Schlagwort: Einwilligung

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 6): Ist das KDG strenger als die DSGVO?

30. November 2018

Zutreffend ist, dass das KDG im Gegensatz zur DSGVO in § 8 Abs. 2 ausdrücklich die Schriftform der Einwilligung fordert. Allerdings findet sich ebendort die Einschränkung „soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“. Damit sind durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss.

Die Deutsche Bischofskonferenz (DBK) weist die Kritik zurück, der kirchliche Datenschutz sei strenger als das EU-Recht.

Zwar fordert das KDG im Gegensatz zur DSGVO explizit die Schriftform, es seien aber durch eine Öffnungsklausel „durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss“. Die DBK betont, dass das kirchliche Gesetz „mit seiner Forderung einer schriftlichen Einwilligung nicht von der DSGVO abweichen und strenger sein wollte als diese, sondern lediglich konkreter und damit anwenderfreundlicher“.

Darüber hinaus schreibt auch die DSGVO in Art. 7 vor, dass der Verantwortliche nachweisen muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Wie soll dieser Nachweis erfolgen, wenn die Einwilligung nicht schriftlich erfolgt?

Kategorien: Allgemein
Schlagwörter: ,

Wunschzetteltradition auf dem Weihnachtsmarkt in Roth endet

19. November 2018

In der fränkischen Stadt Roth haben jahrelang über 4.000 Kinder ihre Wünsche an einen Christbaum gehängt. Nun soll mit dieser Tradition aus Datenschutzgründen gebrochen werden. Das Problem dabei ist, dass bisher Name und Adresse der Kinder auf dem Wunschzettel stand, damit dieser an den „Wunscherfüller“ weitergeleitet werden konnte. Hat sich beispielsweise ein Kind gewünscht, dass er mal Bürgermeister sein möchte, organisierte die Stadt einen Tag mit dem Bürgermeister von Roth.

Aufgrund der DSGVO müssten dafür nun Einwilligung von den Eltern eingeholt werden. Gemäß Art. 8 Abs. 1 Satz 2 DSGVO heißt es nämlich: „Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“

Dieser bürokratische Aufwand und die Gefahr vor Bußgeldern hielt die Stadt davon ab die Tradition weiterzuführen. Nach Angaben der Stadt wird jedoch nach einem anderen Weg gesucht die Wünsche und die „Wunscherfüller“ zusammen zu bringen. Die Wunschzettelaktion sei ein Herzstück der zahlreichen Aktionen auf dem Weihnachtsmarkt.

Datenschutz im Kindergarten

5. Oktober 2018

Im Alltag eines Kindergartens kommt man ständig mit personenbezogene Daten in Berührung, sei es durch ein Gespräch mit den Eltern über das Verhalten ihres Kindes oder durch das Angeben von Krankheiten der Kinder. Aus diesem Grund ist es äußerst wichtig den Datenschutz in Kindergärten zu wahren,  da Kinder einen gesonderten Schutz benötigen. Im Kindergarten dürfen Daten neben der Möglichkeit der Einholung einer Einwilligungserklärung nur nach einer gesetzlichen Rechtsgrundlage verarbeitet werden. Die Verarbeitung muss zur Erfüllung der Erziehungsaufgabe der Einrichtung erforderlich sein.

In Nordrhein-Westfalen regelt das Gesetz zur frühen Bildung und Förderung von Kindern (Kinderbildungsgesetz – KiBiz) die Aufgaben und Befugnisse der Kindertagesstätten und Schulen. Vor allem sagt der § 12 aus, welche Daten mitzuteilen sind: Name und Vorname des Kindes, Geburtsdatum, Geschlecht, Staatsangehörigkeit, Familiensprache, Namen und Anschriften der Eltern. Aus diesem Grund ist für die Erstellung der Bildungsdokumentation zusätzlich eine Einwilligungserklärung erforderlich, da es hierfür keine gesetzliche Rechtsgrundlage gibt. Bei Kleinkindern wird die Einwilligungserklärung in der Regel von den Eltern abgegeben. Ganz besonders wichtig ist es, bei Foto-und Videoaufnahmen stets die Einwilligung einzuholen.

