Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

der Europäische Datenschutzausschuss, der vornehmlich mit der Förderung der einheitlichen Anwendung des Datenschutzrechts in Europa betraut ist, hat eine Übersicht veröffentlicht, aus der sich u. a. ergibt, wie die Datenschutz-Aufsichtsbehörden der einzelnen Mitgliedsstaaten personell und finanziell aufgestellt sind. Aus dem Dokument mit dem Titel „Overview on resources made available by Member States to the Data Protection Authorities and on enforcement actions by the Data Protection Authorities” geht hervor, dass Deutschland mit deutlichem Abstand das meiste Geld in seine Aufsichtsbehörden investiert und auch die meisten Personen in seinen Aufsichtsbehörden beschäftigt. Entsprechend dieser Ausstattung führen die deutschen Aufsichtsbehörden auch die Liste der bearbeiteten Anfragen zum Thema Datenschutz innerhalb Europas an. Die anschaulich gestaltete Übersicht in englischer Sprache kann von der Webseite des Europäischen Datenschutzausschusses heruntergeladen werden.

In unserem Datenschutz-Newsletter informieren wir Sie regelmäßig über aktuelle datenschutzrechtliche Entwicklungen. Wie gewohnt finden Sie auch in dieser Ausgabe Beiträge zu Geschehnissen aus dem Datenschutzrecht, unter anderem eine Prüfaktion der Berliner Datenschutzbeauftragten zum Tracking von Nutzern auf Webseiten sowie eine Entscheidung des OLG Düsseldorf zur Online-Veröffentlichung von Kinderfotos. In unserem Schwerpunktthema informieren wir über Schadensersatzansprüche bei Datenschutzverstößen.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Schadensersatz bei Datenschutzverstößen

Unternehmen können auf Schadensersatz in Anspruch genommen werden, wenn sie gegen datenschutzrechtliche Bestimmungen verstoßen. Im Gegensatz zum alten Datenschutzrecht normiert die Datenschutzgrundverordnung (DSGVO) in Art. 82 neben dem Anspruch auf Ersatz des materiellen Schadens nun auch einen sogenannten „immateriellen“ Schadensersatzanspruch. Dieser Ansatz ist im deutschen Schadensersatzrecht unüblich und allenfalls aus dem Kontext von Schmerzensgeldansprüchen bekannt. Während sich die Aufmerksamkeit von Unternehmen in der Vergangenheit vor allem auf die Verhängung von Bußgeldern seitens der Aufsichtsbehörden richtete, kam datenschutzrechtlichen Schadensersatzansprüchen von Betroffenen bislang eher weniger Beachtung zu. Dies ändert sich jedoch nunmehr in Anbetracht der zunehmenden gerichtlichen Entscheidungen zu dieser Thematik, weshalb sich eine nähere Betrachtung des Anspruchs aus Art. 82 DSGVO und der bisherigen Rechtsprechung lohnt.

Nach Art. 82 Abs. 1 DSGVO kann jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen die für die Datenverarbeitung verantwortliche Stelle, also das Unternehmen, geltend machen. Gleiches gilt auch dann, wenn das Unternehmen als Auftragsverarbeiter tätig wird und gegen die ihm speziell als Auftragsverarbeiter auferlegten datenschutzrechtlichen Pflichten verstößt oder den ihm erteilten Anweisungen des Verantwortlichen nicht nachkommt. Erwägungsgrund 146 S. 5 führt hierzu weiter aus, dass eine Schadensersatzpflicht nach Art. 82 DSGVO nicht nur dann besteht, wenn eine Datenverarbeitung als nicht im Einklang mit der DSGVO zu qualifizieren ist, sondern auch, wenn der Verantwortliche gegen nationale Vorschriften, die der Präzisierung der Bestimmungen der DSGVO dienen, verstößt. Unternehmen sehen sich also sowohl bei Schäden durch Verstöße gegen die DSGVO, als auch gegen das Bundesdatenschutzgesetz (BDSG) einer möglichen Schadensersatzpflicht ausgesetzt.

Für Unternehmen stellt sich insoweit insbesondere die Frage, in welchen Fällen ein ersatzfähiger Schaden i. S. d. DSGVO vorliegt und wie dieser summenmäßig zu beziffern ist. Eine höchstrichterliche Klärung der relevanten Fragen blieb bislang aus. Unternehmen sehen sich derzeit vielmehr einer deutlich divergierenden Rechtsprechung zu dieser Thematik ausgesetzt.

