Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

die Datenübermittlung in Drittstaaten ist ein aktuelles Thema, das in europäischen Unternehmen regelmäßig datenschutzrechtliche Fragestellungen aufwirft. Hinsichtlich der Datenübermittlung in die USA bei dem Einsatz von Google Analytics hat sich kürzlich die österreichische Datenschutzbehörde geäußert, was wir zum Anlass genommen haben, die aktuellen Entwicklungen zum Datenschutz bei Google Analytics in dem Schwerpunktthema dieses Datenschutz-Newsletters darzustellen.

Angesichts der datenschutzrechtlichen Problematiken bei Datentransfers in die USA wurde im Auftrag der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ein Gutachten zum aktuellen Stand des US-Überwachungsrechts erstellt. Über dieses Gutachten und weitere aktuelle Themen berichten wir ebenfalls in diesem Newsletter.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Aktuelle Entwicklungen zum Datenschutz bei dem Einsatz von Google Analytics

In Deutschland nutzen Unternehmen sehr umfassend die technischen Möglichkeiten, um das Verhalten der Nutzer auf den eigenen Online-Auftritten auszuwerten. Den größten Marktanteil im Bereich der entsprechenden Analysetools hat dabei Alphabet/Google mit dem Dienst Google Analytics. Mit Hilfe von Google Analytics können Betreiber einer Website detaillierte Berichte über das Nutzerverhalten von Website-Besuchern erstellen; gleichzeitig liegen die entsprechenden Informationen aber auch Google als Betreiber des Dienstes vor.

Die österreichische Datenschutzbehörde hat nun im Rahmen eines Beschwerdeverfahrens festgestellt, dass Betreiber einer Website Google Analytics jedenfalls in dessen Version vom 14.08.2020 nicht im Einklang mit der Datenschutz-Grundverordnung (DSGVO) nutzen können. Die Hintergründe und Konsequenzen dieser Entscheidung werden im Folgenden dargestellt, vor allem auch bezogen auf eine Übertragbarkeit für die Situation in Deutschland.

Zum vollständigen Schwerpunktthema

OLG Dresden: Aufbewahrungspflichten bei unrechtmäßig erhobenen Daten

Das OLG Dresden hat entschieden, dass gesetzliche Aufbewahrungspflichten keine Rechtfertigung darstellen, um nicht rechtmäßig erhobene Daten dauerhaft speichern zu dürfen (OLG Dresden, Urt. v. 14.12.2021 – Az. 4 U 1278/21).

In dem der Entscheidung zugrunde liegenden Fall hatte das beklagte Inkassounternehmen den Kläger zur Begleichung einer angeblichen offenen Forderung aufgefordert. Es stellte sich jedoch heraus, dass der Kläger nicht der tatsächliche Schuldner war, sondern nur namensgleich mit dieser Person. Der Kläger forderte die Beklagte daraufhin auf, seine personenbezogenen Daten zu löschen. Die Beklagte lehnte dies ab und gab als Begründung unter anderem an, steuerrechtlichen Aufbewahrungspflichten zu unterliegen und zukünftige weitere Verwechslungen vermeiden zu wollen.

Das OLG bejahte den Löschungsanspruch hinsichtlich des Namens, der Anschrift und des Geburtsdatums des Klägers und damit hinsichtlich der Daten, mit denen er eindeutig identifiziert werden kann. Diese Löschpflicht berühre nicht die in Rede stehende Aufbewahrungspflicht gemäß § 147 AO, die sich nur auf die geschäftliche Korrespondenz beziehe. Die Beklagten seien nicht verpflichtet, die geschäftliche Korrespondenz zu löschen. Vielmehr obliege es dem Steuerpflichtigen, Datenbestände so zu organisieren, dass ein Prüfer nur auf aufbewahrungspflichtige Daten in einem Datenbestand zugreifen könne. Dies könne beispielsweise durch Zugriffsbeschränkungen oder Schwärzen der zur Identifizierung benötigten Daten erreicht werden. Die Rechtmäßigkeit der Datenverarbeitung ergebe sich in dem vorliegenden Fall auch nicht aus Art. 6 Abs. 1 S. 1 lit. f) DSGVO, da die Interessen des Klägers an seinem Recht auf informationelle Selbstbestimmung gegenüber dem Interesse der Beklagten, bei der Ermittlung des Wohnortes des tatsächlichen Schuldners nicht erneut den Kläger zu ermitteln und in Anspruch zu nehmen, überwiegen würden.