 

Kirchlicher Datenschutz im Verhältnis zur DSGVO

9. August 2018

Stimmen kritisierten, dass der kirchliche Datenschutz strenger sei als das EU-Recht. Die Deutsche Bischhofskonferenz (DBK) weist die Kritik zurück. Am Dienstag wurde eine Liste durch das DBK mit den häufig gestellten Fragen zum kirchlichen Datenschutz veröffentlicht. In dieser Liste wird unter anderem betont, dass die Regelungen zur Schriftform bei Einwilligungen nicht über das EU-Recht hinausgehen. Im Gegensatz zur europäischen Datenschutzgrundverordnung fordert zwar das Gesetz über den Kirchlichen Datenschutz (KDG) explizit die Schriftform bei Einwilligungen, es seien aber durch eine Öffnungsklausel „durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss“. Durch das Schriftformerfordernis solle das kirchliche Gesetz lediglich konkreter und anwenderfreundlicher sein.

Hinsichtlich Fotografien schließt sich die DBK der Auslegung der Konferenz der Diözesandatenschutzbeauftragten an, die neulich eine Handreichung veröffentlicht. Dort wird dargelegt, dass nicht in jedem Fall eine Einwilligung aller Abgebildeten erforderlich ist. Vielmehr können für die Abwägung, ob ein „besonderes“ oder „kirchliches Interesse“ für die Veröffentlichung besteht, die Regelungen des Kunsturhebergesetz herangezogen werden.

Seit dem 24. Mai 2018 ist das KDG in Kraft. Gemäß Art. 91 DSGVO können Religionsgemeinschaften eigene Datenschutzgesetze anwenden, soweit sie im Einklang mit der DSGVO stehen.

Gesundheitsdaten per App ?

16. Mai 2018

Der Gesundheitsminister Jens Spahn spricht sich für die elektronische Gesundheitskarte aus. „Die Milliarde ist nicht umsonst investiert“, sagte Spahn der „Süddeutschen Zeitung“ (SZ).

Zuvor hatte es Spekulationen über ein mögliches Aus der elektronischen Gesundheitskarte gegeben. Denn Jens Spahn fordert neben der elektronischen Gesundheitskarte auch einfachere Zugriffsmöglichkeiten auf Patientendaten zu schaffen.

„Wenn Versicherte lieber per Handy und Smartphone-App auf ihre Gesundheitsdaten zugriffen, sollte man ihnen das genauso ermöglichen“, so Jens Spahn.

Der Preis für diese Nutzung könnte ein niedrigerer Sicherheitsstandard sein und damit ein Sicherheitsproblem darstellen. Denn für Datenübertragungen per Smartphone könnten die Nutzer die bisher vorgesehene Sicherheitsschwelle durch Einwilligung individuell senken.

Dieses Vorgehen ist datenschutzrechtlich als kritisch zu betrachten. Gerade, wenn  man bedenkt, dass es sich bei Gesundheitsdaten um besonders sensible Daten nach Art. 9 DSGVO handelt, die besonders schützenswert sind.

 

 

Datenschutzkonferenz sieht Einwilligungserfordernis bei Einsatz von Cookies und Tracking

14. Mai 2018

Mit ihrer Stellungnahme vom 26.04.2018 hat die Datenschutzkonferenz von Bund und Ländern, bestehend aus Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der 16 Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht, zur Frage der Anwendbarkeit des Telemediengesetzes (kurz TMG) nach Inkrafttreten der DSGVO am 25.05.2018 Stellung genommen. Dabei ging es vor allem um die Frage, auf welcher Rechtsgrundlage der DSGVO die Verarbeitung personenbezogener Daten durch den Einsatz von Cookies und Trackingtools wie Google Analytics gestützt werden kann.

