Sehr geehrte Damen und Herren,

mit unserem Datenschutz-Newsletter im Juli 2022 haben Sie eine Einladung zu unserem Datenschutzrechtstag am 15.09.2022 erhalten, auf dem wir gemeinsam mit Ihnen und externen Experten über das Thema „Datenschutzvorfälle – Beteiligte, Konsequenzen und Absicherung“ diskutieren möchten. In diesem Newsletter erhalten Sie weitere Informationen zu den Anmeldemöglichkeiten für die Veranstaltung.

Außerdem berichten wir wie gewohnt über aktuelle Geschehnisse im Datenschutzrecht, beispielsweise über ein Bußgeld in Höhe von 1,1 Millionen Euro, das aufgrund von Datenschutzverstößen gegen die Volkswagen Aktiengesellschaft verhängt wurde. In unserem Schwerpunktthema informieren wir über Datenschutz im Onlinehandel.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenschutz im Onlinehandel

Der Onlinehandel bietet Unternehmen die Möglichkeit, ihre Produkte und Dienstleistungen einer Vielzahl von (potentiellen) Kunden anzubieten und ihre räumliche Reichweite zu vergrößern. Bei dem Besuch von Onlineshops und dem Tätigen von Online-Bestellungen werden personenbezogene Daten durch die Unternehmen verarbeitet. Die Verantwortlichen haben insofern die Vorgaben des Datenschutzrechts, insbesondere der Datenschutz-Grundverordnung (DSGVO), zu beachten. Der vorliegende Beitrag enthält Informationen zum Datenschutz im Onlinehandel und praktische Umsetzungshinweise.

Zum vollständigen Schwerpunktthema

Datenschutzaufsichtsbehörden überprüfen Vereinbarungen zur Auftragsverarbeitung von Webhostern

Die Datenschutzaufsichtsbehörden in Bayern, Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen und Sachsen-Anhalt haben eine koordinierte Prüfung von Auftragsverarbeitungsverträgen angekündigt (vgl. die Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) vom 19.07.2022).

Als Grund für die Überprüfung geben die Behörden regelmäßige Anfragen von Verantwortlichen zu von Webhostern angebotenen Vereinbarungen zur Auftragsverarbeitung, die angeblich nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entsprechen, an. Der Eindruck der Datenschutzwidrigkeit bestätige sich regelmäßig durch die Prüfung der Aufsichtsbehörde. Viele Auftragsverarbeitungsverträge sähen keine ausreichenden Nachweise des Webhosters darüber vor, dass dieser die vereinbarten Datenschutzmaßnahmen umsetze. Dies könne zu einem Problem für die Seitenbetreiber werden, da sie als Verantwortliche gegenüber den Aufsichtsbehörden und den Betroffenen nachweisen können müssten, dass sie die Vorgaben des Datenschutzes einhalten.

Die Behörden haben angekündigt, Musterverträge ausgewählter Webhoster auf der Grundlage einer hierfür entwickelten Checkliste zu überprüfen. Die Checkliste sowie Ausfüllhinweise hierzu sind auf der Internetseite der BlnBDI abrufbar. Nach Angaben der BlnBDI gebe es mit der Checkliste erstmalig einen Standard für die Prüfung von Vereinbarungen zur Auftragsverarbeitung, der auch in anderen Bereichen angewendet werden könne. Die Behörde ermuntert alle IT-Dienstleister dazu, ihre Standardverträge selbstständig zu prüfen und anzupassen.

(Johanna Schmale)

DSK: FAQ zu Facebook-Fanpages

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat auf ihrer Internetseite eine Orientierungshilfe über FAQ zu Facebook-Fanpages vom 22.06.2022 veröffentlicht.

In der Orientierungshilfe beantwortet die DSK häufig gestellte Fragen zu der geschäftlichen Nutzung von Facebook-Fanpages. Entsprechend der Vorgaben des Europäischen Gerichtshofs (EuGH) in seinem Urteil vom 05.06.2018 (Az. C-210/16) stellt die DSK klar, dass Fanpage-Betreiber als gemeinsam mit dem Facebook-Betreiber Meta Platforms Verantwortliche die Vorgaben der DSGVO einhalten müssen und dazu unter anderem eine Vereinbarung über die gemeinsame Verantwortung gemäß Art. 26 DSGVO schließen müssen. Das aktuell von Meta Platforms vorgelegte Addendum erfülle die Anforderungen des Art. 26 DSGVO nicht. Die Sicherstellung und Nachweisbarkeit von Rechtskonformität der Datenverarbeitung sei für Fanpage-Betreiber derzeit nicht möglich. Nach Auffassung der DSK könnten Verantwortliche in dieser Situation nur eine Deaktivierung ihrer Fanpages vornehmen, bis sie in der Lage seien, ihre Pflichten aus der DSGVO zu erfüllen. Eine datenschutzrechtliche Konformität könne erst durch Nachbesserungen durch Meta Platforms erreicht werden.

Die datenschutzrechtlichen Probleme bei dem Betrieb einer Facebook-Fanpage werden von der DSK in einem Kurzgutachten von 23.03.2022 genauer dargestellt.