Zum vollständigen Schwerpunktthema

Irische Aufsichtsbehörde verhängt Bußgeld gegen WhatsApp

Die irische Aufsichtsbehörde DPC hat gegen die zum Facebook-Konzern gehörende WhatsApp Ireland Ltd. ein Bußgeld in Höhe von 225 Millionen Euro verhängt, weil die Betroffenen nicht transparent genug über die Datenverarbeitung durch WhatsApp informiert wurden. Die irische Aufsichtsbehörde hatte das Verfahren bereits 2018 eingeleitet und wollte eigentlich nur ein moderates Bußgeld verhängen. Mehrere andere europäische Aufsichtsbehörden einschließlich des Bundesdatenschutzbeauftragten und der Aufsichtsbehörde Baden-Württemberg hatten förmlich Bedenken gegen das Vorgehen geäußert, da die irische Aufsichtsbehörde federführend die gesamte Bewertung für die Tätigkeit von WhatsApp in Europa vornehmen sollte. Nachdem keine Einigung erzielt werden konnte, hat der europäische Datenschutzausschuss EDPB dann verbindlich vorgegeben, dass von einem deutlich größeren Umfang von Datenschutzverletzungen ausgegangen werden müsse als dies von der DPC vorgesehen war und die angedachten Sanktionen deutlich strenger ausfallen müssen.

Die irische Aufsichtsbehörde hat sich letztlich diesen Vorgaben gebeugt und damit erstmals ein relevantes Bußgeld gegen eine irische Gesellschaft festgesetzt, wenn auch nur auf massiven Druck der anderen europäischen Aufsichtsbehörden. Es wird erwartet, dass sich Facebook und WhatsApp gegen die Entscheidung gerichtlich zu Wehr setzen werden. Inwieweit die irische Aufsichtsbehörde dann die ihr letztlich aufgezwungene Entscheidung engagiert verteidigt, bleibt abzuwarten.

(Dr. Sebastian Meyer)

Neue Regelung für Einwilligungen bei Telefonwerbung

Der Bundestag hat am 24.06.2021 das „Gesetz für faire Verbraucherverträge“ beschlossen. Teil des Gesetzes ist eine neue Regelung für Einwilligungen bei Telefonwerbung durch einen neu eingeführten § 7a UWG, der zum 01.10.2021 in Kraft tritt:

§ 7a UWG

Einwilligungen in Telefonwerbung

(1) Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Absatz 2 Satz 1 aufzubewahren.

(2) Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren. Die werbenden Unternehmen haben der nach § 20 Absatz 3 zuständigen Verwaltungsbehörde den Nachweis nach Absatz 1 auf Verlangen unverzüglich vorzulegen.

Neben der ohnehin bestehenden datenschutzrechtlichen Pflicht besteht somit zukünftig auch eine wettbewerbsrechtliche Pflicht zur Dokumentation von Verbraucher-Einwilligungen aus Telefonaten. Neu ist die ausdrückliche Regelung, dass diese Einwilligungen für fünf Jahre aufbewahrt werden müssen, wobei sich die Fünfjahresfrist mit jeder Verwendung der Einwilligung erneuert. Verstöße gegen den zukünftigen § 7a UWG können gemäß des ebenfalls neugefassten § 20 UWG zu Geldbußen von bis zu 50.000 € je Einzelfall führen.

(Robert Bommel)

Berliner Datenschutzbeauftragte ermahnt 50 Webseitenbetreiber bzgl. rechtswidrigem Tracking

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat 50 Berliner Unternehmen postalisch dazu aufgefordert, das Tracking von Nutzerverhalten auf ihren Webseiten in Einklang mit dem geltenden Datenschutzrecht zu bringen. Für ihre Aktion hat die Aufsichtsbehörde die Gestaltungsmerkmale und konkreten Datenströme auf den ausgewählten Webseiten dokumentiert und die Betreibenden mit den konkreten datenschutzrechtlichen Defiziten konfrontiert. Die Hinweisschreiben wurden nach Angabe der Behörde an Unternehmen gesendet, deren Cookie-Banner als besonders mangelhaft aufgefallen sind, die vergleichsweise viele Nutzer haben oder die möglicherweise besonders sensitive Daten verarbeiten. Betroffen sind Unternehmen aus diversen Branchen, insbesondere Online-Handel, Immobilien, Finanzen, Soziale Netzwerke, Rechtsdienstleistungen, Software, Gesundheit, Bildung und Vergleichsportale. Die Behörde kündigte an, förmliche Prüfverfahren einzuleiten, wenn die Webseitenbetreiber ihre Internetauftritte nicht gemäß den Anforderungen des Datenschutzrechts umgestalten. Ob auch andere Bundesländer derartige Prüfungen durchführen, ist derzeit nicht bekannt. Allen Unternehmen kann aber nur geraten werden, ihre Internetauftritte insbesondere bezüglich der eingesetzten Cookies datenschutzkonform zu gestalten.