Bislang gilt nach dem TMG, dass der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile erstellen darf, sofern er diese Daten pseudonymisiert und der Betroffene dem nicht widerspricht. Dieses Opt-Out-Verfahren, auf das der Betroffene bislang im Rahmen der Datenschutzerklärung hinzuweisen ist, gilt ebenso für den Einsatz von Cookies. Einer Einwilligung des Betroffenen bedurfte es bisher daher nicht. Nach Auffassung der Datenschutzkonferenz soll sich dies unter der DSGVO nun ändern. Sie ist der Ansicht, dass die DSGVO den Regelungen des TMG sowie denen der bestehenden E-Privacy-Richtlinie vorgeht und Anbieter von Telemediendiensten personenbezogene Daten nur noch dann verarbeiten dürften, wenn dies für die Durchführung des angefragten Online-Services „unbedingt erforderlich“ sei. Für alle anderen Fälle müsse eine Interessenabwägung im Einzelfall durchgeführt werden.

Die Anwendbarkeit der DSGVO habe zur Folge, dass beim Einsatz von Tracking-Maßnahmen, „die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen“, sowie beim Erstellen von Nutzerprofilen ab dem 25.05.2018 eine informierte Einwilligung des Betroffenen einzuholen sei. Dies auch dann, wenn die erhobenen personenbezogenen Daten pseudonymisiert würden. Gleiches gelte für den Einsatz von weiteren Cookies.

Das Papier steht damit im Gegensatz zu der herrschenden Rechtsansicht in der Praxis. Die Gesellschaft für Datenschutz und Datensicherheit (GDD), die hauptsächlich Betriebsdatenschutzbeauftragte vertritt, vertritt ihrerseits die Ansicht, dass Werbung nach der DSGVO prinzipiell „ein berechtigtes Interesse“ der Unternehmen darstelle und so gerade „grundsätzlich nicht von einer Einwilligung abhängig ist“. Da die EU-Gesetzgeber dies zumindest für den Einsatz von Direktwerbung festgelegt hätten, stellt sich die GDD auf den Standpunkt, dass dies ebenfalls für das pseudonymisierte Tracking gelten müsse, da eine solche Verarbeitungsweise weniger stark in das Persönlichkeitsrecht der Betroffenen eingreife als eine direkte werbliche Ansprache. Gleiches gelte aus Sicht der GDD für Cookies, die ebenfalls zu Werbezwecken eingesetzt würden.

Unitymedia darf Router der Kunden nutzen

5. Februar 2018

Unitymedia darf die Router der Kunden für den Aufbau eines flächendeckenden WLAN-Netzes nutzen, ohne dass es einer ausdrücklichen Zustimmung der Kunden („Opt in“) bedarf. Für die Kunden muss aber jederzeit die Möglichkeit bestehen, durch einen Widerspruch aus diesem System auszusteigen („Opt out“). Das hat das OLG Köln kürzlich entschieden und damit eine Klage der Verbraucherzentrale gegen Unitymedia abgewiesen (Urt.v.02.02.2018, Az. 6 U 85/17).

Der Kabelnetzbetreiber Unitymedia möchte das größte Netz von WLAN-Hotspots in Deutschland aufbauen.  Dabei sollen die Router der Unitymedia-Kunden ein privates Signal für das heimische WLAN abgeben sowie ein öffentliches Signal für den Hotspot, über den andere Unitymedia-Kunden kostenlos ins Internet gehen und Mobilfunkdatenvolumen sparen können sollen. Die Verbraucherzentrale forderte allerdings eine ausdrückliche Zustimmung des Kunden, um das zweite Signal konfigurieren zu können, das ein vom WLAN-Netz des Kunden unabhängiges WLAN-Netz auf dem Router aktiviert.

