Sehr geehrte Damen und Herren,

die britische Datenschutzbehörde ICO hat sich zuletzt kritisch zu der üblichen Praxis geäußert, wonach Werbung auf Internetseiten abhängig von dem jeweiligen Gebot des Werbenden eingeblendet werden. In ihrem Bericht vom Juni 2019 beschreiben die Datenschützer, dass die Übertragung von Nutzerdaten an zahlreiche Werbepartner bei der Echtzeitversteigerung von Werbeflächen in der aktuell praktizierten Form kaum mit den rechtlichen Vorgaben der DSGVO vereinbar sei. Tatsächlich stellen sich in diesem Kontext diverse datenschutzrechtliche Fragen, die in einem engen Zusammenhang mit unserem Schwerpunktthema über den "Einsatz von Cookies unter der DSGVO" stehen.

Wir haben außerdem diesen Monat zahlreiche weitere Neuigkeiten aus der Welt des Datenschutzes für Sie aufbereitet. Wir berichten über aktuelle Aktivitäten der Aufsichtsbehörden, neue Gerichtsurteile und anstehende Gesetzesänderungen. Schließlich berichten wir von IT-Sicherheitsvorfällen aus den letzten Wochen und von neuen technischen Möglichkeiten zum datenschutzkonformen Einsatz von iPhones im Firmenkontext.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Viel Freude mit der Lektüre unseres Newsletters wünschen Ihnen

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Einsatz von Cookies unter der DSVGO

In dem Verfahren der Verbraucherzentrale Bundesverband (vzbv) gegen einen Gewinnspielbetreiber hat der Generalanwalt des EuGH in einem Schlussantrag im März 2019 Stellung zur Rechtmäßigkeit deutscher Gesetze beim Nutzertracking auf Homepages genommen. Dabei vertritt er die Auffassung, dass die Anforderungen der ePrivacy-Richtlinie (RL 2002/58/EG) nicht vollständig in das deutsche Recht umgesetzt wurden.

Eine ähnliche Auffassung vertritt auch die Datenschutzkonferenz (DSK), der Zusammenschluss der Datenschutzaufsichtsbehörden des Bundes und der Länder. In einem Positionspapier aus dem April 2018 kommt die DSK zu einem ähnlichen Ergebnis wie der EuGH-Generalanwalt. Für Unternehmen wächst damit die Unsicherheit in Bezug auf den Einsatz von Cookies und es stellen sich diverse datenschutzrechtliche Fragen.

Cookies sind kleine Textdateien, die auf den Endgeräten von Homepagebesuchern gespeichert werden und eine einzigartige Cookie-ID beinhalten. Cookies können bestimme Informationen enthalten, z. B. zur vom Nutzer bevorzugten Sprache, dem verwendeten Browser oder auch Informationen, die zu einer Profilbildung geeignet sind, wie beispielsweise Alter, Standort oder Interessen der Nutzer. Cookies werden von Unternehmen vornehmlich zu Marketingzwecken verwendet, um Nutzern personalisierte Werbung einblenden zu können.

Zur Frage der zulässigen Nutzung von Cookies sind unterschiedliche europäische Vorgaben zu beachten, insbesondere die ePrivacy-Richtlinie aus dem Jahr 2009 (RL 2009/136/EG), die perspektivisch durch die ePrivacy-Verordnung abgelöst werden soll.

Zum vollständigen Schwerpunktthema

Spanische Aufsichtsbehörde: 250.000 Euro Bußgeld gegen spanische Fußballliga

Die spanische Aufsichtsbehörde hat ein Bußgeld in Höhe von 250.000 Euro gegen die spanische Fußballliga (Liga Nacional de Fútbol Profesional, "LFP") verhängt. Die von der LFP vertriebene App "La Liga" habe das Mikrofon und die Positionsdaten von Handynutzern ausgewertet, um während der Spielzeiten von spanischen Fußballspielen etwaige Umgebungsgeräusche aufnehmen und orten zu können. Die so erhobenen Daten wurden von der LFP verwendet, um Liveübertragungen zu ermitteln, deren Veranstalter keine Lizenzgebühren an die Fußballliga zahlen. Die App ist von Millionen Nutzern heruntergeladen worden. Nach Ansicht der Aufsichtsbehörde habe die LFP die Nutzer nicht ausreichend transparent über die Datenerhebung und Datenverarbeitung informiert.

