Maßnahmen zu erwägen, um die Anwendung der DSGVO für die Unternehmen zu erleichtern.

Die EU-Kommission kündigte außerdem eine umfangreiche Modernisierung der Standardvertragsklauseln an, um diese mit Blick auf die neuen mit der DSGVO eingeführten Anforderungen zu aktualisieren.

FBI warnt vor chinesischer Steuersoftware

Nach einem Bericht des Online-Magazins ZDNet hat das FBI Unternehmen vor chinesischer Steuersoftware gewarnt, die heimlich Malware mitinstalliere.

In China werde für ausländische Unternehmen von den Behörden verpflichtend eine bestimmte Software für die Umsatzsteuererklärung vorgeschrieben. Diese ermögliche über eine Backdoor-Malware den Zugang zu Unternehmensnetzwerken und dadurch zum Beispiel den Diebstahl von Daten. Die FBI-Warnung listet dem Bericht zufolge zwei Vorfälle auf, bei denen bereits infizierte Unternehmen die Malware in ihren Netzwerken entdeckt haben.

Die Schadsoftware sei in den Programmen der chinesischen IT-Unternehmen Aisino und Baiwang entdeckt worden. Dabei handele es sich um die einzigen beiden Anbieter, die von der chinesischen Regierung für das Betreiben von Mehrwertsteuersoftware autorisiert worden seien. Jedes ausländische Unternehmen, das in China tätig ist, dürfte daher von der Sicherheitslücke und den damit verknüpften Spionagemöglichkeiten betroffen sein.