Das OLG Köln hat das landgerichtliche Urteil vom LG Köln aufgehoben, in dem das LG die Ansicht der Verbraucherzentrale geteilt hatte. Es stelle keine unzumutbare Belästigung der Kunden im Sinne von § 7 Abs.1 Gesetz gegen den unlauteren Wettbewerb (UWG) dar, wenn das zweite Signal aufgeschaltet wird. Man könne zwar grundsätzlich bei dem zusätzlichen Signal eine Belästigung des Kunden annehmen, da ihm eine geschäftliche Handlung aufgedrängt werde. Eine Abwägung zwischen den Interessen des Unternehmens und denen der Kunden ergebe aber, dass diese Belästigung nicht als unzumutbar einzustufen ist.

Eine Mitwirkung des Kunden für das Aufspielen der Software ist nicht erforderlich und führt auch zu keiner Störung des Kunden. Eine Sicherheitsgefährdung könne ausgeschlossen werden, da für den Kunden jederzeit die Möglichkeit bestehe, Widerspruch einzulegen und so aus dem System auszusteigen.

Die Revision zum Bundesgerichthof wurde zugelassen. Es ist abzuwarten, wie der BGH über die Frage entscheidet, inwieweit die Nutzung von im Eigentum des Unternehmens verbleibenden Ressourcen im Haushalt der Kunden zulässig ist.

Adresshandel: Folgen unwirksamer Einwilligung für vertragliche Ansprüche

30. Januar 2018

Am 24.01.2018 erging vor dem OLG Frankfurt am Main ein Urteil, das deutlich macht, wie weitreichend die Folgen einer Missachtung datenschutzrechtlicher Vorgaben auch für die vertraglichen Ansprüche zwischen zwei Vertragsparteien vermeintlich fernab des Datenschutzes sein können.

Im vorliegenden Fall hatte ein Unternehmen eine Vielzahl von Adressdaten für einen Kaufpreis i.H.v. 15.000 Euro erworben. Dieselben Adressen wurden von der Verkäuferin jedoch ebenfalls an eine weitere Firma verkauft. Diese nutzte die Daten wiederum, um Werbe-E-Mails für die Internetseite sexpage.de zu versenden.
Die erstgenannte Käuferin (Klägerin) nahm daraufhin die Verkäuferin der Adressen (Beklagte) auf teilweise Rückzahlung des Kaufpreises in Anspruch, weil die erworbenen Adresse durch die erfolgte Nutzung für die Internetseite sexpage.de 2/3 ihres Wertes verloren hätten.

Anstatt sich mit der juristischen Bewertung der kaufrechtlichen Fragestellungen zu beschäftigen, prüfte das OLG Frankfurt zunächst die Einhaltung datenschutzrechtlicher Vorgaben und kam zu einem Ergebnis, welches Klägerin und Beklagte gleichermaßen überrascht haben dürfte. Das Gericht stellte fest, dass die der Weitergabe der Adressdaten zugrundeliegende(n) Einwilligung(en) der Adressinhaber unwirksam war(en) – mit weitreichenden Folgen.
Da es sich im vorliegenden Fall nicht um zusammengefasste Daten von Angehörigen einer bestimmten Personengruppe handelte und damit das sog. Listenprivileg (§ 28 Abs. 3 S. 2 BDSG) die Zulässigkeit der Verarbeitung nicht rechtfertigen konnte, war die Verarbeitung bzw. Nutzung der personenbezogenen Daten für Zwecke des Adresshandels oder der Werbung nur zulässig, soweit die Betroffenen eingewilligt hatten (§ 28 Abs. 3 S. 1 BDSG).
Eine wirksame Einwilligung nach dem BDSG muss zunächst auf der freien Entscheidung des Betroffenen beruhen. Gleichzeitig muss der Betroffene u.a. auf den vorgesehenen Zweck der Verarbeitung und die etwaigen Folgen der Verweigerung der Einwilligung hingewiesen werden. Soll die Einwilligung zusammen mit anderen Erklärungen abgegeben werden, so ist diese besonders hervorzuheben.
Im vorliegenden Fall genügten die ursprünglich eingeholten Einwilligungen diesen Anforderungen nicht. Insbesondere wurden weder die betroffenen Daten noch die Kategorien etwaiger Datenempfänger oder der Nutzungszweck „Adresshandel“ konkret genug bezeichnet.

