Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

der Bundestag hat in zweiter und dritter Beratung den von der Bundesregierung eingebrachten Entwurf zum Gesetz zur Anpassung an die Datenschutzgrundverordnung (Datenschutz-Anpassungs- und Umsetzungsgesetz EU; kurz DSAnpUG-EU) angenommen. Der Entwurf wird nun dem Bundesrat zugleitet, der entscheiden wird, ob ein Vermittlungsausschuss angerufen wird. Soweit dies nicht geschieht, wird der Gesetzentwurf dem Bundespräsidenten zur Ausfertigung zugeleitet.

Das DSAnpUG-EU wurde in den letzten Wochen von verschiedenen Institutionen scharf kritisiert, unter anderem vom Deutschen Verein für Datenschutz e.V. und verschiedenen Sachverständigen im Bundestag. Zudem gab es Presseberichte über ein möglicherweise drohendes Vertragsverletzungsverfahren gegen Deutschland durch die EU-Kommission. Es wird vor allem kritisiert, in der DSAnpUG-EU würden bestimmte Öffnungsklauseln der Datenschutzgrundverordnung (DSGVO) zu weit ausgelegt. Das DSAnpUG-EU sei damit zumindest in diesen Punkten nicht mit dem EU-Recht vereinbar. Eine verbindliche Entscheidung hierzu müsste aber gegebenenfalls der Europäische Gerichtshof (EuGH) treffen, was aktuell aber nicht ansteht.

Damit Sie unabhängig vom weiteren konkreten Fortgang des Gesetzgebungsverfahrens gut auf das Inkrafttreten der Datenschutz-Grundverordnung vorbereitet sind, fassen wir Ihnen in unserem Newsletter jeden Monat die wichtigsten Informationen zu einem ausgewählten Thema der DSGVO zusammen. Schwerpunktmäßig beschäftigen wir uns diesen Monat mit dem Thema "Einwilligungen unter der Datenschutz-Grundverordnung". Dabei gehen wir insbesondere auf die Frage ein, ob eine unter dem BDSG erteilte Einwilligung auch unter dem neuen Recht wirksam ist.

Zusätzlich berichten wir Ihnen wie gewohnt von Gerichtsentscheidungen, Aktivitäten der Datenschutz-Aufsichtsbehörden und sonstigen Neuigkeiten aus der Welt des Datenschutzes.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich dabei an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Einwilligungen unter der Datenschutz-Grundverordnung

Die Einwilligung ist als Ausdruck des Grundrechts auf informationelle Selbstbestimmung, welches in den Art. 1 Abs. 1, Art. 2 Abs. 1 Grundgesetz verankert ist, einer der Grundpfeiler des Datenschutzrechts. Um rechtmäßig personenbezogene Daten erheben und verarbeiten zu dürfen, bedarf es in vielen Fällen der Einwilligung der betroffenen Person. Der Betroffene hat somit die Dispositionsfreiheit über die ihn betreffenden Daten. Nur in bestimmten Fällen ist die Einwilligung als entbehrlich anzusehen. Europarechtlich findet sich das Grundrecht auf Datenschutz insbesondere in Art. 8 der Grundrechte-Charta. Die grundlegende Bedeutung der Einwilligung wird auch unter der am 25. Mai 2018 in Kraft tretenden Datenschutz-Grundverordnung weitgehend unverändert bleiben.

Unter der DSGVO wird die Einwilligung weiterhin eine zentrale Legitimation für Datenerhebung und Datenverarbeitung sein. Die Anforderungen an eine wirksame Einwilligung sind im Wesentlichen in den Art. 7 und 8 DSGVO geregelt.

Die Definition der Einwilligung ändert sich im Vergleich zur bisherigen Rechtslage nicht signifikant. In Art. 4 Nr. 11 DSGVO ist die Einwilligung definiert als "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung [...], mit der die Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist". Die Beweislast zum Vorliegen einer Einwilligung liegt gemäß Art. 7 Abs. 1 DSGVO bei dem Verantwortlichen. Damit die Einwilligung auf Basis einer hinreichenden Aufklärung abgegeben wird, muss die verantwortliche Stelle ihren Informationspflichten nachgekommen sein. So konkretisiert sich der Inhalt der Einwilligung stets mit Hinblick auf die ausgewiesenen Verwendungszwecke, auf die sich die Einwilligung bezieht.

