11. Januar 2022
Das Europäische Parlament verstößt mit seiner Corona-Testseite gegen das europäische Datenschutzrecht. Diese Entscheidung wurde vom Europäischen Datenschutzbeauftragten Wojciech Wiewiorowski (EDSB) bestätigt.
Der Entscheidung vorausgegangen war eine Beschwerde der Datenschutzorganisation „noyb (None of Your Business)“ um den österreichischen Datenschutz-Aktivisten Max Schrems. Diese wurde im Namen von sechs Mitgliedern des Europäischen Parlaments eingereicht. Die Gründe für die Beschwerde waren unter anderem ein irreführender Cookie-Banner und die illegale Übermittlung von Daten in die USA.
Insbesondere zu dem letzten Beschwerdegrund stellte der EDSB fest, dass das Parlament keine Nachweise erbringe, welche die Gewährleistung eines dem europäischen Recht äquivalenten Datenschutzstandard im Rahmen der Übermittlung an die USA zusichern konnten. Auch stellte der EDSB fest, dass die Differenzen der Cookie-Banner, die sich je nach gewählter Sprache ergeben, gegen das geltende Datenschutzrecht verstoßen.
Die Beschwerdegründe stellen einen Verstoß gegen die „DSGVO für EU-Institutionen“ fest (Verordnung (EU) 2018/1725) die nur für EU-Einrichtungen gilt und der DSGVO nachempfunden ist. Der EDSB erteilte aufgrund dieser Verstöße eine Unterlassungsanordnung mit einer Frist von einem Monat.
6. Januar 2022
Der Online-Bezahldienstleister Klarna sieht sich einiger Kritik bezüglich des Datenschutzes in seiner „Super-App“ ausgesetzt. In den vergangenen Wochen sind bei der Berliner Datenschutz-Aufsichtsbehörde einige Beschwerden von Nutzerinnen und Nutzern eingegangen.
Klarnas noch recht neue App vereint die bereits bekannte Zahlmöglichkeit direkt mit dem Online-Shopping. Viele Händler wurden bereits in die App integriert, sodass eine separate Anmeldung bei den einzelnen Online-Shops nicht mehr notwendig ist. Sogar der Versand und das Paket-Tracking sind in der App möglich. Dadurch erhält Klarna neben den Bezahldaten auch alle anderen Informationen zu Bestellungen und Kaufverhalten der Nutzer, anhand derer personalisierte Angebote und Werbung generiert und an die Nutzerinnen und Nutzer ausgespielt werden können.
Rund die Hälfte der Beschwerden bezieht sich auf die Rechte der Nutzerinnen und Nutzer auf Auskunft oder Löschung ihrer Daten. Ein weiteres großes Problem ist die Datenschutzerklärung, die etwa 14.000 Wörter lang ist. Art. 12 DSGVO verlangt jedoch, dass die Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache“ zur Verfügung gestellt werden. Auch inhaltlich könne die Datenschutzerklärung nicht überzeugen, sondern sei vielmehr eine „grandiose Nebelmaschine“.
4. Januar 2022
Am 1. Oktober 2021 ist der neue § 7a UWG (Gesetz gegen den unlauteren Wettbewerb) zur erforderlichen Einwilligung in Telefonwerbung gegenüber Verbrauchern in Kraft getreten. Der neue § 7a UWG dient mit seinen Dokumentations- und Aufbewahrungspflichten der effizienteren Gestaltung der Sanktionierung von unerlaubter Telefonwerbung. Die praktischen Auswirkungen des neuen § 7a UWG dürften in der Praxis für die meisten werbetreibenden Unternehmen eher gering sein. Schon vor den Neuerungen bestand aufgrund der DSGVO und des UWG die (faktische) Pflicht, eine Einwilligung nachzuweisen. So musste bereits nach Art. 7 Abs. 1 DSGVO der Unternehmer die Einwilligung des Verbrauchers in die Telefonwerbung aufzeigen.
