Kategorie: Allgemein

Wie gegen illegale Müllablagerung vorgehen?

17. August 2023

Nach der Ansicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) nicht mittels Videoüberwachung.  Zu diesem Ergebnis kam der LfDI RLP im Rahmen einer Pressemitteilung, die der Datenschützer vergangene Woche auf der offiziellen Homepage der Behörde veröffentlichte.

Klarstellung von Zeitungsberichten

Anlass zu dieser Pressemitteilung gab ein Zeitungsbericht der Allgemeinen Zeitung Mainz. Unter der Überschrift „Waldalgesheim überwacht Bürger beim Müllentsorgen“ (nicht mehr aufrufbar) berichtete die Zeitung darüber, dass die Gemeinde der Stadt Waldalgesheim Kameras an zwei Glascontainern anbrachte. Ziel der Gemeinde sei es gewesen die illegale Müllentsorgung an den Glascontainern zu unterbinden und Personen, die ihren Müll dort entsorgt hätte, identifizieren zu können. Außerdem habe die Gemeinde herausfinden wollen, durch welche Personen der Bereich um die Container beschädigt und verunreinigt worden wäre.

Aus Sicht des LfDI RLP könne der Eindruck entstehen, dass die Landesdatenschutzbehörde den Einsatz der Videokameras genehmigt hätte. Dies sei gerade nicht der Fall. Die Datenschutzbehörde eröffnete gegen die Gemeinde nun ein förmliches Verfahren, um mögliche Datenschutzverstöße zu untersuchen. Der Datenschutzbeauftragte des Landes Rheinland-Pfalz stellte ferner klar, dass die Videoüberwachung von Glascontainern und anderen Müllablagerungsstätten durch Kommunen grundsätzlich nicht zulässig sei.

Wichtige Orientierungshilfen

Außerdem äußerte sich der Datenschutzbeauftragte auch klarstellend zur, im Zeitungsartikel zitierten „Orientierungshilfe für die Videoüberwachung in Kommunen“. Demnach sei die Datenschutzkonformität der Videoüberwachung immer eine Einzelfallentscheidung.

Für Nicht-Öffentliche Stellen hatte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) 2020 eine Orientierungshilfe zur Videoüberwachung veröffentlicht. In dieser behandelte die DSK alle für eine Rechtmäßigkeit der Videoüberwachung einzuhaltenden Voraussetzungen. Dabei ist zu beachten, dass aus Sicht der DSK die Videoüberwachung regelmäßig ausschließlich auf der Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen könne. Wolle ein Verantwortlicher beispielsweise ein Gebäude überwachen, müsse er Tatsachen nachweisen können, aus denen sich eine konkrete Gefahrenlage ergeben würden. Dann könne die Kameraüberwachung ein adäquates Mittel zur Prävention und Repression vor dem Eintritt eines Schadens am Gebäude sein. Außerdem müsse jeder Verantwortliche im Rahmen der Kameraüberwachung die nach Art. 12 ff. DSGVO  bestehenden Informationspflichten beachten. Hierfür könne man ein Hinweisschild verwenden, welches aber nicht alle nach Art. 13 DSGVO erforderlichen Informationen beinhalten müsse. Stattdessen könnten auf einem Informationsblatt die vollständigen Informationen bereitgestellt werden.

Der Blick in die Orientierungshilfe kann sich lohnen, um die Kameraüberwachung, wenn sie notwendig ist, rechtssicher zu gestalten und um alle Anforderungen an die Datenschutzkonformität einzuhalten.

DSK zu Diensten zur Einwilligungsverwaltung

31. Juli 2023

Die Datenschutzkonferenz (DSK) veröffentlichte Anfang dieses Monats eine Stellungnahme zum Referentenentwurf zur Verordnung über Dienste zur Einwilligungsverwaltung des Bundesministeriums für Digitales und Verkehr (BMDV). Der Entwurf behandelt die konkrete Umsetzung des § 26 Abs. 2 TTDSG. Dieser sieht vor, dass der Bund eine Rechtsverordnung erlassen darf, in der die Funktionen von Diensten zur Einwilligungsverwaltung und ihre Anerkennung durch eine zuständige unabhängige Stelle geregelt wird.