(Robert Bommel)

Datenschutzorganisation noyb beschwert sich über „Cookie-Walls“

Nach seinem Erfolg gegen Facebook in dem Verfahren vor dem EuGH hat der Datenschutzaktivist Max Schrems mit seiner Organisation noyb eine Reihe von Beschwerden gegen Unternehmen und Organisationen eingereicht, weil diese die Vorgaben zur Nutzung von Cookies angeblich nicht ordnungsgemäß umsetzen. Die Beschwerden richten sich dabei sowohl gegen Anbieter, die vermeintlich die Cookie-Hinweise nicht verbraucher- bzw. datenschutzfreundlich genug gestaltet haben, als auch gegen Medienunternehmen, die Nutzern die Wahl zwischen einer kostenpflichtigen Nutzung ohne Tracking und einer kostenfreien Nutzung mit Tracking lassen (sogenannte „Cookie-Wall“).

Grundsätzlich ist es sicherlich begrüßenswert, wenn sich eine Datenschutzorganisation im Interesse des Datenschutzes dafür einsetzt, dass auch große Anbieter wie Amazon oder Facebook sich an die geltenden Bestimmungen halten. Das Verhalten von noyb, eine eigene Beschwerdeplattform einzurichten und im Falle einer mangelnden Kooperation von Unternehmen im Falle eine förmliche Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen ist allerdings fragwürdig. Im Hinblick auf die Cookie-Wall ist dabei etwa zu beachten, dass in der Empfehlung des Europäischen Datenschutzausschusses EDPB Cookie-Walls zwar als unzulässig angesehen, aber nur im Kontext der erzwungenen Einwilligung (EDPB Leitlinien 05/2020, Version 1.1 vom 04.05.2020, Rn. 40 f.). Die Empfehlung setzt sich dagegen nicht mit der Handhabung vieler Medienunternehmen auseinander, die auch ohne Cookies bzw. Tracking den Zugang zu den gewünschten Informationen anbieten, dann aber nur in einer kostenpflichtigen Version. Warum Inhalteanbieter verpflichtet sein sollen, ihre Inhalte generell frei zugänglich zu machen und hierfür keine Tracking-Technologie einsetzen dürfen, selbst wenn hierüber transparent aufgeklärt wird, erschließt sich nicht.

(Dr. Sebastian Meyer)

LfD Niedersachsen: Bußgeld wegen der Nutzung einer veralteten Software

Die Landesbeauftragte für den Datenschutz Niedersachsen verhängte gegen ein Unternehmen aus Niedersachsen ein Bußgeld in Höhe von 65.500 € wegen der Nutzung einer veralteten Software für dessen Webshop, die erhebliche Sicherheitslücken enthielt und die Passwörter der Nutzer nicht angemessen sicherte. Anlass für das Verfahren der Aufsichtsbehörde war die Meldung des Unternehmens über einen Datenschutzvorfall. Bei der Überprüfung der Internetseite des Unternehmens unter technischen Gesichtspunkten stellte die Aufsichtsbehörde fest, dass das Unternehmen in seinem Webshop eine Software nutzte, die bereits seit dem Jahr 2014 veraltet war und vom Hersteller nicht mehr mit Sicherheitsupdates versorgt wurde. Der Hersteller warnte vor dem Hintergrund erheblicher Sicherheitslücken selbst vor dem weiteren Einsatz der Software. Die niedersächsische Behörde stellte fest, dass die Software die Daten der Nutzer nicht ausreichend schützt und es mit überschaubarem Aufwand möglich gewesen wäre, die Klartext-Passwörter der Nutzer zu ermitteln sowie diese für Folgeangriffe zu nutzen. Aus Sicht der Aufsichtsbehörde sind die vom Verantwortlichen ergriffenen technischen Maßnahmen deshalb nicht angemessen i. S. d. Art. 25 DSGVO. Eine Aktualisierung der Software und die Behebung der Sicherheitslücke seien zudem nicht mit einem unverhältnismäßigen Aufwand verbunden gewesen. Die Datenschutzbeauftragte verhängte das Bußgeld in Höhe von 65.600 Euro infolgedessen aufgrund der unzureichenden technischen Absicherung. Bei der Bemessung des Bußgeldes wurde von der Aufsichtsbehörde zugunsten des Unternehmens berücksichtigt, dass die betroffenen Personen bereits vor dem Bußgeldverfahren darüber informiert wurden, dass ein Wechsel des Passwortes notwendig ist.