Die LFP argumentiert, die Nutzer hätten der Verarbeitung nach dem erstmaligen Öffnen der App ausdrücklich zustimmen müssen und hätten den Mikrofonzugriff in den Einstellungen ihrer Mobiltelefone jederzeit ausschalten können. Auch würden lediglich kurze Tonfragmente aufgenommen, die ausschließlich digital und nicht von Menschen verarbeitet würden, sodass der Datenschutz der Nutzer ausreichend sichergestellt sei. Durch illegale Spielübertragungen würde die LFP jährlich ca. 400 Mio. Euro Einnahmen aus Werbung und der Lizenzierung verlieren. Die LFP hat offenbar angekündigt, gerichtlich gegen die Entscheidung der Aufsichtsbehörde vorzugehen.

In Deutschland ist die unbefugte Aufnahme nichtöffentlich gesprochener Worte nach § 201 StGB strafbar. Unabhängig davon, ob es eine § 201 StGB vergleichbare Regelung in Spanien gibt, dürfte es auch für die datenschutzrechtliche Zulässigkeit darauf ankommen, inwieweit tatsächlich gesprochene Worte oder Sätze durch die Applikation aufgenommen, übermittelt und/oder weiterverarbeitet werden. Zudem ist die Zulässigkeit der Maßnahme letztlich auch an der Transparenz gegenüber dem Betroffenen zu messen, wie sich aus Art. 5 Abs. 1 lit. a) DSGVO ergibt.

2. DSAnpUG: Pflicht zur Bestellung eines Datenschutzbeauftragten ab 20 Mitarbeitern

Die Koalitionsparteien haben sich darauf geeinigt, dass die Mindestzahl der Mitarbeiter erhöht werden soll, bei deren Erreichen die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht. Bisher ist ein Datenschutzbeauftragter nach § 38 BDSG zwingend zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zukünftig sollen mindestens 20 Personen mit einer entsprechenden Datenverarbeitung beschäftigt sein, damit die Bestellpflicht besteht.

Ziel der Änderung sei es, dass kleine und mittelständische Unternehmen entlastet werden. Tatsächlich führt die Regelung aber wohl zu einer trügerischen Sicherheit bei kleineren Unternehmen, denn auch wenn keine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, müssen sämtliche datenschutzrechtlichen Anforderungen erfüllt werden. Gerade in kleinen Unternehmen ohne eigene Rechtsabteilung wird sich dies in der Praxis wohl ohnehin nur unter Einschaltung eines entsprechenden Datenschutzberaters realisieren lassen. Die Änderung der Mindestmitarbeiterzahl, die in das 2. Datenschutzanpassungs- und Umsetzungsgesetz integriert werden soll, ist deswegen ambivalent zu sehen. Bis zum Inkrafttreten der vorgesehenen Änderungen gelten aber die bisherigen Regelungen zunächst weiter.

LG Stuttgart: DSGVO-Verstöße nicht wettbewerbsrechtlich abmahnbar

Das LG Stuttgart hat entschieden, dass Verstöße gegen die DSGVO wettbewerbsrechtlich nicht abgemahnt werden können (Urteil v. 20.05.2019, Az. 35 O 68/18 KfH). Nach Ansicht des Gerichts enthält die DSGVO detaillierte und abschließende Regelungen der Sanktionen, die bei Datenschutzverstößen Anwendung finden, wie beispielsweise Bußgelder der Aufsichtsbehörden oder Schadenersatzansprüche der Betroffenen. Eine Ahndung von Datenschutzverstößen über das Wettbewerbsrecht sei in der DSGVO unterdessen nicht ausdrücklich vorgesehen. Das LG Stuttgart nimmt damit zu der umstrittenen Frage Stellung, inwieweit Datenschutzverstöße wettbewerbsrechtlich abgemahnt werden können. Diese Frage wird von den verschiedenen Instanzgerichten bisher unterschiedlich beantwortet. Eine höchstrichterliche Rechtsprechung liegt bisher zu dieser Frage noch nicht vor.