Auf unserer Internetseite finden Sie - wie gewohnt - weitere Hinweise und Erläuterungen zu unserem Schwerpunktthema, insbesondere auch eine Antwort auf die Frage nach der zukünftigen Wirksamkeit von vor dem Inkrafttreten der DSGVO erteilten Willenserklärungen.

Tätigkeitsbericht der Landesdatenschutzbeauftragten NRW veröffentlicht

Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) hat ihren gemeinsamen Tätigkeitsbericht für die Jahre 2015 und 2016 veröffentlicht. In dem Bericht, der ca. 70 Einzelbeiträge umfasst, werden die wesentlichen Maßnahmen und Aktivitäten der Aufsichtsbehörde zusammengefasst. Schwerpunkt der Tätigkeit war unter anderem der Bereich Videoüberwachung sowie die Prüfung des internationalen Datenverkehrs im Rahmen einer bundesweiten Prüfaktion.

Der insgesamt 232 Seiten umfassende Bericht kann hier heruntergeladen werden. Der Bericht ist nach Themenbereichen geordnet, wobei sich ein Kapitel gesondert mit den Tätigkeiten der Aufsichtsbehörde gegenüber Unternehmen im nicht-öffentlichen Bereich ("Wirtschaft") befasst.

Aufsichtsbehörde prüft Datenschutz in der Wohnungswirtschaft

Im Rahmen einer Prüfaktion im Bereich der Wohnungswirtschaft hat die Aufsichtsbehörde in NRW über 40 Immobilienmakler und Wohneigentumsverwaltungsgesellschaften hinsichtlich der Einhaltung von datenschutzrechtlichen Vorschriften überprüft. Dabei wurden nach Angaben der Landesdatenschutzbeauftragten bei allen geprüften Unternehmen beanstandungswürdige Prozesse festgestellt. Ziel der gemeinsam mit der Aufsichtsbehörde in Bayern durchgeführten Prüfung war es, die Wohnungswirtschaft für den Datenschutz zu sensibilisieren, nachdem es in diesem Bereich zunehmend zu Beschwerden über Art und Umfang von Datenerhebungen gekommen war.

Unternehmen, die im Bereich der Wohnungswirtschaft tätig sind, sollten die Überprüfung zum Anlass nehmen, gemeinsam mit ihren Datenschutzbeauftragten die eigenen Datenerhebungsprozesse, insbesondere ihre Formulare zur Mieterselbstauskunft, datenschutzrechtlich zu überprüfen. Bei dieser Gelegenheit können auch gleich die notwendigen Anpassungen für die Datenschutz-Grundverordnung vorgenommen werden. Zukünftig ist mit vergleichbaren Überprüfungen auch in anderen Branchen zu rechnen, so dass insoweit eine entsprechende Vorbereitung sinnvoll ist.

Verbraucherzentrale NRW mahnt Datenschutzerklärungen von Wearables und Fitness-Apps ab

Die Verbraucherzentrale NRW hat zwölf Wearables und 24 Fitness-Apps hinsichtlich der Einhaltung der datenschutzrechtlichen Vorschriften näher untersucht. Nach Ansicht der Verbraucherzentrale informieren die meisten Anbieter die Verbraucher in ihren Datenschutzerklärungen nur unzureichend über die Datenerhebung und die genaue Verwendung der Daten. Die Verbraucherzentrale hat infolge der Prüfung die folgenden neun Anbieter wegen Verstößen gegen Datenschutzbestimmungen abgehahnt: Apple, Garmin, Fitbit, Jawbone, Polar, Runtastic, Striiv, UnderArmour (MyFitnessPal), Withings.

Der Bundestag hatte im Februar 2016 mit dem Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzes ein Verbandsklagerecht für Verbraucherverbände und vergleichende Institutionen beschlossen. Von diesem neuen Recht machen die Verbraucherverbände in letzter Zeit zunehmend Gebrauch.

Insbesondere Unternehmen im Endkundengeschäft zu Verbrauchern sollten die Überprüfung der Verbraucherzentrale zum Anlass nehmen, die eigene Datenschutzerklärung auf Vollständigkeit und Aktualität zu überprüfen.

