Sehr geehrte Damen und Herren,

wir laden Sie herzlich zu unserem Datenschutzrechtstag am 12.05.2023 ein!

Seit dem Inkrafttreten der DSGVO konnten einige datenschutzrechtliche Fragestellungen im Zusammenhang mit der Anwendung der DSGVO ganz oder zumindest teilweise geklärt werden. Andere Fragen und Probleme stellen sich nach wie vor oder sogar gänzlich neu.

Wir möchten den 4. BRANDI-Datenschutzrechtstag dazu nutzen, um mit Ihnen und externen Experten gemeinsam zu Fragestellungen aus den Bereichen Cloud-Nutzung, Cybersicherheit und Haftungsrisiken zu diskutieren. Unsere Veranstaltung wird in diesem Jahr endlich wieder in Präsenz in Bielefeld im Hotel Bielefelder Hof stattfinden. Daneben wird es auch die Möglichkeit geben, passiv online an unserem Datenschutzrechtstag teilzunehmen.

Für die Veranstaltung konnten wir erneut einen renommierten Experten gewinnen. In diesem Jahr wird der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Herr Prof. Dr. Alexander Roßnagel, bei uns zu Gast sein und unseren Datenschutzrechtstag mitgestalten.

Im Wege von zwei Impulsreferaten mit jeweils anschließender Diskussionsrunde werden wir sowohl den Einsatz von Cloud-Lösungen sowie die Verantwortlichkeit und Haftung für Cybersicherheitsvorfälle und deren Absicherung näher in den Blick nehmen und unter anderem die folgenden Fragestellungen und Themen diskutieren:

• Rechtliche Vor- und Nachteile von On-Premises-Lösungen einerseits und cloudbasierten Anwendungen andererseits
• Konsequenzen der Rechtsprechung für die Cloud nach Schrems II
• Datenschutzkonformer Einsatz von Microsoft 365?
• Stand des Angemessenheitsbeschlusses für die USA
• Haftung in der Cloud
• Verantwortlichkeit und Haftung für Cybervorfälle
• Perspektive der Aufsichtsbehörde auf Cybervorfälle
• Kooperations- und Kommunikationsstrategien
• Rechtliche Absicherung von Cybervorfällen

Über die Möglichkeiten zur Anmeldung für die Veranstaltung werden wir Sie zeitnah auf unserer Homepage sowie in unserem Datenschutz-Newsletter informieren.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Anforderungen bei der Versendung von Newslettern

Neben Kontaktformularen, Online- und Social-Media-Auftritten nutzen zahlreiche Unternehmen die regelmäßige Versendung von Newslettern, um mit ihren Kunden in Kontakt zu bleiben oder Interessenten über Angebote und Aktionen des Unternehmens sowie aktuelle Themen und Neuigkeiten zu informieren. Aufgrund des im Vergleich zu Postwerbung geringeren Kosten- und Arbeitsaufwandes und nicht zuletzt in Anbetracht der zunehmenden Digitalisierung erfolgt die Versendung dabei größtenteils per E-Mail. Sollen Newsletter zu Marketingzwecken versendet werden, müssen hierbei verschiedene rechtliche Anforderungen, die sich vor allem aus dem Datenschutzrecht sowie dem Wettbewerbsrecht ergeben, vom Unternehmen berücksichtigt werden. Nachfolgend geben wir Ihnen einen Überblick über diese rechtlichen Anforderungen und Vorgaben.

Zum vollständigen Schwerpunktthema

BfDI untersagt Betrieb der Facebook-Fanpage der Bundesregierung

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, hat das Bundespresseamt am 17.02.2023 angewiesen, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen (Pressemitteilung 6/2023). Das Bundespresseamt hat ab Erhalt des Bescheids nun vier Wochen Zeit, den Beschluss umzusetzen.

Nach Einschätzung des BfDI besteht eine gemeinsame Verantwortlichkeit für die Verarbeitung der Daten, die bei der Nutzung der Fanpage vom Betroffenen erhoben werden. Der Verantwortliche muss zur Erfüllung seiner Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO insoweit nachweisen, dass die datenschutzrechtlichen Vorgaben bei der Datenverarbeitung eingehalten werden. Einen solchen Nachweis konnte das Bundespresseamt aber bislang nicht erbringen. Seitens des BfDI wurden darüber hinaus vor allem das Fehlen einer Rechtsgrundlage für die Erhebung von Daten über die Fanpage und deren Übermittlung an Meta sowie der Umstand, dass die nach dem TTDSG und der DSGVO für die Nutzung technisch nicht notwendiger Cookies erforderliche Einwilligung nicht wirksam eingeholt wird, kritisiert.