Gegen die Anwendung des Wettbewerbsrechts auf Datenschutzverstöße haben sich bisher neben dem LG Stuttgart mit ähnlicher Argumentation auch das LG Magdeburg (Urteil v. 18.01.2019, Az. 36 O 48/18), das LG Bochum (Beschluss v. 07.08.2018, Az. I-12 O 85/15) und das LG Wiesbaden (Urteil v. 05.11.2018, Az. 5 O 214/18) ausgesprochen. Für die Anwendung des Wettbewerbsrechts auf Datenschutzverstöße argumentierten bisher das OLG Hamburg (Urteil v. 25.10.2018, Az. 3 U 66/17), das OLG München (Urt. v. 07.02.2019, Az. 6 U 2404/18) sowie das LG Würzburg (Beschluss v. 13.09.2018, Az. 11 O 1741/18 UWG). Die Frage der Sanktionierung von Datenschutzverstößen ist auch Gegenstand eines Vorlageverfahrens zum EuGH (Rs. C-40/17), das zur Entscheidung ansteht. Es steht zu erwarten, dass der EuGH klarstellen wird, dass Datenschutzverstöße jedenfalls von Verbraucherverbänden auch unter Rückgriff auf das Wettbewerbsrecht angegriffen werden können. Die DSGVO soll gerade für eine bessere Durchsetzbarkeit datenschutzrechtlicher Ansprüche sorgen, weswegen es keinen Sinn ergibt und auch nicht aus anderen Gründen notwendig ist, das Sanktionssystem der DSGVO als abschließend anzusehen.

Weitere Informationen zum Thema "wettbewerbsrechtliche Abmahnungen unter der DSGVO" finden Sie in unserem Schwerpunktthema vom Dezember 2018.

iPhone im Firmeneinsatz: Apple kündigt Trennung privater und geschäftlicher Daten an

Das insbesondere für seine Smartphones (iPhone) bekannte US-Unternehmen Apple hat angekündigt, neue Optionen für den geschäftlichen Einsatz privater Mobilgeräte ("Bring your own device", "BYOD") einzuführen. Mit dem neuen "User Enrollment" sollen sich private und geschäftliche Daten auf dienstlich eingesetzten Privatgeräten zukünftig klar trennen lassen. Hierfür wird durch das User Enrollment ein separater Datenraum auf dem Speicher des eingesetzten Mobilgeräts geschaffen, der durch eine Verschlüsselung vor unberechtigtem Zugriff geschützt wird. Unternehmen können dann nur auf den separaten dienstlichen Datenraum zugreifen, sodass die übrigen privaten Daten auf dem Smartphone vor einem Unternehmenszugriff geschützt sind. Durch ein Deaktivieren des User Enrollments bzw. Löschen der Applikation werden sowohl der dienstliche Datenraum als auch die dort gespeicherten Daten sowie der Schlüssel für die Verschlüsselung des Datenraums gelöscht.

Die Frage der Trennung dienstlicher und privater Daten auf Smartphones beschäftigt Unternehmen immer wieder, z. B. beim Einsatz von WhatsApp in Unternehmen. Mit der nun vorgestellten Technologie versucht Apple, den dienstlichen Einsatz von Privatgeräten für Unternehmen und Nutzer komfortabler zu gestalten.