Einwilligung dokumentieren
Der Unternehmer hat die Einwilligung des Verbrauchers zunächst einzuholen, eine Formvorschrift gibt es hierfür nicht, jedoch muss der Unternehmer diese „in angemessener Form“ dokumentieren. Aus der Dokumentation muss zwingend hervorgehen, dass die personenbezogenen Daten und die entsprechende Einwilligung zur werblichen Verwendung über den behaupteten Weg eingeholt wurden und die Person, deren personenbezogene Daten in der Einwilligung genannt werden, diese auch abgegeben hat. Als Beispiel für eine zulässige Form nennt die Gesetzesbegründung die Dokumentation der mündlichen Einwilligung im Wege der Tonaufzeichnung. Zur Notwendigkeit der Einwilligung des Betroffenen in die Tonaufzeichnung selbst sagt die Gesetzesbegründung an dieser Stelle jedoch nichts. Ohne Einwilligung ist die Aufzeichnung von Tonaufnahmen grundsätzlich strafbar und ein Datenschutzverstoß. Folglich müsste der Betroffene praktisch gesehen zweifach einwilligen: zum einen in die Aufzeichnung seiner Einwilligung und des Weiteren darin, dass er mit Werbeanrufen einverstanden ist.
Die Aufbewahrungspflicht der Einwilligung
Sodann ist der Unternehmer zur Aufbewahrung der Einwilligung für fünf Jahre ab deren Erteilung sowie nach jeder Verwendung der Einwilligung verpflichtet. Diese Verpflichtung, die Einwilligungserklärungen 5 Jahre aufzubewahren, gab es bislang so nicht. Der Unternehmer muss auf Verlangen der Bundesnetzagentur als zuständige Behörde die Einwilligung unverzüglich vorlegen. Die Löschfrist ist sehr gewissenhaft einzuhalten und gleichzeitig ist Art. 5 DSGVO hinsichtlich der Datenminimierung und Datensparsamkeit zu berücksichtigen.
Ein Verstoß gegen die Dokumentations- oder Aufbewahrungspflicht kann mit einer Geldbuße bis zu 50.000 Euro geahndet werden. Ein Werbeanruf gänzlich ohne Einwilligung des Verbrauchers kann hingegen bis zu 300.000 Euro kosten.
3. Januar 2022
Der größte Medienkonzern Portugals, Impresa, wurde über die Neujahrstage Opfer eines Ransomware-Angriffs. Betroffen sind die Kanäle des landesweit größten Fernsehsenders SIC, sowie Portugals Wochenzeitung Expresso. Konkret handel es sich dabei um die Webseiten und Streaming-Services, das Fernsehprogramm von SIC funktioniert ungestört. Auch einige Accounts auf sozialen Medien sind von dem Angriff nicht betroffen, sodass Impresa momentan über den Facebook-Account von Expresso kommuniziert. Der Twitter-Account von Expresso scheint hingegen ebenfalls betroffen zu sein.
Laut The Record steckt hinter dem Angriff eine Gruppe namens „Lapsus$“. Zwischenzeitlich seien von der Gruppe auch Nachrichten und Lösegeldforderungen auf den Seiten von Impresa veröffentlicht worden. Die Gruppe selbst äußerte sich, sie habe kurzzeitig Zugriff auf den AWS-Account von Impresa gehabt. Bei dem Angriff wurde außerdem von der E-Mail-Adresse der Zeitschrift Expresso aus, eine Nachricht an Abonnentinnen und Abonnenten verschickt, in der es u.a. hieß, der Präsident Portugals sei seinem Amt enthoben worden. Diese Nachricht wurde in sozialen Medien bereits als Falschmeldung gekennzeichnet.
Bei diesem Vorfall handelt es sich um einen der größten IT-Sicherheitsvorfälle in der Geschichte Portugals. Um welche Ransomware es sich handelt, ist bisher nicht bekannt.
Die „Lapsus$“-Gruppe hatte erst Mitte Dezember das Gesundheitsministerium Brasiliens angegriffen. Bei diesem Angriff erbeuteten sie nach eigenen Aussagen 50 Terrabyte Daten. Durch den Ausfall der Seiten des Gesundheitsministeriums war für Brasilianer u.a. zeitweise kein Zugriff mehr auf ihre digitalen Impfzertifikate möglich.
