Sehr geehrte Damen und Herren,

in der November-Ausgabe unseres Datenschutz-Newsletters haben wir ausführlich über unseren IT- und Datenschutztag am 30.09.2021 berichtet, an dem der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Herr Dr. Stefan Brink, zu Gast bei BRANDI in Bielefeld war. An unseren Gesprächen mit Herrn Dr. Brink möchten wir Sie gerne teilhaben lassen. Wir haben daher die Video-Mitschnitte von der Veranstaltung in unserem YouTube-Kanal veröffentlicht.

Das Schwerpunktthema unseres aktuellen Newsletters ist das neue Telekommunikation-Telemedien-Datenschutz-Gesetz, das am 01.12.2021 in Kraft getreten ist. Wir berichten außerdem wie gewohnt über aktuelle Geschehnisse aus dem Datenschutzrecht, unter anderem über ein Urteil des Europäischen Gerichtshofs bezüglich der Zulässigkeit von Inbox-Werbung.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz

Zum 01.12.2021 ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (im Folgenden: TTDSG) in Kraft getreten. Das TTDSG enthält insbesondere Regelungen zum Datenschutz bei Telekommunikationsdiensten sowie Telemedien und führt dabei die bislang einerseits im Telekommunikationsgesetz (im Folgenden: TKG) und andererseits im Telemediengesetz (im Folgenden: TMG) getrennt normierten Datenschutzbestimmungen in einem Gesetz zusammen. Mit dem TTDSG möchte der Bundesgesetzgeber die nationale Gesetzeslage stärker an die Vorgaben der DSGVO sowie der E-Privacy-Richtlinie anpassen und so die Rechtsanwendung vereinfachen. Im Folgenden wollen wir praxisrelevante Regelungen des neuen Gesetzes für Sie überblicksartig darstellen und ggf. bestehenden Handlungsbedarf aufzeigen.

Zum vollständigen Schwerpunktthema

EuGH: Inbox-Werbung nur mit Einwilligung des Betroffenen

Der Europäische Gerichtshof (EuGH) hat in einem aktuellen Urteil entschieden, dass Inbox-Werbung einer vorherigen Einwilligung des Betroffenen bedarf (EuGH, Urt. v. 25.11.2021 – Az. C-102/20).

In dem der Entscheidung zugrunde liegenden Fall hielt die Städtische Werke Lauf an der Pegnitz GmbH, ein Stromlieferant, Werbebanner des Konkurrenten eprimo in E-Mail-Postfächern von Nutzern des kostenfreien E-Mail-Dienstes T-Online für wettbewerbswidrig. Die Werbung wurde eingeblendet, sobald die Nutzer des E-Mail-Dienstes ihren Posteingang öffneten, wobei sowohl die betroffenen Nutzer als auch die eingeblendeten Nachrichten zufällig ausgewählt wurden (sog. „Inbox advertising“). Die Werbeeinblendungen unterschieden sich optisch von den E-Mails nur dadurch, dass das Datum durch die Angabe „Anzeige" ersetzt war, kein Absender angegeben und der Text grau unterlegt war. Das Landgericht Nürnberg-Fürth hatte eprimo zu der Unterlassung derartiger Werbung verurteilt. Das Oberlandesgericht Nürnberg hielt dagegen in der Berufung die Werbemaßnahme für wettbewerbsrechtlich zulässig. Der mit der Revision befasste Bundesgerichtshof (BGH) legte dem EuGH Fragen zu der Vereinbarkeit von Inbox-Werbung mit dem EU-Recht vor.

Der EuGH qualifiziert in seinem Urteil die Werbeeinblendungen als „Verwendung elektronischer Post für die Zwecke der Direktwerbung" im Sinne von Art. 13 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG). Diese sei geeignet, das mit der Vorschrift verfolgte Ziel, die Nutzer vor einer Verletzung ihrer Privatsphäre durch unerbetene Nachrichten für Zwecke der Direktwerbung zu schützen, zu beeinträchtigen. Der zufälligen Auswahl des Adressaten komme keine Bedeutung zu; es sei vielmehr entscheidend, dass eine zu kommerziellen Zwecken vorgenommene Kommunikation vorliege, die einen oder mehrere Nutzer von E-Mail-Diensten direkt und individuell erreiche.