Der wohl häufigere Fall, in dem dienstliche Mobilgeräte auch privat genutzt werden, wird von der neuen Technologie unterdessen nicht erfasst. Unternehmen sollten deswegen vor der Implementierung genau überprüfen, ob das neue User Enrollment für den jeweils konkreten Einsatz von Mobilgeräten tatsächlich sinnvoll ist.

Datenschutzbericht der NRW-Aufsichtsbehörde

Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW hat ihren Jahresbericht für die Jahre 2017 und 2018 veröffentlicht. Schwerpunkte des Jahresberichts sind neben der Einführung der DSGVO auch die diesbezüglichen Beratungsleistungen der Aufsichtsbehörde. Daneben werden auch einzelne Gerichtsurteile zusammengefasst und Praxistipps z. B. für die Meldung von Datenpannen an Aufsichtsbehörden (S. 84) gegeben.

Der vollständige 146-seitige Jahresbericht kann hier als PDF heruntergeladen werden.

Erpressungstrojaner betreffen Flugzeugbau-Zulieferer und US-Städte

Bei dem belgischen Unternehmen ASCO Industries, dem weltweit größte Zulieferer im Flugzeugbau, ist es im Juni durch eine Infektion mit Erpressungstrojanern zu einem Betriebsstillstand gekommen. Ungefähr 1.000 der insgesamt 1.500 Mitarbeiter konnten während des mindestens eine Woche andauernden Produktionsstopps nicht arbeiten. Genauere Informationen dazu, wie es zur Infektion mit dem Erpressungstrojaner kommen konnte, liegen bisher nicht vor.

Mit Erpressungstrojanern, auch "Ransomware" genannt, verschlüsseln Angreifer die Festplatten auf den IT-Systemen ihrer Opfer. Zugleich stellen die Täter in Aussicht, die Festplatten gegen eine Zahlung von Lösegeld wieder zu entschlüsseln. Neben Unternehmen sind teilweise auch städtische IT-Systeme in den USA von Erpressungstrojanern betroffen. Im Juni 2019 wurde bekannt, dass die IT-Systeme der US-Städte Riviera Beach (Florida) und Balitmore (Maryland) von Angreifern verschlüsselt wurden. Riviera Beach hat sich dazu entschieden, umgerechnet etwa 600.000 US-Dollar Lösegeld in Bitcoins als Lösegeld zu zahlen. Baltimore entschied, sich nicht an die Erpresser zu zahlen, obwohl ein Schaden von ca. 18 Mio. US-Dollar droht. Nach Aussagen der Stadt sei zu unsicher, ob die Erpresser die versprochene Entschlüsselung auch tatsächlich vornähmen.

Nähere Informationen zu Erpressungstrojanern und den möglichen Schutzmaßnahmen finden Sie in unserem diesbezüglichen Schwerpunktthema vom März 2016.

VG Berlin: Suspendierung von Schülern wegen heimlicher Filmaufnahmen rechtmäßig

Zwei minderjährige Schüler einer Gesamtschule in Berlin hatten heimlich Videos und Fotos von Lehrkräften angefertigt und an einen dritten Mitschüler weitergeleitet, der diese dann auf Instagram verbreitet und mit sexistischen und beleidigenden Kommentaren versehen hat. Beide Minderjährige sind daraufhin für neun Schultage vom Unterricht suspendiert worden.

Das Verwaltungsgericht Berlin (VG Berlin) hat diese Entscheidung der Schulleitung bestätigt (Beschlüsse vom 07.06.2019, Az. VG 3 L 357.19 und VG 3 L 363.19). Die Schulleiterin habe davon ausgehen dürfen, dass die beiden Schüler zumindest in Kauf genommen hätten, dass der Mitschüler das Bild- und Videomaterial auf seiner Instagram-Seite veröffentlichen und mit beleidigenden und sexistischen Inhalten versehen würde. Es sei lebensfremd anzunehmen, dass sie nicht gewusst hätten, was der Mitschüler mit dem Bild- und Videomaterial machen würde. Auch sei bei der hier naheliegenden Weiterverbreitung und Kommentierung auf Instagram vorhersehbar das geordnete Schulleben beeinträchtigt worden und dadurch das Vertrauen der Schülerschaft in einen regelgeleiteten und friedlichen schulischen Rahmen erschüttert worden. Das gelte in besonderem Maße, wenn die weiterverbreiteten Inhalte wie im vorliegenden Fall geeignet sind, die betroffenen Lehrkräfte in der Öffentlichkeit bloßzustellen. Die Beschlüsse sind noch nicht rechtskräftig.