30. Dezember 2021
Seit Anbeginn der Coronapandemie wurde vielfach darüber diskutiert, ob und wie vonseiten der Arbeitgeber Gesundheitsdaten verarbeitet werden dürfen. Seit der nun bestehenden Präventionsmöglichkeit durch einen Impfschutz, konkretisiert sich die Diskussion hin zur Abfrage des Impfstatus durch den Arbeitgeber im Betrieb.
1. Verarbeitung von Gesundheitsdaten im Betrieb
Die Verarbeitung von Gesundheitsdaten im Beschäftigtenverhältnis kann mit Blick auf die arbeitgeberseitige Fürsorgepflicht gemäß §§ 611 a, 241 II BGB und nach § 167 II SGB IX geboten und erforderlich sein. Ferner ist für Beschäftigte eine Verpflichtung vorgesehen, welche besagt, dass diese bei „begründeter Veranlassung“ zu einer ärztlichen Untersuchung der Arbeitsfähigkeit verpflichtet werden können.
2. Besondere Kategorien personenbezogener Daten nach der DSGVO
Art. 9 Abs. 1 DSGVO stuft Gesundheitsdaten als besondere Kategorie personenbezogener Daten und damit als besonders schützenswert ein. Art. 9 Abs. 1 DSGVO normiert für diese sensiblen Daten ein restriktives Verarbeitungsverbot, wonach diese nur in den abschließend geregelten Ausnahmefällen des Art. 9 Abs. 2 DSGVO verarbeitet werden dürfen. Bei der Verarbeitung von Gesundheitsdaten im Betrieb ist stets eine besondere Vorsicht geboten, da diese oftmals das Risiko mit sich bringt, dass einmal zugänglich gemachte Informationen zur Begründung einer negativen Gesundheitsprognose im Rahmen einer krankheitsbedingten Kündigung zweckentfremdend genutzt werden können.
3. Präventionsmaßnahmen während der Pandemie
Den Arbeitgebern standen mehrere optionale Präventionsmaßnahmen zur Verfügung. So hatten zu Beginn der Pandemie Arbeitgeber gegenüber den Beschäftigten ein Fragerecht bei Rückkehr aus dem Urlaub hinsichtlich des Aufenthaltorts und, ob es sich bei diesem um ein Risikogebiet handelte. Außerdem stand dem Arbeitgeber auch zu, von dem Beschäftigten die Information zu erlangen, ob dieser in einer ebenfalls näher durch das RKI beschriebenen Weise, in direktem und ansteckungsrelevanten Kontakt mit einer infizierten Person stand. Ferner wurde auch über die Anwendung von Wärmebildkameras diskutiert, mit Hilfe derer man die Körpertemperatur eines Beschäftigten ermitteln wollte. Jedoch hielt die DSK den Einsatz vor dem Hintergrund des Erforderlichkeitsvorbehalts überwiegend für ungeeignet, da „eine erhöhte Körpertemperatur nicht zwangsläufig als symptomatisch für eine SARS-CoV-2-Infektion angesehen werden kann“.
4. Verarbeitung des Impfstatus im Betrieb
Grundrechte wurden in der Krisenzeit eingeschränkt und auch vorbehaltslos gewährleistete Grundrechte fanden im kollidierenden Verfassungsrecht eine Schranke. Diese Beschränkungen finden ihre Grundlage aber nicht in betrieblichen Regelungen oder Weisungen der Arbeitgeberseite, sondern bedürfen einer normklaren gesetzlichen Rechtsgrundlage, etwa durch den Bundesgesetzgeber im IfSG.
a. Rechtsgrundlage für Datenverarbeitung
Im Zuge der Entwicklung von Impfstoffen wurde die Debatte darüber, inwiefern der Impfstatus im Beschäftigtenkontext erhoben und verarbeitet, insbesondere gespeichert werden darf, immer lauter. Letztendlich hat sich ein gewisser Konsens dahingehend gebildet, dass eine Verarbeitung des Impfstatus an sich ausgeschlossen ist und nur in besonders vulnerablen Branchen, namentlich bei Heil-/Pflegeberufen erforderlich ist. Hintergrund ist auch, dass zumindest nach dem Leitbild des Gesetzgebers in §§ 23, 23 a des Infektionsschutzgesetzes eine Befugnisnorm für dort näher bezeichnete Arbeitgeber der Heil- und Pflegebranche normiert ist, den Impfstatus der Beschäftigten zu verarbeiten. Darüber hinaus bestehen in den deutschen Ländern Sonderregelungen, in Baden-Württemberg etwa die „CoronaVO Krankenhäuser und Pflegeeinrichtungen“, welche ebenfalls nähere Regelungen zur Abfrage des Immunisierungsstatus enthalten. Eine generelle Verarbeitungsgrundlage für die Abfrage des Impfstatus durch den Arbeitgeber ist bisher gesetzlich jedenfalls nicht normiert.