Der BfDI äußerte sich wie folgt zu der Entscheidung: „Ich habe lange darauf hingewiesen, dass der Betrieb einer Facebook Fanpage nicht datenschutzkonform möglich ist. Das zeigen unsere eigenen Untersuchungen und das Kurzgutachten der Datenschutzkonferenz. Alle Behörden stehen in der Verantwortung, sich vorbildich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich. Ich finde es wichtig, dass der Staat über soziale Medien erreichbar ist und Informationen teilen kann. Das darf er aber nur, wenn die Grundrechte der Bürgerinnen und Bürger gewahrt bleiben.“

Das Bundespresseamt hat nun die Möglichkeit, innerhalb eines Monats gegen den Bescheid des BfDI Klage zu erheben.

(Christina Prowald)

DSK: Bericht der Arbeitsgruppe Microsoft-Onlinedienste

Am 31.01.2023 hat die Datenschutzkonferenz (DSK), der Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, einen Beschluss zur datenschutzrechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten, die nach Art. 28 DSGVO im Auftrag innerhalb des EWR verarbeitet werden, veröffentlicht (Beschluss vom 31.01.2023). Der Beschluss beruht auf dem Abschlussbericht der DSK Arbeitsgruppe Microsoft-Onlinedienste.

Die DSK stellt zunächst fest, dass die bloße Gefahr, dass eine Drittlands-Muttergesellschaft oder staatliche Stellen von Drittländern EWR-Unternehmen anweisen könnten, personenbezogene Daten in ein Drittland zu übermitteln, für die Annahme einer Drittstaatenübermittlung i.S.v. Art. 44 ff. DSGVO nicht ausreiche. Allerdings könne sich aus einer solchen Gefahr ergeben, dass Auftragsverarbeitern die erforderliche Zuverlässigkeit nach Art. 28 DSGVO fehle, sofern diese keine ausreichenden Absicherungsmaßnahmen etwa zur Unterbindung von Drittstaatenübermittlungen aufgrund drittstaatlichen Rechts getroffen hätten. Soweit eine Norm oder eine Praxis eines Drittstaates, die eine nach EU-Recht unzulässige Verarbeitung personenbezogener Daten verlangen kann, auf eine EWR-Tochtergesellschaft eines Drittlands-Unternehmens anwendbar ist, seien an die Zuverlässigkeitsprüfung besonders hohe Anforderungen zu stellen. Die vermeintlich ausschließliche Verarbeitung der Daten durch die EWR-Gesellschaft genüge insoweit nicht. Es sei vielmehr eine umfassende Prüfung des Einzelfalls unter Berücksichtigung der drittstaatlichen Regelungen und der seitens des Unternehmens ergriffenen Absicherungsmaßnahmen erforderlich.

Die DSK verweist abschließend ausdrücklich darauf, dass der für die Datenverarbeitung Verantwortliche in der Lage sein müsse, nachzuweisen, dass ein Auftragsverarbeiter die Anforderungen der DSGVO, insbesondere des Art. 28 DSGVO, an Zuverlässigkeit, Fachwissen und Ressourcen erfülle.

(Christina Prowald)

BSI: Viele Software-Produkte für Online-Shops sind unsicher

Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat im Rahmen einer Studie die Sicherheitseigenschaften von Software-Produkten, mit denen Onlinehändler ihre Webshops erstellen können, untersucht und die Ergebnisse der Studie am 27.02.2023 veröffentlicht (Pressemitteilung v. 27.02.2023).

Im Rahmen der Untersuchung stellte das BSI insgesamt 78 Sicherheitslücken fest, die mitunter erhebliche Auswirkungen auf die Sicherheit der Daten von Verbrauchern haben. Vor allem wiesen nahezu alle Produkte eine unzureichende Passwortrichtlinie auf. In 7 von 10 Fällen wurden JavaScript-Bibliotheken identifiziert, die bekannte Schwachstellen aufweisen. Bei der Hälfte der untersuchten Produkte wurde zudem Software identifiziert, für die keine Sicherheitsupdates mehr verfügbar sind. Das BSI hat sich mit seinen Ergebnissen an die Software-Hersteller gewandt und diese dazu aufgerufen, Updates für die identifizierten Sicherheitslücken bereitzustellen. Betreibern von Online-Shops wird zudem geraten, verfügbare Sicherheitsupdates zeitnah zu implementieren oder auf nicht betroffene Produkte auszuweichen.

