Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

anlässlich einer kürzlich veröffentlichten Richtlinie des Europäischen Datenschutzausschusses (EDSA) zu dem Auskunftsrecht gemäß Art. 15 DSGVO geben wir in unserem aktuellen Schwerpunktthema praktische Umsetzungshinweise für den Umgang mit Auskunftsanfragen von Betroffenen. Außerdem informieren wir in unserem Datenschutz-Newsletter über weitere aktuelle Datenschutzthemen, beispielsweise über die Aufhebung eines Beschlusses des Verwaltungsgerichts Wiesbaden bezüglich des Cookie-Dienstes „Cookiebot“.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Der datenschutzrechtliche Auskunftsanspruch

Das Recht auf informationelle Selbstbestimmung ist verfassungsrechtlich verankert und besagt, dass Betroffene grundsätzlich darüber entscheiden können, welche personenbezogenen Daten von ihnen von welcher Stelle zu welchem Zweck verarbeitet werden dürfen. Zur Ausübung dieses Rechts ist es zunächst erforderlich, dass Betroffene überhaupt darüber informiert werden, in welchen Fällen eine Verarbeitung personenbezogener Daten stattfindet und welche Informationen zu der eigenen Person einer verantwortlichen Stelle vorliegen. Ausgehend von diesem Ansatz sieht das Datenschutzrecht für Personen, die von einer Verarbeitung personenbezogener Daten betroffen sind, umfangreiche Rechte vor.

Eines der zentralen Betroffenenrechte nach dem Konzept der Datenschutz-Grundverordnung (DSGVO) ist der Auskunftsanspruch, der neben Art. 15 DSGVO auch in Art. 8 Abs. 2 S. 2 der Charta der Grundrechte der Europäischen Union verankert ist. Eine betroffene Person hat danach das Recht, von dem Verantwortlichen eine Auskunft darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, erstreckt sich das Recht auf Auskunft auch auf die Mitteilung der konkreten Daten und die genauere Erläuterung zu ihrer Verarbeitung.

Am 18.01.2022 hat der Europäische Datenschutzausschuss (EDSA) zu dem Auskunftsrecht eine Richtlinie veröffentlicht, in der er sich mit den Voraussetzungen und Grenzen des Anspruchs auseinandersetzt (Guidelines 01/2022 on data subject rights – Right of access). Die Richtlinie kann ergänzend zum korrekten Umgang mit Auskunftsansprüchen herangezogen werden.

Zum vollständigen Schwerpunktthema

Datenschutzbehörde Belgien: Transparency and Consent Framework von IAB Europe verstößt gegen die DSGVO

Die belgische Datenschutzaufsichtsbehörde (APD) hat in einer Pressemitteilung vom 02.02.2022 darüber informiert, dass ihrer Ansicht nach der von IAB Europe entwickelte Transparency and Consent Framework (TCF) gegen Vorschriften der DSGVO verstößt. Sie hat daher ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe verhängt und dem Unternehmen zwei Monate Zeit gegeben, um einen Plan für die Einhaltung der Vorschriften vorzulegen.

Bei dem TCF handelt es sich um einen Mechanismus, der die Verwaltung von Nutzerpräferenzen für personalisierte Online-Werbung erleichtern soll und eine zentrale Rolle bei dem sogenannten Real Time Bidding (RTB) spielt. Der TCF soll dazu beitragen, dass Organisationen, die sich auf das OpenRTB-Protokoll stützen, die DSGVO einhalten. Das OpenRTB-Protokoll ist ein verbreitetes Protokoll für Real Time Bidding, also für die automatisierte und verzögerungsfreie Online-Auktion von Nutzerprofilen für den Verkauf und Kauf von Werbeflächen im Internet. Technologieunternehmen können durch ein automatisiertes Auktionssystem in Echtzeit für Werbeflächen auf Internetseiten bieten, wenn Nutzer auf diese zugreifen. Das Auktionssystem verwendet Algorithmen, um zielgerichtete, speziell an das Profil des Nutzers angepasste Werbung anzuzeigen. Der TCF bringt die Präferenzen der Nutzer in Bezug auf potenzielle Anbieter und verschiedene Verarbeitungszwecke, einschließlich des Angebots maßgeschneiderter Werbung, zum Ausdruck.