Künftig keine Cookie-Banner mehr?

Für Telekommunikationsanbieter sieht § 25 Abs. 1 TTDSG vor, eine Einwilligung von den Nutzern einzuholen, sie sie ihre Informationen im Endgerät speichern oder auslesen. Ausnahme dazu bildet § 25 Abs. 2 TTDSG, nach dem bei erforderlichen Technologien keine Einwilligung für das Speichern oder Auslesen notwendig ist. Dies ist Grund, weshalb beim Besuch einer Webseite der Nutzer jedes Mal seine Einwilligung für die Verwendung von Cookies abgeben muss (zu den Regelungen des TTDSG berichteten wir – hier -). Um die Anwendung von Cookies und insbesondere die Abgabe der Einwilligung zu vereinfachen, sieht das TTDSG die Einrichtung sog. Dienste zur Einwilligungsverwaltung vor. Mit Hilfe der Dienste können Nutzer ihre Einwilligungspräferenzen einmal festlegen. Diese übermitteln die Einwilligung dann weiter an Webseitenbetreiber, sodass nach dem Entwurf das erklärte Ziel ist, dass kein Cookie-Banner mehr verwendet werden, müssen. Dies kann dazu beitragen, dass Nutzer Cookie-Banner nicht ungelesen „wegklicken“ und damit eine uninformierte Einwilligung abgeben.

Reaktion der DSK

Aus Sicht der DSK sei es allerdings nicht möglich keine Cookie-Banner einzusetzen. Aus Sicht der DSK seien Cookie-Banner regelmäßig so gestaltet, dass nicht nur eine Einwilligung nach § 26 TTDSG eingeholt werden. Der Banner diene auch dazu eine Einwilligung nach art. 6 Abs. 1 lit. A Datenschutz-Grundverordnung (DSGVO) und nach § 9 Abs. 1 lit. a) DSGVO einzuholen. Für diese beiden von § 25 TTDSG zu unterscheidenden Rechtsgrundlagen bietet § 26 TTDSG gerade keine Rechtsgrundlage. Die Einwilligungen nach der DSGVO dienten anderen Zwecken.

Unabhängig von der Frage nach weiterhin erforderlichen Einwilligungen, enthalte der Entwurf, so die DSK, nicht die Möglichkeit, dass Nutzer einmal gegenüber dem Dienst eine Einwilligung abgeben und anschließend jede Webseite ohne Aufzeigen eines Cookie-Banners frei zugänglich sei. Stattdessen müsse der Nutzer bei jedem erstmaligen Besuch einer jeden Webseite eine Einwilligung abgeben. Diese könne anschließend über den Dienst gespeichert werden, sodass der Nutzer die Einwilligung nur einmal abgeben müsse.

Fazit

Nach dem jetzigen Stand ist mit dem neuen Entwurf ein Abrücken von Cookie-Bannern nicht denkbar. Für die Nutzer wie auch für Unternehmen bleiben Cookies ein wichtiges Thema, dessen Umsetzung in der Praxis künftig eine Erleichterung finden kann. Derzeit bieten viele Webseiten bereits verschiedene Möglichkeiten zur individuellen Cookie-Verwaltung.

Aufzeichnung von Telefongesprächen – Einwilligung erforderlich?

Wenn wir ein Unternehmen, zum Beispiel einen Dienstleister, anrufen möchten, landen wir oft in der Warteschleife, bevor wir mit der gewünschten Abteilung verbunden werden. Während dieser Wartezeit hören wir oft den Hinweis, dass das Gespräch automatisch aufgezeichnet wird, sobald es von einem Mitarbeiter des Unternehmens angenommen wird. Diese Aufzeichnungen dienen möglicherweise internen Schulungszwecken oder dem Qualitätsmanagement. Ist es überhaupt erlaubt, dem Anrufer lediglich die Information zu geben, dass sein Gespräch zu Schulungs- und Qualitätszwecken aufgezeichnet wird?

Diese Fragestellung wurde im Tätigkeitsbericht für das Jahr 2022 (S. 99 ff) von der Sächsischen Datenschutz- und Transparenzbeauftragten behandelt.