Als Ergebnis dieses Verstoßes gegen das BDSG stellte das Gericht die Nichtigkeit des zwischen der Klägerin und der Beklagten geschlossenen Kaufvertrages über die Adressdaten fest. In der Regel begründet im Falle eines nichtigen Kaufvertrages ein bereits gezahlter Kaufpreis eine ungerechtfertigte Bereicherung des Verkäufers, die nach § 812 Abs. 1 S. 1 BGB grundsätzlich durch Rückzahlung des Kaufpreises auszugleichen ist. Da im vorliegenden Fall jedoch Verkäufer und Käufer vorsätzlich gegen die Vorschriften des BDSG verstoßen haben, ist eine Rückabwicklung gemäß § 817 S. 2 BGB ausgeschlossen. Dementsprechend hat das OLG Frankfurt am Main die Klage als unbegründet abgewiesen.

Fazit: Neben der möglichen Verhängung empfindlicher Bußgelder bei der rechtswidrigen Verarbeitung personenbezogener Daten, können Verstöße gegen das BDSG auch weitreichende Folgen für zivilrechtliche Ansprüche im Rahmen der kommerziellen Verwendung dieser Daten haben.
Vor diesem Hintergrund sind Unternehmen gut beraten, die von ihnen genutzten Einwilligungserklärungen eingehend zu überprüfen. Dies gilt umso mehr mit Blick auf das Inkrafttreten der EU-Datenschutzgrundverordnung (EU-DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu).

 

Kopplungsverbot unter DSGVO – Ein „Killer“ vieler Einwilligungen?

12. Dezember 2017

Das sogenannte Kopplungsverbot für datenschutzrechtliche Einwilligungen von Betroffenen ist grundsätzlich keine Neuheit der Datenschutz-Grundverordnung (DSGVO). Auch nach dem bisherigen Recht des Bundesdatenschutzgesetzes war Voraussetzung für eine wirksame Einwilligung, dass diese freiwillig erteilt und der Zugang zu einer Leistung somit nicht an eine solche Einwilligung gebunden wird.

Das Kopplungsverbot stellt sich jedoch nicht als ein allzu scharfes Schwert dar. Immer wieder gibt es im Internet Angebote, die auf den ersten Blick zwar kostenlos sind, sich aber über die Verarbeitung von Daten und die Platzierung von Werbung refinanzieren. Beispielsweise sind Online-Gewinnspiele, für deren Teilnahme der Nutzer in den Erhalt eines Newsletters einzuwilligen hat, keine Seltenheit. Streng genommen läge hier schon eine Kopplung vor. Das angesprochene Verbot präsentiert sich an dieser Stelle offen für Situationen, in denen der Nutzer sich über die „Bezahlung mit seinen Daten“ im Klaren und mit diesen Bedingungen schlicht einverstanden ist.

Womöglich wird durch die ab Mai 2018 anzuwendende DSGVO hier eine spürbare Verschärfung eintreten. Maßgeblich ist Art. 7 Abs. 4 mit dem dazugehörigen Erwägungsgrund 43 zur DSGVO. Insbesondere der Erwägungsgrund fordert der beispielhaften Gewinnspiel-Situation eine getrennte (und eben nicht gekoppelte) Erteilung von Einwilligungen des Nutzers ab. Genauer gesagt müsste sich der User bedingungslos zu einem Gewinnspiel anmelden dürfen und könnte erst im Nachgang gefragt werden, ob er zusätzlich dem Erhalt von Werbung in Form eines Newsletters zustimmen möchte. Dies hätte natürlich eine drastisch niedrigere Quote von Newsletter-Teilnehmern zur Folge.