BGH urteilt zur Einwilligung in E-Mail-Werbung

Mit Urteil vom 14.03.2017 (Az. VI ZR 721/15) hat der Bundesgerichtshof (BGH) die Anforderungen an eine Einwilligung in E-Mail-Werbung konkretisiert. Im konkreten Fall hatte ein Homepagebetreiber den Download einer kostenlosen Software durch Verwendung von Allgemeinen Geschäftsbedingungen (AGB) an den Erhalt von Werbe-E-Mails geknüpft. Zum Download gelangte der Nutzer nur, wenn er seine E-Mail-Adresse eingab und diese in einer Bestätigungs-E-Mail (Double-Opt-In) bestätigte. Nachfolgend erhielt der klagende Nutzer aber nicht nur E-Mails des Software-Anbieters, sondern auch E-Mails von einer Reihe weiterer Unternehmen. Der Software-Anbieter verteidigte dieses Vorgehen damit, dass sämtliche weitere Unternehmen in den AGB aufgezählt werden und die Bestätigungs-E-Mail den eindeutigen Hinweis enthielt, dass durch Bestätigung des Links der Softwaredownload gestartet wird und zudem das Einverständnis in die Übersendung von werblichen Informationen durch die benannten weiteren Unternehmen zugestimmt wird.

Der BGH folgte dieser Ansicht nicht. Eine vorformulierte Einwilligungserklärung müsse sich am AGB-Recht (§ 305 ff. BGB) messen lassen und insbesondere auch transparent gestaltet sein. Eine Einwilligung sei demnach nur wirksam, wenn der Nutzer auch verstehen kann, worauf sich die von ihm abgegebene Einwilligung bezieht. Im konkreten Fall sei nicht eindeutig gewesen, für welche Produkte die in den AGB benannten weiteren Unternehmen werben. Die verwendeten Einwilligungserklärungen würden beim Kunden den Eindruck erwecken, dass lediglich in den Erhalt von Werbung des Software-Anbieters eingewilligt werde. Ein Nutzer könne somit davon ausgehen, dass er Werbung erhalte, die inhaltlich einen Bezug zu dem runtergeladenen Programm aufweist. Stattdessen enthielten die AGB im vorliegenden Fall aber eine (verdeckte) Generaleinwilligung, ohne dass dem Nutzer dies in der gebotenen Klarheit verdeutlich wird. Dies ergebe sich im konkreten Fall auch daraus, dass es sich bei den benannten weiteren Unternehmen teilweise um Marketingunternehmen gehandelt hat, die für eine Vielzahl von anderen Kunden Werbung versenden. Letztlich sei der Kreis der Unternehmen, von denen eine E-Mail-Werbung erwartet werden kann, nicht mehr vorhersehbar und bestimmbar gewesen.

Der BGH setzt mit dieser Entscheidung seine bisherige Rechtsprechung zur erforderlichen Produktbezogenheit als Wirksamkeitsvoraussetzung von Einwilligungserklärungen fort. Alle Unternehmen sollten die Entscheidung zum Anlass nehmen, die eigenen Werbungs-Einwilligungserklärungen hinsichtlich der weiterhin erforderlichen Produktbezogenheit zu überprüfen. Dies gilt jedenfalls dann, wenn sich der Verstand der E-Mail-Werbung durch die Einwilligung des Betroffenen legitimieren soll. Soweit die E-Mailwerbung durch § 7 Abs. 3 UWG (Werbung für eigene ähnliche Waren oder Dienstleistungen) ohnehin gestattet ist, braucht es keinen Rückgriff auf eine Einwilligungserklärung des Kunden; auch für diese Sonderregelung ergibt sich ein Produktbezug aber aus dem Wortlaut der gesetzlichen Regelung.

EU-Parlament verabschiedet kritische Resolution zum EU-US Privacy Shield

Das EU-Parlament hat verschiedene politische Entwicklungen in den USA aus datenschutzrechtlicher Perspektive in einer veröffentlichten Resolution kritisiert. Neuigkeiten über die Aktivitäten der US-Geheimdienste würden das EU-Parlament ebenso beunruhigen wie die Tatsache, dass die neue US-Regierung noch keinen Ombudsmann benannt hat, der sich eigentlich um die Durchsetzung der Datenschutzrechte von EU-Bürgern in den USA kümmern soll.

Die Resolution des EU-Parlaments hat keine unmittelbaren Auswirkungen auf die Wirksamkeit des EU-US Privacy Shield. Es handelt sich vielmehr um ein politisches Signal, das Ausdruck der transatlantischen Spannungen im Bereich Datenschutz sein soll.