b. Lohnfortzahlung nach § 56 I IfSG
Auf Grund des jüngsten Beschlusses der Gesundheitsministerkonferenz vom 22.9.2021 wird zunehmend diskutiert, ob zumindest in den Fällen, in denen Beschäftigte gegenüber ihrem Arbeitgeber einen Anspruch auf Geldentschädigung nach § 56 I IfSG geltend machen, eine Abfrage des Impfstatus zulässig erfolgen kann. Kommt es zu einer so genannten Absonderungsverpflichtung eines Beschäftigten und zahlt der Arbeitgeber den Lohn des Beschäftigten weiter, so kann er sich den für die Dauer dieser Absonderung ansonsten entstandenen Verdienstausfall bei der zuständigen Behörde erstatten lassen. Der Arbeitgeber geht insoweit in Vorleistung und übernimmt die Auszahlung zunächst „stellvertretend als Zahlstelle für die zuständige Behörde“. Zu einer derartigen Erstattung kommt es jedoch nicht in Fällen, in denen die Quarantäne durch „Inanspruchnahme einer Schutzimpfung“ hätte vermieden werden können. Hierzu wird nun vertreten, dass in diesen Konstellationen die Abfrage und Nutzung des Impfstatus in Einklang mit 26 III BDSG, Art. 9 II Buchst. b DS-GVO erfolgt.
c. Keine Auskunftspflicht des Beschäftigten
Der Arbeitgeber darf den Impfstatus des Beschäftigten zwar durchaus erfragen, wenn er „stellvertretend“ die Entschädigung nach § 56 I IfSG für die zuständige Behörde ausbezahlt. Allerdings trifft den Beschäftigten insoweit keine Verpflichtung, dem Arbeitgeber den Impfstatus oder andere Gesundheitsdaten, etwa chronische Vorerkrankungen oder Umstände wie eine Schwangerschaft, zu offenbaren. Eine solche Verpflichtung ergibt sich weder aus dem IfSG noch aus dem BDSG, als grundrechtsrelevante und damit wesentliche Pflicht des Beschäftigten hätte insoweit eine normenklare, eindeutige Gesetzesgrundlage geschaffen werden müssen. Auch lässt sich eine vertragliche Pflicht des Beschäftigten, den Arbeitgeber im Rahmen seiner Bemühungen um eine Erstattung der verauslagten Lohnkosten zu unterstützen schon deswegen nicht begründen, weil mit Blick auf die Sensibilität der hierzu benötigten Daten eine solche Verpflichtung ihm nicht zumutbar wäre. Somit ist vielmehr von einer bloßen Obliegenheit des Beschäftigten auszugehen, wonach dieser ohne Auskunftserteilung zwar keine Rechtspflicht verletzt, aber möglicherweise tatsächliche Nachteile (wie eine Beendigung der Lohnweiterzahlung) zu erwarten hätte.
Fazit
Hinzuweisen ist hierbei noch auf den § 28b Abs. 1 IfSG. Nach dem § 28b Abs.1 IfSG dürfen Arbeitgeber und Beschäftigte in Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten, wenn sie geimpfte, genesene oder getestete Personen sind und einen Impf-, Genesenen- oder Testnachweis mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben.
Die Debatte um die Geltendmachung der Entschädigungsansprüche nach § 56 IfSG zeigt offensichtlich, warum die Verarbeitung von sensiblen Gesundheitsdaten außerhalb der betrieblichen Sphäre liegen sollte. Auch in der Praxis der Aufsichtsbehörde wird deutlich: Viele Beschäftigte und Betriebe sind verunsichert, die Rechtslage ist unklar und umstritten. Von Seiten der Aufsichtsbehörden werden ebenfalls unterschiedliche Ansichten vertreten, eine einheitlich Linie gemeinsam mit dem Bundesgesundheitsministerium, wäre wünschenswert. Es liegt nun also am Gesetzgeber, in diesem sensiblen Feld für Klarheit und Rechtsfrieden zu sorgen.