(Johanna Schmale)

Frankreich: Aufsichtsbehörde sanktioniert Google und Facebook

CNIL, die französische Datenschutzbehörde, hat gegen die Anbieter Google und Facebook weitere Bußgelder wegen der rechtswidrigen Gestaltung der Cookie-Einwilligungen verhängt; außerdem droht die CNIL zusätzliche Zwangsgelder an, soweit die Konzerne keine Anpassung innerhalb von drei Monaten vorsehen. In beiden Fällen hatte die Aufsichtsbehörde festgestellt, dass optionale Cookies jeweils mit einem Klick bestätigt werden können, für die Ablehnung dieser Cookies aber mehrere Schritte erforderlich waren. Hierdurch werden Nutzer dazu gebracht, aus Bequemlichkeit den Cookies zuzustimmen, weil dies die einfachste Lösung sei. Google muss für diese fehlerhafte Umsetzung auf dem Suchportal google.fr und im Videoportal YouTube insgesamt 150 Mio. EUR zahlen und gegen Facebook wurde ein Bußgeld in Höhe von 90 Mio. EUR verhängt. Beide Bußgeldbescheide sind noch nicht rechtskräftig und es wird damit gerechnet, dass die Anbieter Rechtsmittel einlegen werden. Der Streit über das letzte Bußgeld gegen Google ist aktuell noch bei dem Conseil d’État anhängig. Eigentlich wäre für die Aufsicht über Google und Facebook die irische Data Protection Commission zuständig, die in der Vergangenheit schon häufiger für ihre Untätigkeit kritisiert wurde. Die CNIL begründet ihre Zuständigkeit unter Rückgriff auf die aktuell noch geltende E-Privacy-Richtlinie. Über das Vorgehen berichtet die CNIL selbst auf ihrer Homepage, außerdem hat Politico das Thema aufgegriffen.

(Dr. Sebastian Meyer)

Österreichische Datenschutzbehörde zur Speicherung von Kunden-Anrufen

Die österreichische Datenschutzbehörde hat im Januar 2022 über eine Entscheidung informiert, nach der eine Bank nicht alle Anrufe ihrer Kunden dauerhaft speichern darf (Az.: 2020-0.591.897 (D124.422)).

In dem der Entscheidung zugrunde liegenden Fall sah sich der Beschwerdeführer durch die Aufzeichnung seines Kundenanrufs ohne Opt-Out-Option durch eine Bank in seinen Rechten verletzt. Sämtliche Gespräche wurden von der Bank aufgezeichnet und dauerhaft aufbewahrt. Die Bank berief sich hierfür auf ihre gesetzlichen Aufbewahrungspflichten als Zahlungs- und Wertpapierdienstleister.

Nach Auffassung der Behörde sei für die datenschutzrechtliche Beurteilung nach der Art von Anrufen zu differenzieren. Gesetzliche Aufzeichnungspflichten bestünden teilweise für die Authentifizierung von Telefonbankingaufträgen oder in Bezug auf Kundenaufträge. Der konkret betroffene Kundenanruf des Beschwerdeführers falle jedoch nicht unter eine entsprechende Pflicht. Telefongespräche, für die eine gesetzliche Aufzeichnungspflicht gelte, seien von anderen Kundengesprächen getrennt zu führen. Mit der umfassenden Aufzeichnung von Kundenanrufen habe die Bank angesichts der nicht flächendeckend geltenden Aufzeichnungspflicht gegen den Grundsatz der Datenminimierung verstoßen.