(Christina Prowald)

Telekom bewirbt datenschutzkonforme Nutzung von Office365

Die Deutsche Telekom bewirbt über ihre Tochtergesellschaft T-Systems eine nach eigener Einschätzung datenschutzkonforme Möglichkeit zur Nutzung der Microsoft-Clouddienste, was insbesondere auch Microsoft Office365 betrifft. Durch den eigenen „Cloud Privacy Service“ sollen allen Informationen vor einer Weiterleitung an Microsoft sowohl pseudonymisiert als auch verschlüsselt werden. Die Applikationsserver werden von T-Systems selbst in deutschen Rechenzentren betrieben; vor einer Weiterleitung von Daten an Microsoft, etwa für den Zugriff auf Daten im Speicherdienst OneDrive oder auf die Postfächer im Exchange-System kommt ein spezielles Gateway zum Einsatz, dass nicht nur die Inhalte verschlüsselt, sondern auch Metadaten verfremdet. Auf diese Weise kennt Microsoft nicht die eigenen Kunden und kann selbst im Falle eines staatlichen Herausgabeverlangens keine Daten herausgeben. Durch die eingesetzte Pseudonymisierung ist es dabei möglich, die meisten Online-Funktionen von Microsoft uneingeschränkt zu nutzen, lediglich die „Cognitive Services“ von Microsoft sind zur Vermeidung der Offenlegung von Nutzerdaten deaktiviert.

In der Vergangenheit hatte die Deutsche Telekom mit der Microsoft Cloud Deutschland bereits ein ähnliches Angebot konzipiert, das aber zwischenzeitlich eingestellt wurde. Bei dem neuen Modell muss sich ebenfalls noch zeigen, ob die Unternehmen als Zielgruppe bereit sind, die damit verbundenen Mehrkosten für die vorgesehene datenschutzrechtliche Absicherung zu tragen. Zur Anpreisung der eigenen Leistungen verweist die Deutsche Telekom geschickt darauf, dass der Einsatz der Clouddienste von Microsoft ohne zusätzliche Absicherung datenschutzrechtlich nicht möglich ist und dies auch im Fokus von Überprüfungen der Aufsichtsbehörden stehe.

(Dr. Sebastian Meyer)

OLG Düsseldorf: Online-Veröffentlichung von Kinderfotos erfordert Zustimmung beider Elternteile

Das OLG Düsseldorf hat entschieden, dass die Online-Veröffentlichung von Kinderfotos nur mit Zustimmung beider Elternteile zulässig ist (OLG Düsseldorf, Beschl. v. 20.07.2021 - Az: 1 UF 74/21; Volltext nicht öffentlich). Das Gericht ist der Auffassung, aus der öffentlichen Verfügbarmachung der Bilder ergäben sich „schwer abzuändernde Auswirkungen auf die Entwicklung der Kinder“, da Fotos nicht dauerhaft aus dem Internet gelöscht werden können und sich Kinder so voraussichtlich ihr ganzes Leben lang mit den veröffentlichen Fotos konfrontieren lassen müssen. Das Erfordernis der doppelten Einwilligung beider Elternteile folge bereits aus § 22 KunstUrhG, zusätzlich aber auch aus Art. 6 Abs. 1 lit. a) DSGVO, jeweils in Verbindung mit § 1626 Abs. 1 BGB.

Bei der Veröffentlichung von Kinderfotos ist die Entscheidung des OLG Düsseldorf zu berücksichtigen und die Einwilligung beider Elternteile muss vor der Veröffentlichung der Fotos eingeholt werden. Dies gestaltet sich in der Praxis aber regelmäßig als äußerst mühsam, da oftmals zum Zeitpunkt der Einwilligungseinholung nur ein Elternteil anwesend ist. Hier sollte mindestens darauf geachtet werden, dass von dem einem Elternteil die Zusicherung eingeholt wird, dass auch der andere Elternteil mit der Veröffentlichung des Kindesfotos einverstanden ist. Unabhängig von Fotoveröffentlichungen dürfte die Entscheidung für auch auf andere einwilligungsbasierte Datenverarbeitungen in Bezug auf Minderjährige übertragbar sein.

(Robert Bommel)

DSRI: 22. Herbstakademie 2021

Vom 01.09. – 04.09.2021 fand die 22. Herbstakademie 2021 der Deutschen Stiftung für Recht und Informatik zum Thema „Im Fokus der Rechtsentwicklung – Die Digitalisierung der Welt“ statt. Im Themenbereich Internet und Soziale Medien referierten Frau Dr. Schulte und Frau Schmale zum Thema „Marketingeinwilligungen in Online-Kontexten – aktuelle Rechtsprechung und deren praktische Umsetzung“. Für angemeldete Teilnehmerinnen und Teilnehmer sind die Beiträge zeitlich uneingeschränkt unter https://dsri.de/talks/herbstakademie-vortraege-2021/ abrufbar.

(Christina Prowald)