Die Behörde kritisierte, dass eine Rechtsgrundlage für die Datenverarbeitung fehle, dass die Informations- und Transparenzpflichten nicht eingehalten würden und dass keine ausreichenden technischen und organisatorischen Maßnahmen ergriffen und nachgewiesen worden seien. Außerdem sei von IAB Europe kein Verzeichnis der Verarbeitungstätigkeiten geführt, kein Datenschutzbeauftragter benannt und keine Datenschutz-Folgenabschätzung durchgeführt worden.

IAB Europe kündigte in einer Stellungnahme an, rechtliche Schritte gegen die Entscheidung zu erwägen. Ob sich die Auffassung der belgischen Datenschutzaufsichtsbehörde durchsetzen wird, bleibt daher abzuwarten.

(Johanna Schmale)

VGH Kassel: Aufhebung des Beschlusses bezüglich „Cookiebot“

In unserem Datenschutz-Newsletter im Januar 2022 haben wir über eine Entscheidung des Verwaltungsgerichts Wiesbaden zu dem Einsatz des Cookie-Dienstes „Cookiebot“ informiert. In der Entscheidung wurde der Hochschule RheinMain im Wege einer einstweiligen Anordnung untersagt, „Cookiebot“ auf ihrer Website zum Zweck der Abfrage von Einwilligungen in der Weise einzubinden, dass personenbezogene oder –beziehbare Daten des Antragstellers an Server übermittelt werden, die von einem externen Unternehmen betrieben werden (VG Wiesbaden, Beschl. v. 01.12.2021 – Az. 6 L 738/21.WI, vgl. die Pressemitteilung des Gerichts). Der Beschluss des VG Wiesbaden – mit Ausnahme der Einstellungsentscheidung und der Streitwertfestsetzung – wurde nun auf eine Beschwerde hin von dem Verwaltungsgerichtshof Kassel aufgehoben (VGH Kassel, Beschl. v. 17.01.2022 – Az. 10 B 2486/21).

Nach Auffassung des VGH Kassel hätte das VG Wiesbaden die von dem Antragsteller begehrte einstweilige Anordnung nicht erlassen dürfen, weil der Antragsteller einen Anordnungsgrund im Sinne von § 123 Abs. 3 VwGO i. V. m. § 920 Abs. 2 ZPO nicht glaubhaft gemacht habe. Für die einstweilige Anordnung gelte grundsätzlich das Verbot der Vorwegnahme der Hauptsache. Die Vorwegnahme der Hauptsache komme im Verfahren des vorläufigen Rechtsschutzes nur ausnahmsweise in Betracht, wenn das Abwarten der Entscheidung in der Hauptsache für den Antragsteller schwere und unzumutbare, nachträglich nicht mehr zu beseitigende Nachteile zur Folge hätte, wobei dem jeweils betroffenen Grundrecht und den Erfordernissen eines effektiven Rechtsschutzes Rechnung zu tragen sei.

Das Vorliegen dieser Voraussetzung ergebe sich aus den Darlegungen des Antragstellers jedoch gerade nicht. Der Antragsteller nutze die Website der Hochschule RheinMain für die Information über Fachliteratur. Die Gefahr einer erneuten rechtswidrigen Verarbeitung seiner Daten bestünde nur dann, wenn er erneut auf die Website zugreife und Fragen nach der Verwendung von Cookies beantworte. Es sei seinem Vortrag jedoch nicht zu entnehmen, dass für ihn auch in Zukunft die Notwendigkeit bestehe, auf die Website zuzugreifen; die Nutzung stehe ihm vielmehr frei. Es sei daher nicht ersichtlich, welche schweren, unzumutbaren und nachträglich nicht mehr rückgängig zu machenden Nachteile dem Antragsteller drohen sollten, wenn er zeitweilig bis zu einer rechtskräftigen Entscheidung in der Hauptsache von etwaigen Zugriffen auf die Website der Antragsgegnerin keinen Gebrauch mache.