Die 2016 mit prominenter Unterstützung eingereichte Verfassungsbeschwerde gegen die Vorratsdatenspeicherung wird mit einem Ende vergangener Woche gestellten Antrag angepasst auf die Gesetzesreform des TKG von Anfang Dezember. Nach der Gesetzesreform befinden sich die angegriffenen Regelungen nun in den Paragrafen 176 und 177 TKG. Von den Beschwerdeführern wird geltend gemacht, dass die ursprünglich angegriffenen Regelungen im Rahmen der Novellierung des TKG nicht in dem Sinne aufgehoben wurden, als dass sie ersatzlos entfallen wären – im Gegenteil seien die Regelungen lediglich „verschoben“ worden. In der Konsequenz handele es sich bei der Novellierung um eine bewusste Perpetuierung der ursprünglichen Rechtslage und damit um nach Auffasung der Beschwerdeführer verfassungswidrige Regelungen.
Zu einigen Punkten der Ausgangsbeschwerdeschrift nehmen die Beschwerdeführer noch einmal ergänzend Stellung. Im Fokus liegt dabei insbesondere die umstrittene Vorratsdatenspeicherung von IP-Adressen: Der Europäische Gerichtshof (EuGH) hält Vorgaben zum flächendeckenden Aufbewahren von Telekommunikationsdaten auf Vorrat unverhältnismäßig und sieht darin einen Verstoß gegen die europäischen Grundrechte. Für das flächendeckende Aufbewahren von IP-Adressen allerdings nimmt der EuGH eine Ausnahme vor. Da die IP-Adresse eines Nutzers für sich genommen nicht auf den Kommunikationspartner schließen lasse, bringe die Vorratsdatenspeicherung von IP-Adressen im Vergleich zu der Erfassung von Verbindungs- und Standortdaten weniger schwerwiegende Grundrechtseingriffe mit sich und sei deshalb „milderes“ Mittel im Vergleich zu einer Erfassung von Verbindungs- und Standortdaten.
Dieser Annahme tritt die erweiterte Argumentation der Beschwerdeführer vehement entgegen. Warum die Identifizierbarkeit eines Teilnehmers anhand einer IP-Adresse unter geringeren Voraussetzungen möglich sein soll als bei anderen Kennungen sei schlechthin nicht zu rechtfertigen. Dies verdeutliche bereits ein simples Beispiel. Ruft jemand mit unterdrückter Rufnummer einen bekannten Zielanschluss an, so darf dies nicht auf Vorrat gespeichert werden. Erfolge der Anruf dagegen über einen anonymen Internetdienst, wäre der Anrufer dagegen über seine IP-Adresse identifizierbar. Zudem sei nicht die IP-Adresse selbst entscheidend sondern ihre Nutzbarkeit. Mit ihrer Hilfe lasse sich nicht nur auf einen Kommunikationspartner schließen sondern die gesamte Internetnutzung rekonstruieren und so ein detailliertes Persönlichkeitsprofil erstellen – anders als bei anderen Verbindungdaten. Nach dieser Argumentation wäre die Speicherung von IP-Adressen mitnichten weniger eingriffsintensiv, sondern geradezu das Ende der Anonymität im Internet.
Die meisten EU-Mitgliedstaaten wollen laut einem diplomatischen Bericht das EuGH-Urteil ausschöpfen. Der neue Bundesjustizminister Marco Buschmann (FDP) hingegen will die Vorratsdatenspeicherung „endgültig aus dem Gesetz streichen“. Die FDP schlägt stattdessen das sogenannte Quick Freeze Verfahren vor. In solchen Fällen werden Vorratsdaten erst nach einem konkreten Anfangsverdacht und einer gerichtlichen Anordnung „eingefroren“ und Ermittlungsbehörden zur Auswertung übergeben. Ein solches Vorgehen wäre, so Buschmann, „ein Gewinn für Freiheit und Sicherheit zugleich.“
24. Dezember 2021
Liebe Leserinnen und Leser,
auch in diesem Jahr möchten wir die Gelegenheit nutzen und uns für Ihr Interesse an unserem Blog im Jahr 2021 bedanken.