AG München: Unzulässige Videoüberwachung durch Private

Das AG München hat in zwei Urteilen zur Unzulässigkeit von Videoüberwachungen durch Private entschieden.

Im ersten Fall hatte der Beklagte am Balkon seiner Wohnung in zehn Metern Höhe eine Überwachungskamera installiert, welche auf den Gemeinschaftsgarten gerichtet war, den er sich mit dem Kläger teilte. Der Beklagte und Kläger sind jeweils Eigentümer einer Wohnung in der Wohnanlage. Der Beklagte hatte die Kamera auf Beschwerden des Klägers entfernt, war aber nicht bereit gewesen, eine Unterlassungserklärung abzugeben. Vielmehr erklärt er, es handle sich um eine "Wildcam", die nur bei Bewegung direkt vor der Kamera auslöse und zum Schutz seines Eigentums angebracht worden sei. In der Vergangenheit sei zweimal bei ihm eingebrochen worden und seinem Sohn seien aus der Tiefgarage zwei Fahrräder gestohlen worden.

Das AG München urteilte gegen den Beklagten und entschied, dass in der Installation der Wildcam eine unzulässige Beeinträchtigung der Rechte des Klägers liegt. Es komme im konkreten Fall nicht darauf an, wie die Kamera auslöse und in welcher Entfernung sie Bilder erfassen könne. Allein aus der Ausrichtung in Richtung Gemeinschaftsgarten würde ein zulässiger Überwachungsdruck aufgebaut. Zusätzlich fehle es jedenfalls vorliegend an der notwendigen Beschlussfassung der Eigentümergemeinschaft.

Im zweiten Fall hatte ein Kläger im Flur einer von ihm vermieteten Wohngemeinschaft eine Videokamera angebracht, um die Sauberkeit der beklagten Untermieterin zu überprüfen. Als Rechtfertigung für die Anbringung der Videokamera verwies der Beklagte auf den Mietvertrag, in dem geregelt sei, dass "vor der Haustür zum Schutz der Gemeinschaft eine Videokamera" angebracht sei. Von der Beklagten verlangte er nach dem Ende des Mietverhältnisses nicht geleistete Mietzinszahlungen. Die Beklagte, die das möblierte 20 qm Zimmer für 810 Euro kalt im München angemietet hatte, berief sich darauf, dass die Überwachung innerhalb des Flurs der Wohngemeinschaft nicht verhältnismäßig sei und die Mietzahlungen wegen Pflichtverletzungen des Klägers zurückbehalten worden seien.

Das Gericht schloss sich der Argumentation der Beklagten an. Zunächst sei bereits offensichtlich erkennbar, dass eine Kamera im Hausflur nicht von einer Regelung im Mietvertrag, die eine "Kamera vor der Haustür" enthalte, gedeckt sei. Es sei abwegig, wenn der Kläger behauptet, die "Haustür" der Beklagten sei ihre "Zimmertür in der Wohngemeinschaft". Dabei sei auch zu berücksichtigen, dass - bei realitätsnaher Betrachtung - das Badezimmer von den Bewohnern nicht immer vollumfänglich bekleidet aufgesucht würde. Allein die Überprüfung der Sauberkeit der Mieter sei kein berechtigtes Interesse für die permanente Überwachung der Beklagten des gemeinschaftlichen Bereichs der Wohngemeinschaft.

In eigener Sache: Vorstellung von Herrn Dr. Rempe