(Johanna Schmale)

LDI NRW: Broschüre „Datenschutz im Verein“ überarbeitet

Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI NRW) hat die Broschüre „Datenschutz im Verein“ überarbeitet und mit Stand von Mai 2022 neu aufgelegt.

Die LDI NRW betont, dass die DSGVO und andere Datenschutzgesetze unmittelbar auch für Vereine gelten. Die Broschüre solle Vereinen bei dem richtigen Umgang mit Mitgliederdaten und bei dem Betrieb von Social-Media-Kanälen helfen, da die Umsetzung der DSGVO gerade in den zumeist ehrenamtlich geführten kleineren Vereinen häufig als besondere Herausforderung empfunden werde.

In der Broschüre werden Themen wie Informationspflichten, Löschfristen, Betroffenenrechte, Rechtsgrundlagen und Auftragsverarbeitung behandelt. Die Broschüre enthält auch einige Beispieldokumente zur Sicherstellung des Datenschutzes im Verein, beispielsweise Muster für die Verpflichtung auf Vertraulichkeit, die Einwilligung in die Veröffentlichung von Fotos im Internet und das Verzeichnis der Verarbeitungstätigkeiten.

(Johanna Schmale)

LfD Niedersachsen: 1,1 Millionen Euro Bußgeld gegen Volkswagen

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat gegen die Volkswagen Aktiengesellschaft ein Bußgeld gemäß Art. 83 DSGVO in Höhe von 1,1 Millionen Euro festgesetzt (vgl. die Pressemitteilung der LfD vom 26.07.2022). Als Grund für das Bußgeld gab die Behörde Datenschutzverstöße im Zusammenhang mit dem Einsatz eines Dienstleisters bei Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von Verkehrsunfällen an.

Bei der Verkehrskontrolle eines Erprobungsfahrzeugs des Unternehmens im Jahr 2019 waren den Polizeibediensteten an dem Fahrzeug ungewöhnliche Anbauten aufgefallen, die sich als Kameras herausstellten. Das Fahrzeug wurde eingesetzt, um die Funktionsfähigkeit eines Fahrassistenzsystems zur Vermeidung von Verkehrsunfällen zu testen und zu trainieren. Unter anderem zur Fehleranalyse wurde das Verkehrsgeschehen um das Fahrzeug herum aufgezeichnet. An dem Fahrzeug fehlten aufgrund eines Versehens Magnetschilder mit einem Kamerasymbol und den weiteren datenschutzrechtlichen Informationen, die gemäß Art. 13 DSGVO den Betroffenen, in diesem Fall den anderen Verkehrsteilnehmenden, zur Verfügung gestellt werden müssen. Es wurde außerdem festgestellt, dass Volkswagen keine Vereinbarung zur Auftragsverarbeitung mit dem eingesetzten Dienstleister, der die Fahrten durchführte, abgeschlossen hatte. Die Aufsichtsbehörde kritisierte außerdem die fehlende Datenschutz-Folgenabschätzung, mit der vor Beginn einer solchen Datenverarbeitung mögliche Risiken und deren Eindämmung hätten bewertet werden müssen, sowie die fehlende Erläuterung der technischen und organisatorischen Schutzmaßnahmen im Verzeichnis der Verarbeitungstätigkeiten.

Nach Angaben der LfD habe das Unternehmen umfassend mit der Aufsichtsbehörde kooperiert und den Bußgeldbescheid akzeptiert. Die Mängel, die in keinem Bezug zu Serienfahrzeugen ständen, habe Volkswagen unverzüglich abgestellt. Mit dem Bußgeldbescheid gegen Volkswagen befasst sich auch ein Beitrag von Dr. Sebastian Meyer in unserem Blog.

(Johanna Schmale)

In eigener Sache: Anmeldung zum BRANDI-Datenschutzrechtstag

Bereits in unserem letzten Datenschutz-Newsletter im Juli 2022 haben wir Sie zu unserem Datenschutzrechtstag am 15.09.2022 eingeladen. Auf der Veranstaltung möchten wir gemeinsam mit Ihnen und externen Experten zu dem Thema „Datenschutzvorfälle – Beteiligte, Konsequenzen und Absicherung“ diskutieren.

Mittlerweile ist das Anmeldeformular für die Veranstaltung auf unserer Homepage freigeschaltet. Die Möglichkeit zur Anmeldung finden Sie unter dem folgenden Link: https://www.brandi.net/news/detail/3-brandi-datenschutzrechtstag-live-event-am-15092022/.

Für organisatorische Fragen im Vorfeld zu der Veranstaltung stehen wir Ihnen gerne zur Verfügung. Zudem können Sie inhaltliche Fragen, über die Sie in der Veranstaltung gerne diskutieren möchten, bereits vorab an die folgende E-Mail-Adresse schicken: WissMit-DatenschutzBI@brandi.net. Zusätzlich besteht die Möglichkeit, während der Veranstaltung online Fragen zu stellen und sich dadurch aktiv an der Diskussion zu beteiligen.

Wir freuen uns auf eine zahlreiche Teilnahme an der Veranstaltung!

(Johanna Schmale)