BSI-Vizepräsident Dr. Gerhard Schabhüser äußerte: „Die vorliegende Studie zeigt, dass die Verantwortung für sicheres Onlineshopping sowohl auf Hersteller- als auch auf Händlerseite liegt. Um die Gefahr künftiger Datenleak-Vorfälle zu senken und eine nachhaltige Steigerung des IT-Sicherheitsniveaus von Onlineshops zu erreichen, müssen Software-Hersteller regelmäßig Schwachstellenanalysen durchführen – aus Sicht des BSI bereits während der Produktentwicklung.“

Der Abschlussbericht enthält auch eine Orientierungshilfe für Betreiber von Online-Shops.

(Christina Prowald)

EuGH: Strengere nationale Regelungen zur Abberufung eines Datenschutzbeauftragten sind europarechtskonform

Der Europäische Gerichtshof (EuGH) hat am 09.02.2023 entschieden, dass eine im Verhältnis zu den Vorgaben der DSGVO strengere, nationale Regelung zur Abberufung eines Datenschutzbeauftragten mit dem Unionsrecht vereinbar ist (EuGH, Urt. v. 09.02.2023 – Az. C-560/21). Konkret ging es in dem Verfahren um die deutsche Regelung des § 6 Abs. 4 BDSG, die für die Abberufung und Kündigung des internen Datenschutzbeauftragten das Vorliegen eines wichtigen Grundes fordert. Die DSGVO selbst sieht entsprechende Vorgaben in Art. 38 Abs. 3 DSGVO hingegen nicht vor.

Das Gericht führte aus, dass Datenschutzbeauftragte ihr Amt in vollständiger Unabhängigkeit ausüben können sollen. Dieser Zielsetzung diene auch Art. 38 Abs. 3 S. 2 DSGVO. Daraus folge letztlich, dass es jedem Mitgliedstaat freistehe, strengere Vorschriften für die Abberufung des Datenschutzbeauftragten vorzusehen, sofern diese mit der DSGVO, konkret mit Art. 38 Abs. 3 S. 2 DSGVO, vereinbar sind. Dabei dürfe ein strengerer Schutz die Verwirklichung der Ziele der DSGVO aber nicht beeinträchtigen. Dies wäre der Fall, wenn der Schutz auch jede Abberufung eines Datenschutzbeauftragten verböte, der nicht mehr die zur Erfüllung seiner Aufgaben erforderliche Qualifikation besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt. Der EuGH kommt insofern zu dem Schluss, dass eine nationale Regelung, nach der ein interner Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, europarechtskonform ist, sofern die Regelung die Verwirklichung der Ziele der Verordnung nicht beeinträchtigt.

(Christina Prowald)

KG Berlin: Unerlaubte E-Mail-Werbung bei unzureichender Einwilligung

Das KG Berlin hat am 22.11.2022 entschieden, dass trotz Vorliegens einer Einwilligung des Betroffenen auch dann von einer unzulässigen Werbung per E-Mail auszugehen ist, wenn ein Newsletter häufiger als im Rahmen der Einwilligung angegeben versendet wird (KG Berlin, Urt. v. 22.11.2022 – Az. 5 U 1043/20).

Das Gericht bewertete die in Rede stehende Newsletter-Versendung als eine unzumutbare Belästigung i.S.v. § 7 Abs. 1 UWG. Eine solche sei immer dann anzunehmen, wenn Werbung per E-Mail versendet wird, ohne dass eine wirksame Einwilligung des Betroffenen vorliege. Eine entsprechende Einwilligung habe nur hinsichtlich einer wöchentlichen Werbung per E-Mail, nicht aber hinsichtlich einer kürzeren Frequenz vorgelegen. Das Unternehmen habe dem Betroffenen dennoch mehrfach innerhalb einer Woche Werbe-E-Mails zugesandt. Die häufigere Versendung des Newsletters sei insoweit nicht von der Einwilligung gedeckt gewesen und damit unzulässig und wettbewerbswidrig.

(Christina Prowald)

OLG Hamm: Schadensersatz i.H.v. 50 Euro bei unerlaubter Datenspeicherung durch ein Jobcenter

Am 19.12.2022 hat das OLG Hamm entschieden, dass ein Betroffener, dessen Personen- und Adressdaten durch ein Jobcenter im Rahmen der Arbeitsverwaltung unerlaubt gespeichert wurden, allenfalls einen Anspruch auf Schadensersatz in Höhe von 50 € hat (OLG Hamm, Beschluss v. 19.12.2022 – Az. 11 W 69/22).