Stellt sich die Anwendung der DSGVO an dieser Stelle in der gelebten Praxis so streng heraus, wie es der Wortlaut der gesetzlichen Grundlage verspricht, entspricht dies einer deutlichen Verschärfung gegenüber der bisherigen Rechtslage. Viele etablierte Prozesse werden dann zu überdenken sein.

Verbraucherschützer gewinnen im Streit um Facebook-Spiele

24. November 2017

Bereits seit 2013 existiert der Rechtsstreit zwischen den Verbraucherzentralen und Facebook über den fehlenden Datenschutz im Umgang mit den Facebook-Onlinesspielen. Nun hat der Bundesverband der Verbraucherzentralen in einer aktuellen Pressemitteilung zum Urteil der Berufungsinstanz Stellung genommen.

In Facebooks App-Zentrum, in dem Spiele von externen Drittanbietern angeboten werden, gibt der Facebook-Nutzer nur dadurch, dass er den Button „Sofort spielen“ betätigt, eine Erklärung im Sinne der Datenschutzbestimmungen von Facebook ab. Damit stimmt er einer Übermittlung seiner personenbezogener Daten (z.B. E-Mail-Adresse, Statusmeldungen und weitere Informationen über den Nutzer) an  externe App- und Spiele-Anbieter zu. Eine aktive Aufklärung über den Zweck und Umfang der Datenübermittlung durch Facebook findet nicht statt.

Auf die Klage von Verbraucherschützern hatte 2013 das Landgericht Berlin Facebook diese Vorgehensweise verboten. Dieses Urteil wurde im September 2017 durch das Kammergericht Berlin bestätigt.

Datenschutzrechtlich ist das Urteil des Kammergerichts deshalb von großer Bedeutung, weil das Gericht trotz des irischen Unternehmenssitzes von Facebook deutsches Datenschutzrecht für anwendbar erklärt hatte. Facebook Germany GmbH sei – so das Gericht – als eine Niederlassung von Facebook Ireland zu betrachten.

Der Begriff der Niederlassung sei weit zu verstehen. Maßgeblich sei das arbeitsteilige Vorgehen und Zusammenarbeiten von Facebook Ireland und der Facebook Germany GmbH und die – letztlich – maßgebliche Entscheidungsbefugnis der Konzernmutter dieser Gesellschaften in den USA. Insoweit nehme die Facebook Germany GmbH tatsächlich Aufgaben einer Niederlassung (auch) von Facebook Ireland in Deutschland war.

Dass die Daten nicht von der deutschen Niederlassung selbst verarbeitet werden, ändert nach Ansicht des Kammergerichts nichts, denn es genüge, wenn die Datenverarbeitungsvorgänge inhaltlich mit der  Tätigkeit der Niederlassung verbunden seien. Dies sei der Fall, weil Facebook sein Angebot auch an deutsche Nutzer richte und in Hamburg eine für die Förderung des Anzeigengeschäfts zuständige Schwestergesellschaft unterhalte. Dies zeige, dass die Facebook Germany GmbH für die Werbung in Deutschland zuständig sei. Das KG stützte sich in seiner Begründung insbesondere auf die Fälle Weltimmo Az. C-230/14 , Amazon EU Sàrl Az. C‑191/15 und Google Spain SE Az. C‑131/12.

Das Berliner Urteil von 2017 verpflichtet Facebook dazu, seine Nutzer zunächst detailliert über die Weitergabe der Daten aufzuklären und hierüber eine ausdrückliche Einwilligung des Nutzers einzuholen.

Wegen der grundsätzlichen Bedeutung des Falls hat das Kammergericht aber die Revision zum Bundesgerichtshof zugelassen. Ob Facebook hiervon Gebrauch machen wird, bleibt abzuwarten.

1 2 3