Woche für Woche haben wir Ihnen die Welt des Datenschutzes näher gebracht und Sie über gerichtliche und behördliche Entscheidungen sowohl zum deutschen als auch zum europäischen Datenschutzrecht sowie weiterer Neuigkeiten aus den Bereichen Datenschutz und Datensicherheit auf dem Laufenden gehalten.
Wie schon in den vergangenen Jahren haben wir auch in diesem Jahr neben dem datenschutzticker unseren internationalen Blog den privacy-ticker.com, mit Schwerpunkt auf internationalen Datenschutzthemen und unseren Twitter-Account, der die Infos noch schneller zu Ihnen bringt, mit Inhalten gefüllt.
Wir freuen uns darauf Sie auch im Jahr 2022 wieder über viele interessante Themen und Beiträge aus dem Bereich des Datenschutzes und der Datensicherheit zu informieren und blicken gespannt und voller Vorfreude auf das neue Jahr.
Wir wünschen Ihnen eine schöne Weihnachtszeit und nur das Beste für das kommende Jahr.
Bleiben Sie gesund!
Ihr Team vom datenschutzticker.de
23. Dezember 2021
Neue Entwicklung in Sachen des kontroversen Dienstes Clearview: Wie berichtet, hatte die Gesichtserkennungsfirma Clearview bereits erhebliche Kritik für ihre Unvereinbarkeit mit datenschutzrechtlichen Grundsätzen insbesondere der DSGVO geerntet. Bereits im letzten Jahr wurde beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Casper eine Beschwerde gegen Clearview eingereicht; das Erstellen von biometrischen Profilen von EU-Bürgern wure vorläufig als rechtswidrig eingestuft und Clearview AI angewiesen, das Profil des Beschwerdeführers zu löschen. Auch in Kanada, Australien und dem Vereinigten Königreich (das die europäische DSGVO vorerst im nationalen Recht beibehält) wurde gegen Clearview vorgegangen.
Nun wird mit der französischen Datenschutzbehörde CNIL die erste europäische Behörde tätig und verlangt von dem Unternehmen, „die Sammlung und Nutzung von Daten von Personen einzustellen, die sich auf französischem Hoheitsgebiet befinden“.
Das umstrittene US-amerikanische Unternehmen Clearview trägt Fotos aus aus einer Vielzahl von sozialen Netzwerken, Webseiten und Videos zusammen, um auf diese Weise eine Datenbank mit Gesichtern mit weltweit über zehn Milliarden Bilder aufzubauen. Die Datenbank ist vor allem für Strafverfolger interessant, da in der App eine Person mithilfe eines Fotos gesucht werden kann. Währenddessen ahnt keiner der Betroffenen davon, dass das Bild vom letzten Urlaub potenziell „für polizeiliche Zwecke genutzt werden kann“.
In der Mitteilung über die Feststellung des Verstoßes fordert die CNIL Clearview auf, die unrechtmäßige Verarbeitung einzustellen und die Nutzerdaten innerhalb von zwei Monaten zu löschen. Die französische CNIL stellte fest, dass Clearview zwei Verstöße gegen die Datenschutz-Grundverordnung begangen hat: Die französische Datenschutzbehörde sieht für die kontroverse Praxis des Fotoabgleichs keine Rechtsgrundlage, insbesondere werde keine Einwilligung der Betroffenen eingeholt. Darin liege ein Verstoß gegen Artikel 6 (Rechtmäßigkeit der Verarbeitung). Zudem verstoße Clearview gegen eine Reihe von Datenzugangsrechten gemäß Artikel 12, 15 und 17.
Das US-Unternehmen hat keinen Sitz in der EU, was bedeutet, dass seine Geschäfte in der gesamten EU von allen Datenschutzbehörden der EU überwacht werden können. Die Anordnung der CNIL gilt zunächst nur für Daten, die das Unternehmen über Personen aus dem französischen Hoheitsgebiet besitzt. Weitere derartige Anordnungen anderer EU-Behörden werden jedoch folgen und sind nur eine Frage der Zeit.