Berechtigtes Interesse nicht ausreichend

Die Datenschutz- und Transparenzbeauftragte in Sachsen betont, dass das berechtigte Interesse grundsätzlich nicht als angemessene Rechtsgrundlage für das Aufzeichnen von Telefonanrufen dienen kann. Dies liegt vor allem daran, dass mildere Methoden ersichtlich sind, um beispielsweise Qualitäts- oder Schulungszwecke zu erreichen, wodurch die Notwendigkeit dieser Datenverarbeitung entfällt. Zudem stehen auch die überwiegenden Interessen der Betroffenen dem entgegen, insbesondere ihr Interesse an der Vertraulichkeit des nicht-öffentlichen gesprochenen Wortes.

Die Einwilligung als Rechtsgrundlage zur Datenverarbeitung

Als Rechtsgrundlage für die Aufzeichnung von Telefongesprächen kommt ausschließlich die Einwilligung der Anrufer gemäß Art. 6 Abs. 1 lit. a DSGVO in Betracht. Die Anforderungen für eine datenschutzrechtlich zulässige Einwilligung bemessen sich nach den Kriterien des Art. 7 DSGVO.

Damit muss die Einwilligung der betroffenen Person vor der Gesprächsaufzeichnung in informierter Weise erfolgen, sodass sie genau weiß, worin sie einwilligt. Die Einwilligung muss außerdem aktiv von der jeweiligen anrufenden Person, dem Anrufer, erteilt werden. Der Anrufer muss eine eindeutige, bestätigende Handlung vornehmen, beispielsweise ein mündliches “Ja” oder das Drücken einer speziellen Telefontaste, um der Aufzeichnung zuzustimmen. Die verantwortliche Stelle, die das Gespräch aufzeichnen möchte, muss die Einwilligung der betroffenen Person nachweisen können. Darüber hinaus ist zu beachten, dass eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann.

Sonderfall: Konkludente Einwilligung

Eine konkludente „Einwilligung“ würde in diesem Fall das eingangs beschriebene Szenario darstellen: Sprich der Anrufer erhält die Information, dass das Gespräch aufgezeichnet wird – ohne Zustimmungs- oder Ablehnungsmöglichkeit. Vielmehr wird dann seitens der verantwortlichen Stelle davon ausgegangen oder sogar ggf. in der Ansage thematisiert, dass mit dem Halten bzw. Fortsetzen des Anrufs „konkludent“ in die Aufzeichnung eingewilligt wird. Hier wird dann seitens der verantwortlichen Stelle sinngemäß die Ansicht vertreten, dass der Anrufer über die Aufzeichnung informiert wird und wenn er das nicht möchte, sich anderweitig mit dem Unternehmen in Verbindung setzen kann – jedoch nicht telefonisch ohne Aufzeichnung. Bzgl. konkludenter Einwilligungen problematisiert die Sächsische Datenschutz- und Transparenzbeauftragte insbesondere die Freiwilligkeit der „Einwilligung“.

Die Freiwilligkeit einer Einwilligung ist eine der Grundvoraussetzungen für ihre Zulässigkeit. Die Sächsische Datenschutz- und Transparenzbeauftragte führt hierzu aus, dass von der Freiwilligkeit der konkludenten „Einwilligung“ im Anruf-Szenario nur dann ausgegangen werden könnte, wenn den Anrufern angemessene Alternativen zur telefonischen Kontaktaufnahme mit Aufzeichnung angeboten würden. Ein Verweis auf eine alternative Kontaktaufnahme beispielsweise per E-Mail kann der Freiwilligkeit jedoch entgegenstehen. Dies resultiere daraus, dass die Kontaktaufnahme per E-Mail nicht grundsätzlich als angemessene Alternative zur telefonischen Kontaktaufnahme gewertet werden könne. Eine „konkludente Einwilligung“ sollte vorliegend also nicht als Rechtsgrundlage herangezogen werden.