Da die Verwendung elektronischer Post für die Zwecke der Direktwerbung unter der Voraussetzung gestattet sei, dass der Empfänger zuvor darin eingewilligt habe, habe nach Ansicht des EuGH der BGH zu prüfen, ob in dem konkreten Fall betroffene Nutzer der unentgeltlichen, werbefinanzierten Version des E-Mail-Dienstes T-Online ordnungsgemäß über die Modalitäten der Verbreitung einer solchen Werbung informiert wurden und tatsächlich in den Erhalt von Werbenachrichten eingewilligt haben.

Bei der Werbeeinblendung handelt es sich nach Ansicht des EuGH außerdem um ein „hartnäckiges und unerwünschtes Ansprechen“ im Sinne der Richtlinie über unlautere Geschäftspraktiken (RL 2005/29/EG), wenn die Einblendung dieser Werbenachrichten entsprechend häufig und regelmäßig erfolgt und sie bei Fehlen einer von dem Nutzer zuvor erteilten Einwilligung als „unerwünschtes“ Ansprechen eingestuft werden kann.

Welches Ergebnis die Prüfung des Vorliegens der erforderlichen Informationen und Einwilligungen durch den BGH in dem konkreten Fall haben wird und welche weiteren Auswirkungen das Urteil auf die Beurteilung ähnlicher Werbemaßnahmen durch die Gerichte und Aufsichtsbehörden, beispielsweise hinsichtlich der Einblendung von Werbeanzeigen in Suchmaschinenergebnissen, haben wird, bleibt abzuwarten.

(Johanna Schmale)

VG Hannover: Abfrage des Geburtsdatums durch Online-Versandapotheke nicht bei jedem bestellten Produkt

Das Verwaltungsgericht Hannover hat entschieden, dass eine Online-Versandapotheke in einem Bestellvorgang nicht bei jedem Produkt das Geburtsdatum des Kunden abfragen darf (VG Hannover, Urt. v. 09.11.2021 – Az. 10 A 502/19, vgl. auch die Pressemitteilung des Gerichts).

Die Klägerin ist die Betreiberin einer Online-Versandapotheke, die von der beklagten Landesbeauftragten für den Datenschutz Niedersachsen (LfD) angewiesen wurde, es zu unterlassen, unabhängig von der Art des bestellten Medikamentes, das Geburtsdatum von Kunden zu erheben und zu verarbeiten. Gegen den Bescheid der LfD hat die Klägerin Klage vor dem Verwaltungsgericht Hannover erhoben. Sie trug vor, aufgrund der für Apotheker geltenden Berufsordnung eine Pflicht zur altersgerechten Beratung zu haben. Um diese Verpflichtung erfüllen zu können, müsse eine Abfrage des Geburtsdatums im Bestellprozess erfolgen. Sie habe außerdem ein berechtigtes Interesse daran, zu erfahren, ob die bestellende Person volljährig und damit voll geschäftsfähig sei.

Das Gericht ist dieser Argumentation nicht gefolgt. Es hat zunächst klargestellt, dass sich der von der LfD gerügte Bestellvorgang nur auf rezeptfrei erwerbbare Produkte beziehe. Die Verarbeitung des Geburtsdatums in dem Bestellvorgang habe zumindest für solche Produkte zu unterbleiben, für die keine altersspezifische Beratung erforderlich sei. Da die Klägerin für derartige Produkte bisher in dem Bestellvorgang keine Einwilligung in die Datenverarbeitung einhole, gebe es hinsichtlich dieser Produkte keine Rechtsgrundlage für die Datenverarbeitung. Soweit die Klägerin die Geschäftsfähigkeit ihrer Kunden überprüfen wolle, erfordere der Grundsatz der Datenminimierung, dass lediglich die Volljährigkeit und nicht das genaue Geburtsdatum abgefragt werde.

Gegen die Entscheidung des Gerichts kann innerhalb eines Monats die Zulassung der Berufung beantragt werden. Der Fall zeigt, dass sowohl Aufsichtsbehörden als auch Gerichte das datenschutzrechtliche Prinzip der Datenminimierung ernst nehmen. Verantwortliche Stellen sollten sowohl bei der Gestaltung von Bestellprozessen als auch bei anderen Datenverarbeitungstätigkeiten darauf achten, nur die Daten verpflichtend von den Betroffenen abzufragen, die sie für die konkreten Zwecke der Verarbeitung tatsächlich benötigen.

(Johanna Schmale)

Niederländische Datenschutzbehörde: Bußgeld i. H. v. 400.000 Euro wegen unsicherer Datenverarbeitung

Die niederländische Datenschutzbehörde hat gegen die Fluggesellschaft Transavia ein Bußgeld in Höhe von 400.000 Euro wegen fehlender Absicherung der Datenverarbeitung verhängt (vgl. die Pressemitteilung v. 12.11.2021).