Es ist allerdings auch möglich, selbst tätig zu werden: Clearview hat hierzu auf seiner Website zwei Formulare für EU-Bürger eingerichtet. Mit der „Data Access Form“ kann man feststellen, ob Clearview Daten über die eigene Person gespeichert hat. Mit dem „Data Processing Objection Form“ kann man das Unternehmen daran hindern, Fotos der eigenen Person zu verarbeiten.
Am 1. Dezember 2021 ist das Telemedien- und Telekommunikationsgesetz (TTDSG), und somit auch das neue „Cookie-Gesetz“, in Kraft getreten.
Datenverarbeitung innerhalb des TTDSG
Der Begriff der Datenverarbeitung im Sinne der DSGVO geht weit und umfasst die Speicherung, das Ordnen, das Erfassen, die Anpassung oder Veränderung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.
Datenverarbeitung findet ferner auch statt, indem Unternehmen per Software oder Betriebssystem Daten auf elektronischen Geräten erheben. Erfolgt der Zugriff des Anbieters einer Website oder App auf das Gerät von dem aus die Seite aufgerufen wird nicht, können die Geräte nicht mit den Servern der Anbieter kommunizieren. Damit eine Datenübertragung stattfinden kann, muss eine Kommunikation zwischen den Geräten jedoch vorliegen. Diese zuletzt genannte Art der Datenverarbeitung regelt nicht die DSGVO, sondern eine EU-Richtlinie von 2002, die nun in Deutschland durch das TTDSG umgesetzt wurde. Mit dem TTDSG wurde das unübersichtliche Geflecht von Regelungen, die im Telemedien- und Telekommunikationsgesetz verstreut waren, in einem einheitlichen Gesetzestext zusammengefasst. Das TTDSG ist nicht wie die DSGVO auf personenbezogene Daten begrenzt, sondern erfasst sämtliche im Wege der Nutzung von Telemediendiensten erhobenen Informationen.
Wer muss den Verpflichtungen aus dem TTDSG nachkommen?
Alle Anbieter von Telemedien und Telekommunikationsdiensten sind an das Gesetz gebunden. Unter Anbieter von Telemedien fallen z.B. alle Unternehmen, die eine Webseite betreiben oder bei dem Betrieb einer Webseite mitwirken. Telekommunikationsdienste sind solche, die ganz oder überwiegend Signale über Telekommunikationsnetze übertragen, einschließlich Übertragungsdienste in Rundfunknetzen. Klassischerweise fällt die Telefonie, oder die SMS darunter.
Was bedeutet das TTDSG für die Nutzung von Cookies?
Nutzer sind mit den Anforderungen des Online-Datenschutzes jedes Mal konfrontiert, wenn ein Cookie-Banner auf dem Bildschirm erscheint. Anbieter von Websites und Apps müssen eine Einwilligung vom Nutzer einholen, wenn sie per Cookies Daten zum Zuspielen von Werbung erheben. Dabei sollte so detailliert wie möglich aufgelistet werden, um welche Daten es sich handelt, wozu diese genutzt werden oder auch an wen diese Daten weitergegeben werden. Ob für eine Datenanalyse zur Betrugsprävention, zur bedarfsgerechten Gestaltung oder statistischen Analyse des Seitenaufrufs auch eine Einwilligung erforderlich ist, sagt das Gesetz nichts und muss deshalb noch ausgelegt werden. Für das Setzen von Cookies oder anderen vergleichbaren Technologien (z.B. Pixel oder Browser Fingerprinting) ist die Grundlage der § 25 TTDSG, welcher den Schutz der Privatsphäre bei Endeinrichtungen regelt. Demnach dürfen Informationen auf Endgeräten nur gespeichert oder auf bereits vorhandene Informationen zugegriffen werden, wenn eine Einwilligung, die den Grundsätzen der DSGVO gerecht wird, vorliegt oder eine gesetzlich geregelte Ausnahme von der Einwilligungspflicht gegeben ist. Diese Regelung betrifft typischerweise Cookies, gilt jedoch in gleichem Maße für alle endgerätebasierten Speicherungen von Daten.