Opt-Out ist keine Einwilligungsmöglichkeit

Es reicht nicht aus, wenn den Anrufern lediglich mitgeteilt wird, dass Anrufe grundsätzlich aufgezeichnet werden, aber eine Aufzeichnung abgelehnt werden kann. Eine solche Vorgehensweise entspricht nicht einer rechtsgültigen Einwilligung gemäß der DSGVO. Konkret bedeutet dies, dass die bloße Information über die Aufzeichnung und das Anbieten einer Widerspruchsmöglichkeit – zum Beispiel durch das gesprochene “Nein” als Ablehnung der Aufzeichnung – nicht ausreichend ist. Die Sächsische Datenschutz- und Transparenzbeauftragte betont auch nochmals, dass die Einwilligung aktiv erklärt werden muss und nicht durch einen Widerspruch in Form einer Ablehnung erfolgen kann.

Fazit

Zusammenfassend kann festgestellt werden, dass für die rechtskonforme Aufzeichnung von Telefongesprächen eine aktive Einwilligung der betroffenen Personen erforderlich ist. Konkludente Einwilligungen oder das berechtigte Interesse können hier grundsätzlich nicht als angemessene Rechtsgrundlagen betrachtet werden.

BGH: Löschen von Suchergebnissen

24. Juli 2023

Mitte Mai setzt sich der Bundesgerichtshof (BGH), in einer jetzt veröffentlichten Entscheidung (Az. VI ZR 476/18) mit der Frage auseinander, wann ein Anspruch auf Löschung von Sucherergebnisse bei einer Suchmaschine bestehen. Insbesondere wenn eine entsprechenden Suche negative Ergebnisse anzeigt, kann die betroffene Person ein Interesse auf Löschung der Ergebnisse haben.

Die Hintergründe

Der Kläger ist als Leitungsorgan verschiedener Unternehmen tätig, die zusammen eine Gesellschaftsgruppe bilden. Über die in Anspruch genommene Suchmaschine ließen sich verschiedene Berichte über die einzelnen Gesellschaften der Gruppe sowie über den Kläger in seinen unternehmensinternen Funktionen selbst, finden. Zu großen Teilen handelte es sich dabei um Artikel, die negativ über die Geschäftspraktiken der Gesellschaften berichteten.

Der Kläger wandte sich daraufhin an die Suchmaschine, um Unterlassungsansprüche durchzusetzen. Sein Ziel war es, bei einer Suche nach seinem Namen die oben genannten Artikel nicht mehr zu finden sein würden.

Entscheidungsgründe des BGH

Aus Sicht des BGH sei für einen Teil der Suchergebnisse die Datenschutz-Grundverordnung (DSGVO) bereits sachlich nicht anwendbar. Grund hierfür sei, dass die Suchergebnisse gerade nicht bei der Suche nach dem Namen des Klägers vorgeschlagen würden. Viel mehr müsse ein interessierter Nutzer nach den Namen der Gesellschaften suchen, damit eine Suche die kritischen Artikel zeige. Demnach fehle es an einem Personenbezug.

Ein anderes gelte aber für einen anderen Teil der Suchergebnisse. Diese ließen den Bezug zum Kläger als natürliche Person zu, sodass die DSGVO grundsätzlich anwendbar sei. Dennoch habe der Kläger keinen Anspruch auf eine sog. Auslistung. Demnach könne nach Art. 17 Abs. 1 DSGVO (Recht auf Vergessen) eine betroffene Person einen Anspruch auf Löschen der Entsprechenden Artikel bei einer Suche geltend machen.

Dieser Anspruch bestehe allerdings nur insofern, dass die im angezeigten Artikel enthaltenen Informationen tatsächlich unwahr seien. Hinsichtlich des konkreten Inhalts der entsprechenden Artikel müsse die betroffene Person nachzuweisen, dass „(…) die in diesem Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil diese Informationen offensichtlich unrichtig ist“ (BGH, Urteil vom 23.5.23, VI ZR 476/18, Rn. 33). Nur dann könne sie eine Auslistung von der Suchmaschine verlangen.

Für den erforderlichen Nachweis seien insbesondere zwei Umstände von Bedeutung. Einerseits seien keine zu strengen Anforderungen diesen zu stellen. Die konkret erforderlichen Voraussetzungen richteten sich nach den Umständen des Einzelfalls. Andererseits sei kein Mitwirken der Suchmaschine bei dem Nachweis erforderlich.