In dem zugrunde liegenden Fall hatte das Jobcenter die Daten des Betroffenen gespeichert, obwohl dieser keinen Antrag auf Leistung gestellt hatte. Das Gericht führte insoweit aus, dass ein Amtshaftungsanspruch ausscheide, da die in Rede stehende Verletzung des Rechts auf informationelle Selbstbestimmung jedenfalls die Bagatellschwelle nicht überschritten habe. Dabei sei insbesondere zu berücksichtigen, dass „nur“ eine unzulässige Speicherung für einen überschaubaren Zeitraum vorgelegen habe, die Daten hingegen nicht unzulässig weiterverwendet oder an Dritte weitergegeben wurden. Der Datenschutzverstoß belaste den Betroffenen nur geringfügig. Es komme aber demgegenüber ein Schadensersatzanspruch nach Art. 82 DSGVO in Frage. Es sei insoweit derzeit umstritten, ob immaterieller Schadensersatz ausscheide, wenn es an einer erheblichen Persönlichkeitsrechtsverletzung fehle. Aus dem Sachverhalt ergebe sich allerdings kein Anhaltspunkt, der eine Schmerzensgeldzahlung von mehr als 50 € rechtfertigen würde. Dies gelte auch dann, wenn man die Vorschriften der DSGVO weitest möglich zugunsten des Betroffenen auslegen würde.

(Christina Prowald)

Frankreich: Bußgeld in Höhe von 5 Millionen Euro gegen Tiktok

Die französische Aufsichtsbehörde Commission nationale de l’informatique et des libertés (CNIL) hat am 29.12.2022 ein Bußgeld in Höhe von insgesamt 5 Millionen Euro gegen die Social-Media Plattform Tiktok verhängt (Pressemitteilung v. 12.01.2023). Sowohl die Tiktok Information Technologies UK Limited als auch die Tiktok Technology Limited aus Irland müssen als gemeinsam Verantwortliche jeweils 2,5 Millionen Euro zahlen.

Anlass für die Verhängung des Bußgeldes war der auf der Webseite der Unternehmen implementierte Cookie-Banner, der den Nutzern keine ebenso einfache Möglichkeit zum Ablehnen technisch nicht notwendiger Cookies wie zum Akzeptieren der betreffenden Cookies bot. Im Rahmen ihrer Untersuchung stellte die CNIL fest, dass der Cookie-Banner lediglich einen „Akzeptieren“ Button enthielt, während für das Ablehnen von Cookies die Betätigung mehrerer Schaltflächen erforderlich war. Die Aufsichtsbehörde kritisierte außerdem den Umstand, dass Tiktok die Webseitenbesucher nicht in ausreichender Tiefe über die auf der Webseite verwendeten Cookies und deren Nutzung informierte.

(Christina Prowald)

EU-Kommission plant Anpassung der DSGVO

Von Seiten der EU-Kommission werden langsam die Planungen für eine Anpassung der DSGVO konkreter. Für das zweite Quartal ist eine Initiative zur ersten Nachbesserung angekündigt, die vor allem auf eine bessere Durchsetzung der Vorgaben der DSGVO abzielt. Anlass für die Initiative dürfte die Unzufriedenheit mit dem Vorgehen einzelner Datenschutzaufsichtsbehörden sein. Im Fokus steht dabei vor allem die irische Behörde (Data Protection Commission – DPC), die für zahlreiche große IT-Konzerne, die ihre Europazentrale in Irland habe, an sich die federführende Aufsichtsbehörde sein müsste. Vor einem konkreten Vorschlag zur Anpassung der DSGVO besteht erst einmal die Möglichkeit, dass sich interessierte Stellen öffentlich zu dem Vorhaben äußern, wofür eine separate Seite eingerichtet wurde.

(Dr. Sebastian Meyer)

In eigener Sache: BRANDI-Schnuppertag

Am 20.02.2023 fand unser BRANDI-Schnuppertag statt. Im Rahmen der Veranstaltung hatten Stipendiaten der Stiftung Studienfonds OWL die Möglichkeit, den Arbeitsalltag im Bereich des Datenschutzrechts kennenzulernen und gemeinsam mit dem Team Datenschutz Lösungen für verschiedene datenschutzrechtliche Fragestellungen zu erarbeiten. Die BRANDI Rechtsanwälte Partnerschaft mbB unterstützt bereits seit 2015 die Stiftung Studienfonds OWL und fördert junge Talente aus dem rechtswissenschaftlichen Bereich.