Der VGH Kassel hat den Grad der Wahrscheinlichkeit des Erfolgs im Hauptsacheverfahren nicht näher geprüft. Ob sich die Auffassung des VG Wiesbaden, die Einbindung von Cookiebot auf einer Website gehe mit einer rechtswidrigen Übermittlung personenbezogener Daten einher, im Hauptsacheverfahren und zukünftig in ähnlichen Fällen durchsetzen wird, ist daher weiterhin offen.

(Johanna Schmale)

LG München I: Datenschutzverstoß bei der Nutzung von Google Fonts

Das Landgericht München I hat entschieden, dass die Übermittlung der IP-Adresse an Google im Rahmen der Nutzung von Google Fonts nicht durch das berechtigte Interesse gem. Art. 6 Abs. 1 S. 1 lit. f) DSGVO gerechtfertigt werden kann (LG München I, Urt. v. 20.01.2022 – Az.: 3 O 17493/20).

Google Fonts sind Schriftarten von Google, die auf Webseiten eingebunden werden können. Die Einbindung der Google Fonts kann durch einen Serveraufruf von Google erfolgen. Hierbei werden personenbezogene Daten der Nutzer, beispielsweise deren IP-Adressen, an Google übermittelt. Zur Vermeidung dieser Problematik ist auch eine lokale Speicherung auf eigenen Servern möglich. Dies hatte die beklagte Webseitenbetreiberin in dem der Entscheidung zugrunde liegenden Fall jedoch unterlassen; sie hatte Google Fonts per Link auf ihrer Website eingebettet. Nach Ansicht des Gerichts verletze die Webseitenbetreiberin das Recht des Klägers auf informationelle Selbstbestimmung, indem sie die dynamische IP-Adresse ohne Einwilligung des Klägers an Google weiterleitete, als der Kläger die Website aufrief.

Die Datenverarbeitung könne nicht durch das berechtigte Interesse gem. Art. 6 Abs. 1 S. 1 lit. f) DSGVO gerechtfertigt werden, da Google Fonts auch genutzt werden könnten, ohne dass beim Aufruf der Website eine Verbindung zu einem Google-Server hergestellt werde und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfinde. Die Tatsache, dass ohne großen Aufwand eine Datenübermittlung verhindert werden kann, führt also dazu, dass eine andere Gestaltung datenschutzwidrig ist.

(Johanna Schmale)

In eigener Sache: Datenschutz-Newsletter auf Englisch

In unserem Datenschutz-Newsletter berichten wir jeden Monat über aktuelle Geschehnisse im Datenschutzrecht. Zudem fassen wir zu jeweils einem ausgewählten Schwerpunktthema auf wenigen Seiten die wesentlichen datenschutzrechtlichen Besonderheiten und besonders praxisrelevanten Hinweise zusammen.

Seit Februar 2022 bieten wir unseren Newsletter zusätzlich auch in englischer Sprache an. Hintergrund für die Ergänzung unseres Angebotes sind entsprechende Anfragen in der Vergangenheit und das gestiegene internationale Interesse an unserem Angebot. Die englische Version des Newsletters kann direkt von unserer Homepage unter https://www.brandi.net/news/newsletter/ heruntergeladen werden. In den einzelnen Dokumenten besteht die Möglichkeit, jeweils zu der englischen Version zu wechseln. Darüber hinaus besteht auch hinsichtlich des englischen Newsletters die Möglichkeit, sich für den Bezug per E-Mail anzumelden. Das entsprechende Anmeldeformular ist unter https://www.brandi.net/en/newsletter-sign-up/ zu finden.

(Johanna Schmale)