Lösung durch Einwilligungsmanagement
Die Anforderungen an die Einwilligung werden im Gesetz beschrieben. Demnach muss die Einwilligung des Endnutzenden auf der Grundlage von klaren und umfassenden Informationen ergehen. Die Information des Endnutzers und die Einwilligung haben gemäß der DSGVO zu erfolgen. Die Einwilligung muss freiwillig, für einen bestimmten Fall, in informierter Weise, durch eine unmissverständliche Willensbekundung und als eindeutige bestätigende Handlung, mit Hinweis auf eine Widerrufsmöglichkeit ausgestaltet sein. Wichtig ist hier, die eindeutige bestätigende Handlung, also die proaktive Zustimmung als „Opt-In„. Unternehmen sollten auf ihrer Webseite daher genau beachten, dass Internetnutzer konkret u.a. die Zwecke der Verarbeitung der personenbezogenen Daten kennt und in diese aktiv durch eine eigene Handlung, wie z. B. durch das Klicken auf einen „Zustimmen“-Button, einwilligen kann. Voreingestellt gesetzte Häkchen sind unzulässig.
Ausnahmen der Einwilligung
Von der Einwilligungspflicht gibt es Ausnahmen, die sich in § 25 Abs. 2 TTDSG finden. Eine Einwilligung ist dann nicht notwendig, wenn die Cookies ausschließlich zur Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz dienen oder wenn Cookies unbedingt erforderlich sind.
Unklarheiten, wann Cookies unbedingt erforderlich sind, bleiben jedoch auch weiterhin bestehen und werden durch das TTDSG nicht gelöst. Notwendige Cookies sind für den Betrieb der Webseite unbedingt (technisch) erforderlich und ermöglichen die Grundfunktionen der Webseite. Andere Cookies sollten in den meisten Fällen als optional betrachtet werden. Beispiele für solche unbedingt erforderlichen Cookies sind Login-, Authentifizierungs- oder Warenkorb-Cookies.
15. Dezember 2021
Die Berliner Senatsjustizverwaltung muss Daten der im Land Berlin beschäftigten Richterinnen und Richter nur zugänglich machen, sofern eine Einwilligungserklärung der Betroffenen vorliegt. Dies geht aus einer Entscheidung des VG Berlin hervor.
Der Entscheidung vorausgegangen war eine Klage der advolytics UG, welche das digitale Bewertungsportal „richterscore“ betreibt. Dort können sich Anwälte über Richter austauschen, um sich auf Gerichtsprozesse vorzubereiten. Unter Berufung auf das Berliner Informationsfreiheitsgesetz verlangte advolytics die Übermittlung von Informationen über die im Land Berlin beschäftigten Richterinnen und Richter. Das Auskunftsersuchen beinhaltete neben Namen, Titel und Amtsbezeichnung auch das Geburtsdatum sowie der Beschäftigungsumfang. Insbesondere berief sich die Klägerin darauf, dass dem C.F. Müller Verlag, bei dem der Deutschen Richterbund alle zwei Jahre das „Handbuch der Justiz“ herausgibt, die begehrten Daten mitgeteilt werden.
Nach Ansicht des Verwaltungsgerichtes stehe dem Auskunftsanspruch der advolytics jedoch der Schutz personenbezogener Daten entgegen. Die Klägerin verfolge überwiegend Privatinteressen, weil sie mit den begehrten Daten ihr Bewertungsportal ausbauen und damit ihr Geschäftsmodell verwirklichen wolle. Ihr Interesse, die Gerichtsbarkeiten transparenter zu machen, sei nicht vom Zweck des Informationsfreiheitsgesetzes erfasst. Mit den begehrten Daten könne weder staatliches Verwaltungshandeln kontrolliert, noch die demokratische Meinungs- und Willensbildung gefördert werden. Darüber hinaus stünden auch bundesrechtliche Geheimhaltungspflichten der beantragten Datenübermittlung entgegen, da es sich um Daten aus Personalakten handele. Auch im Bezug auf die unterschiedliche Behandlung der Klägerin gegenüber dem Deutschen Richterbund vertrat das Gericht eine gegensätzliche Auffassung, da entsprechende zweckbezogene Einwilligungserklärungen der Richterschaft vorlägen.
Gegen das Urteil kann vor dem Oberverwaltungsgericht Berlin-Brandenburg Berufung eingelegt werden.