Die Fluggesellschaft habe nach Auffassung der Behörde gegen Art. 32 DSGVO verstoßen. Nach dieser Vorschrift hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten.

Im Jahr 2019 war es Hackern gelungen, über zwei Accounts der IT-Abteilung des Unternehmens Zugriff zu dessen Systemen zu erlangen. Dies sei nach Auffassung der Behörde aufgrund von drei Sicherheitslücken möglich gewesen: Das Passwort sei einfach zu erraten gewesen, es sei für den Zugriff kein Zwei-Faktor-Authentifizierungsprozess etabliert gewesen, sondern nur das Passwort benötigt worden, und die mit den Accounts verbundenen Zugriffsrechte seien nicht auf die erforderlichen Systeme beschränkt gewesen, weshalb die Hacker mit der Kontrolle über die Accounts Zugang zu mehreren Systemen des Unternehmens erlangen konnten.

Durch den Angriff hatten die Hacker Zugriff auf persönliche Daten von 25 Millionen Passagieren, darunter Namen, Geburtsdaten, Angaben zum Geschlecht, E-Mail-Adressen, Telefonnummern, Fluginformationen und Buchungsnummern sowie Gesundheitsdaten von 367 Personen, die aufgrund von körperlichen Einschränkungen zusätzliche Leistungen angefragt hatten. Nach bisherigen Erkenntnissen wurden hiervon jedoch nur ungefähr 83.000 Datensätze heruntergeladen.

Der Bußgeldbescheid ist rechtskräftig. Transavia hat gegen ihn keinen Einspruch eingelegt.

(Johanna Schmale)

DSGVO-Zertifizierung ab dem Jahr 2022

Im Jahr 2022 wird es für digitale Produkte und Dienstleistungen erste Zertifizierungen nach der DSGVO geben. Bisher gibt es keine akkreditierte Zertifizierungsstelle, die ein echtes DSGVO-Zertifikat ausstellen könnte; im Jahr 2022 sollen aber die ersten Stellen den Akkreditierungsprozess durchlaufen haben.

Datenschutzspezifische Zertifizierungsverfahren können dem Nachweis dienen, dass bei Datenverarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern die datenschutzrechtlichen Vorgaben eingehalten werden. Die rechtlichen Grundlagen für die Zertifizierung und die Zertifizierungsstellen enthalten die Art. 42, 43 DSGVO.

Zertifizierungsstellen zertifizieren Produkte, Prozesse und Dienstleistungen ihrer Kunden, sofern es sich um Verarbeitungsvorgänge im Sinne der DSGVO handelt. Die Zertifizierungsstellen werden in Deutschland von der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemeinsam mit der jeweils zuständigen Datenschutzaufsichtsbehörde akkreditiert. Hierbei sind gem. Art. 43 Abs. 3 DSGVO bestimmte Anforderungen zu beachten.

Gleich mehrere Unternehmen mit Sitz in NRW haben ihre Zertifizierungsprogramme für den Akkreditierungsprozess bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) eingereicht. Geplant sind zum Beispiel Zertifizierungen für Auftragsverarbeitungen und IT-Services.

Informationen zu dem Akkreditierungsprozess stellt die DAkkS auf ihrer Homepage zur Verfügung.

(Johanna Schmale)

Datenschutz im Koalitionsvertrag

Der Koalitionsvertrag 2021 – 2025 zwischen SPD, Bündnis 90/Die Grünen und FDP wurde im November 2021 von den Parteien vorgestellt. In ihm sind unter anderem auch Regelungen mit datenschutzrechtlicher Relevanz enthalten.

Die Ampel-Parteien bezeichnen die DSGVO als „gute internationale Standardsetzung“. Zur besseren Durchsetzung und Kohärenz des Datenschutzes planen sie, die europäische Zusammenarbeit zu verstärken und die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), im Bundesdatenschutzgesetz zu institutionalisieren und ihr rechtlich verbindliche Beschlüsse zu ermöglichen. Geplant sind zudem unter anderem Regelungen zum Beschäftigtendatenschutz, die Förderung von Anonymisierungstechniken und die Einführung der Strafbarkeit rechtswidriger De-Anonymisierung. Die Koalition will sich außerdem für eine schnelle Verabschiedung einer „ambitionierten“ E-Privacy-Verordnung einsetzen.

(Johanna Schmale)