Fazit  

Hie habe der Kläger die Unwahrheit gerade nicht nachweisen können. Demnach müsse Art. 17 Abs. 1 DSGVO hinter der Meinungs- und Informationsfreiheit zurücktreten. Das Urteil zeigt vor allem, dass auch bei unerwünschter Berichterstattung die DSGVO möglicherweise Abhilfe schaffen kann.

Das einheitliche Leitlinien Modell für DSGVO-Bußgelder

17. Juli 2023

Die Europäische Datenschutzgrundverordnung (DSGVO) sieht vor, dass Verstöße gegen ihre Bestimmungen von den Datenschutzbehörden der EU-Mitgliedsstaaten sanktioniert werden. Die möglichen Strafzahlungen belaufen sich auf bis zu 20 Millionen EUR oder bis zu 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Bisher war es in der Verantwortung der entsprechenden nationalen Datenschutzbehörden, die Höhe der Bußgelder festzulegen. Jedes EU-Mitgliedsland traf bisher eigenständige Entscheidungen darüber, inwieweit die in der DSGVO festgelegten “bis zu-Werte” ausgeschöpft werden. Jetzt gibt es neue Vorschriften für die Berechnung von Bußgeldern: Der Europäische Datenschutzausschuss (EDSA) hat die abschließenden Leitlinien zur Festsetzung von Bußgeldern angenommen.

Die neuen einheitlichen Leitlinien des EDSA

In seiner Sitzung am 24. Mai 2023 hat der Europäische Datenschutzausschuss (engl. European Data Protection Board, EDPB) die Leitlinien zur Bußgeldzumessung gemäß der DSGVO nach einer öffentlichen Konsultation angenommen.

Die neuen Leitlinien stellen den Datenschutzaufsichtsbehörden nun einheitliche Maßstäbe und harmonisierte Rahmenbedingungen zur Verfügung, um Bußgelder festzulegen. Diese Harmonisierung betrifft jedoch ausschließlich die Berechnungsgrundlage der Bußgelder. Die endgültige Höhe der Strafen wird weiterhin individuell von der jeweiligen nationalen Aufsichtsbehörde durch die Anpassungsmöglichkeiten des Leitlinien-Modells festgelegt.

BfDI von Entscheidung überzeugt

BfDI Prof. Ulrich Kelber, der Bundesbeauftragte für Datenschutz und Informationsfreiheit begrüßt die Annahme der Leitlinien: „Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedsstaaten. Die Leitlinien sind damit der konsequente nächste Schritt in der europäischen Integration und können künftig auch Vorbild und Orientierung für die Durchsetzung anderer EU-Gesetze sein.“

Die 5 Stufen der Leitlinien

Die Leitlinien sehen ein 5-stufiges Verfahren zur Bußgeldfestlegung vor

Schritt 1 – Identifizierung sanktionierbarer Handlungen: Die Aufsichtsbehörden prüfen, ob der vorliegende Fall sanktionierbare Handlungen beinhaltet, die gegen die DSGVO verstoßen haben. Es wird geprüft, ob bußgeldbewehrte Handlungen vorliegen.

Schritt 2 – Ermittlung des Ausgangsbetrags: Der Ausgangsbetrag für die Bußgeldberechnung wird aus den Faktoren Art der Verstöße, Schwere des Verstoßes und Umsatz des Unternehmens ermittelt.

Schritt 3 – Berücksichtigung erschwerender oder mildernder Umstände: Die Aufsichtsbehörden ermitteln Umstände, die den in Schritt 2 festgestellten Betrag erhöhen oder reduzieren können, wie das Verhalten der Verantwortlichen und vergangene Verstöße gegen die DSGVO.

Schritt 4 – Festlegung der Obergrenze: Der ermittelte Bußgeldbetrag wird mit den gesetzlichen Höchstbeträgen der DSGVO (Art. 83 Abs. 4 – 6) verglichen, um die Obergrenze für das Bußgeld festzulegen.

Schritt 5 – Überprüfung und Anpassung: Im letzten Schritt bewerten die Aufsichtsbehörden das ermittelte Bußgeld hinsichtlich Wirksamkeit, Verhältnismäßigkeit und Abschreckung, um gegebenenfalls Anpassungen vorzunehmen.