Der Bescheid wurde bei dem Bundesverwaltungsgericht Österreich angefochten und ist daher noch nicht rechtskräftig.

(Johanna Schmale)

Gutachten zum aktuellen Stand des US-Überwachungsrechts

Unter Federführung der Berliner Beauftragten für Datenschutz und Informationsfreiheit wurde im Auftrag der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) ein Gutachten zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbefugnisse erstellt (Gutachten von Prof. Stephen Vladeck vom 15.11.2021). Der Hintergrund des Gutachtens ist die aktuelle datenschutzrechtliche Problematik des Datentransfers in die USA. Das Datenschutzniveau in den USA ist in der Vergangenheit unter anderem von dem Europäischen Gerichtshof (EuGH) in seinem Urteil „Schrems II“ (EuGH, Urt. v. 16.07.2020 – C-311/18) kritisiert worden, insbesondere aufgrund nationaler Rechtsvorschriften, die weitreichende Zugriffsmöglichkeiten von US-Behörden auf Daten amerikanischer Unternehmen vorsehen.

Der Verfasser des Gutachtens kommt unter anderem zu dem Ergebnis, dass der für die Anwendbarkeit von Section 702 des US-amerikanischen Foreign Intelligence Surveillance Act (FISA) zentrale Begriff „electronic communication service provider“ sehr weit zu verstehen ist. Befugnisse der US-Behörden, die Herausgabe bestimmter Datenbestände zu verlangen, seien auch dann, wenn ein Unternehmen nur hinsichtlich eines Dienstes als „electronic communication service provider“ anzusehen ist, nicht auf Daten im Zusammenhang mit diesem Dienst beschränkt.

Die DSK hat angekündigt, dass die Datenschutzaufsichtsbehörden derzeit die Konsequenzen, die sich aus den Feststellungen des Gutachtens ergeben, bewerten. Das Gutachten entfaltet für die Beurteilung von Einzelfällen zwar keine unmittelbare verbindliche Wirkung. Nach Angaben der DSK werden die Aufsichtsbehörden das Gutachten allerdings im Rahmen ihrer Tätigkeit berücksichtigen.

(Johanna Schmale)

Datenschutzvorfall: Sicherheitslücken im Schweizer Organspenderegister

Bei dem nationalen Organspenderegister der „Schweizerischen Nationalen Stiftung für Organspende und Transplantation" (Swisstransplant) ist es zu einem Datenschutzvorfall gekommen. In dem Organspenderegister war es möglich, ohne Identitätsprüfung online beliebige Personen einzutragen, ohne dass diese davon wussten oder dem zugestimmt hatten.

Die Sicherheitslücke wurde von der IT-Sicherheitsfirma ZFT.Company entdeckt, die einen ausführlichen Bericht vom 18.01.2022 zu dem Vorfall auf ihrer Internetseite veröffentlicht hat. Für die Organspende ist es in der Schweiz erforderlich, dass der Betroffene informiert darin einwilligt. Die ZFT.Company kritisierte insofern den Registrierungs- und Einwilligungsprozess, den Authentisierungsmechanismus sowie eine unzureichende Prüfung der Eingabeparameter des Portals. Betroffen von der Sicherheitslücke seien nach Angaben des Unternehmens insbesondere Patienten auf der Warteliste für eine Organspende. Es sei nicht nachweisbar, welcher Verfasser welche Entscheide in dem Register abgegeben habe.

Der Vorfall wird von dem Schweizer Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) geprüft. Er veröffentlichte mittlerweile eine kurze Stellungnahme, in der er unter anderem über die Eröffnung einer formellen Sachverhaltsabklärung informiert.

Der Fall zeigt, dass unzureichende technische und organisatorische Maßnahmen zu schweren Sicherheitslücken in einem Unternehmen führen können, wobei insbesondere der unzureichende Schutz von besonders sensiblen personenbezogenen Daten ein erhebliches Risiko für betroffene Personen birgt.

(Johanna Schmale)