Das Privacy Shield war notwendig geworden, nachdem der Europäische Gerichtshof das zuvor in diesen Fällen einschlägige Safe-Harbour-Abkommen Ende 2015 für rechtswidrig erklärt hatte. Der erste jährliche Rückblick des EU-Parlaments auf das Privacy Shield wird für September erwartet.

Neue E-Privacy-Verordnung in der Kritik

Die Artikel 29-Datenschutzgruppe der EU, ein Zusammenschluss der europäischen Datenschutzbeauftragten, hat den E-Privacy-Verordnungs-Entwurf der EU-Kommission kritisiert. Dieser bleibe teilweise hinter den Anforderungen der Datenschutz-Grundverordnung zurück und biete keine ausreichenden Lösungen zur Frage des Einsatzes von Cookies auf Internetseiten.

Ähnlich kritisch äußert sich der EU-Datenschutzbeauftragte in einer 40-seitigen Stellungnahme. Der grundlegende Gedanke, die E-Privacy-Regelungen für alle Mitgliedsstaaten im Wege einer Verordnung zu vereinheitlichen, sei zwar zu begrüßen. Die konkreten Inhalte des Verordnungsentwurfs seien aber teilweise nicht mit der Datenschutzgrundverordnung vereinbar. Auch die enge Verbindung zum geplanten Europäischen Kodex für die elektronische Kommunikation sei nicht nachvollziehbar, da sich der Kodex inhaltlich mit Fragen der Telekommunikation und gerade nicht mit Fragen des Datenschutzes beschäftige.

BSI definiert Sicherheitsstandards für sicher Web-Browser

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Mindeststandards für den Einsatz von sicheren Web-Browsern in der Bundesverwaltung veröffentlicht. Web-Browser seien durch ihre Funktionsvielfalt oftmals mit modernen Betriebssystemen vergleichbar. Zusammen mit den Mindeststandards hat das BSI auch eine Tabelle veröffentlicht, in der die populärsten Web-Browser hinsichtlich des Mindeststandards überprüft werden. Der Mindeststandard richtet sich vor allem an IT-Mitarbeiter in der Bundesverwaltung, kann aber laut BSI auch der Wirtschaft und Gesellschaft, Länder und Kommunen als Empfehlung dienen. Eine Pflicht für Unternehmen zur Einhaltung dieses Standards besteht nicht.

VG Hamburg: Datenaustausch zwischen Whatsapp und Facebook

Im September letzten Jahres hatte der Hamburger Datenschutzbeauftragte den Datenaustausch von Whatsapp an Facebook im Wege einer Verwaltungsanordnung verboten. Hintergrund der Anordnung war eine Erklärung von Whatsapp, es sei geplant, zukünftig Telefonnummern und andere Daten an den Facebook-Mutterkonzern weiterzugeben. Nach Ansicht der Aufsichtsbehörden fehle es für eine diesbezügliche Datenübertragung aber an einer datenschutzrechtlichen Rechtfertigungsgrundlage und einer wirksamen Einwilligung der Betroffenen. Facebook wehrte sich vor dem Verwaltungsgericht Hamburg gegen die Verwaltungsanordnung.

Das Verwaltungsgericht Hamburg hat nun entschieden, dass die Anordnung der Aufsichtsbehörde in fast allen Punkten rechtmäßig ergangen ist (Beschl. v. 24.04.2017, Az. 13 E 5912/16). Einzig die ebenfalls angeordnete Löschung der zuvor erhobenen (Alt-)Daten sei zu weitgehend. Im Übrigen, insbesondere hinsichtlich des vorläufigen Verbots des Datenaustauschs mit Facebook, hat die Verwaltungsanordnung aber weiterhin Bestand.

Mit dem Beschluss des Verwaltungsgerichts ist der Rechtsstreit zwischen Facebook und der Aufsichtsbehörde noch nicht beendet. Das Verwaltungsgericht Hamburg hat insbesondere nicht die stark umstrittene Frage entschieden, ob deutsches Recht auf den Fall Anwendung findet. Facebook, dessen internationaler Hauptsitz für Nutzer außerhalb der USA und Kanada in Irland liegt, bestreitet dies. In einem Parallelverfahren, an dem Facebook ebenfalls beteiligt ist, muss sich demnächst der Europäische Gerichtshof (EuGH) mit dieser Frage befassen.