Verantwortlichkeit beim Tracking durch Softwareanbieter

5. Juli 2023

Es ist mittlerweile gängige Praxis für Arbeitgeber, digitale Instrumente einzusetzen, um ihren Mitarbeitern die Nutzung von Self-Service-Funktionen wie Zeiterfassung, Urlaubsanträgen oder Reisekostenabrechnungen schnell und einfach zu ermöglichen.

Normalerweise handelt es sich bei dem Anbieter dieser Software um einen Auftragsverarbeiter gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO). Dies bedeutet, dass die Daten der Mitarbeiter im Auftrag und nach den Anweisungen des Arbeitgebers, der als Verantwortlicher agiert, verarbeitet werden. In einigen Fällen kann der Dienstleister beispielsweise für Wartungszwecke auf die Daten zugreifen.

Der Arbeitgeber als Verantwortlicher muss sicherstellen, dass die Datenverarbeitung über die Software rechtmäßig erfolgt. Daher sollte er einen Dienstleister auswählen, dessen Tool entsprechende Möglichkeiten bietet, um dies umzusetzen. Dies kann beispielsweise durch spezifische Sichtbarkeitseinstellungen und Rollenkonzepte geschehen. Darüber hinaus müssen die technischen und organisatorischen Maßnahmen des Dienstleisters überprüft werden, um sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen.

Datenverarbeitungen zu Zwecken des Dienstleiters

Was ist jedoch der Fall, wenn der Dienstleister die Daten der Beschäftigten auch zu eigenen Zwecken verarbeitet? Eine mögliche Situation ist das Webtracking mittels Cookies und anderen Technologien zu statistischen oder werblichen Zwecken, insbesondere wenn Cloud-Lösungen genutzt werden, die von den Beschäftigten über ein Webportal oder eine App verwendet werden.

In der Regel verfügt der Arbeitgeber, der das betreffende Tool einsetzt, weder über detaillierte Kenntnisse über diese Verarbeitungen durch den Dienstleister, noch zieht er einen Nutzen daraus oder hat tatsächlich Einfluss darauf. Dennoch werden seine Mitarbeiter durch seine Anordnung dem entsprechenden Tracking ausgesetzt. Wie sieht es also mit der datenschutzrechtlichen Verantwortlichkeit in diesem Fall aus?

Gemeinsame Verantwortlichkeit

In den oben beschriebenen Fällen ist ein solches Tracking kein Bestandteil der Auftragsverarbeitung für den Arbeitgeber. Die Datenverarbeitung erfolgt weder zu seinen eigenen Zwecken noch nach seinen Anweisungen. Stattdessen gestaltet der Anbieter der Software selbstständig den Prozess der Datenverarbeitung und führt ihn auch zu seinen eigenen Zwecken durch. Daher ist der Softwareanbieter selbst für die Datenverarbeitung verantwortlich (vgl. auch OH Auftragsverarbeitung des BayLDA, S.12).

Dennoch bedeutet das nicht automatisch, dass der Arbeitgeber “aus dem Schneider” ist. Aufgrund der engen Verknüpfung zwischen der Datenverarbeitung des Dienstleisters und der Datenverarbeitung durch den Verantwortlichen liegt hier zumindest die Möglichkeit einer gemeinsamen Verantwortlichkeit gemäß Artikel 26 DSGVO nahe.

Für die Beschäftigten ist oft nicht klar ersichtlich, welche Datenverarbeitung in den Verantwortungsbereich ihres Arbeitgebers fällt und welche in den Verantwortungsbereich des externen Softwareanbieters. Daher wird in solchen Fällen teilweise argumentiert, dass im Hinblick auf die Schutzziele des Artikel 26 DSGVO (Transparenz für Betroffene und Schutz ihrer Rechte) eine einheitliche Betrachtung des gesamten Verarbeitungsvorgangs erfolgen sollte und dieser nicht in separate Schritte mit getrennten Verantwortlichkeiten aufgeteilt werden sollte (vgl. Ehmann/Selmayr/Bertermann, 2. Aufl. 2018, DS-GVO Art. 26 Rn. 8).

Mit dem Facebook Fanpage Urteil des EuGH vergleichbar?

Auch die Rechtsprechung des Europäischen Gerichtshofs (EuGH) im “Facebook Fanpage Urteil” vom 5. Juni 2018 (Az. C-210/16) geht in eine ähnliche Richtung: Beim Betrieb von Fanseiten besteht eine gemeinsame Verantwortlichkeit der jeweiligen Betreiber, da sie Facebook ermöglichen, über die Fanseite Cookies zu setzen. Darüber hinaus beeinflussen die Betreiber durch bestimmte Voreinstellungen beispielsweise die Erstellung von Statistiken, die mithilfe dieser Cookies ausgewertet werden, oder bringen über die Nutzung von Werbefunktionen ihr Angebot bestimmten Zielgruppen näher. Die Taskforce Facebook-Fanpages der Datenschutzkonferenz argumentiert zusätzlich, dass Fanseiten-Betreiber ein “eigenes Interesse an der Verarbeitung der personenbezogenen Daten von Besucher:innen ihrer Fanpage zu Zwecken der Profilerstellung und – darauf aufbauend – zu Zwecken der gezielten (werblichen) Ansprache haben, u. a. weil durch dieses Geschäftsmodell für sie eine entgeltfreie Nutzung des Dienstes ermöglicht wird“.

Bei genauerer Betrachtung dieser Argumentation werden jedoch auch die Unterschiede zwischen dem Betrieb einer Fanseite und dem Einsatz eines Tools zur Verarbeitung von Mitarbeiterdaten deutlich: Arbeitgeber haben weder ein Interesse an gezielter werblicher Ansprache bestimmter Zielgruppen unter ihren Mitarbeitern noch setzen sie typischerweise auf werbefinanzierte und daher kostenlose Tools. Ein (Mit-)Interesse an dem entsprechenden Tracking des Dienstleisters kann daher in diesem Fall nicht in gleicher Weise angenommen werden wie bei Social-Media-Präsenzen. Außerdem ist es gerade nicht möglich, die Datenverarbeitung im Tracking durch das Setzen von Filtern oder ähnlichen Maßnahmen zu steuern.

Einflussmöglichkeiten auf Datenverarbeitung des Dienstleiters von Bedeutung

Der Hauptgrund, der gegen die Annahme einer gemeinsamen Verantwortlichkeit spricht, ist die vollständige fehlende Möglichkeit und Beteiligung des jeweiligen Arbeitgebers bei der Datenverarbeitung im Rahmen des Webtrackings durch den Dienstleister.

Der Europäische Datenschutzausschuss stellt für eine gemeinsame Verantwortlichkeit die Bedingung, dass beide Verantwortlichen einen “deutlichen Einfluss auf die Festlegung der Zwecke und Mittel der Verarbeitung” haben und dass die Verarbeitungsvorgänge beider Parteien untrennbar miteinander verbunden sind (vgl. Leitlinien 07/2020 zu den Begriffen “Verantwortlicher” und “Auftragsverarbeiter”, S. 22). Jedoch reicht allein die Tatsache, dass eine der beteiligten Parteien keinen Zugang zu den verarbeiteten Daten hat, nach Einschätzung des Europäischen Datenschutzausschusses nicht aus, um eine gemeinsame Verantwortlichkeit auszuschließen (ebenda, S. 23).

Fazit

Die klare Zuordnung der datenschutzrechtlichen Verantwortlichkeiten im Falle von Webtracking zu eigenen Zwecken durch einen Softwareanbieter kann nicht pauschal festgelegt werden. Jeder Fall muss individuell geprüft werden. In solchen Situationen handelt es sich häufig um Grenzfälle, bei denen sowohl eine separate als auch eine gemeinsame Verantwortlichkeit vertretbar erscheint. Um rechtliche Sicherheit zu gewährleisten, empfiehlt es sich, eine Vereinbarung gemäß Artikel 26 DSGVO abzuschließen. Dabei sollte jedoch beachtet werden, dass idealerweise bereits vor der Beauftragung des Dienstleisters die Rechtmäßigkeit seiner Datenverarbeitung im Rahmen des Trackings geprüft wird, da diese dann in den Verantwortungs- und Haftungsbereich des Arbeitgebers fällt. Es ist für Arbeitgeber wichtig, die Mitarbeiter transparent zu informieren und ihnen gegebenenfalls Alternativen zur Nutzung des betreffenden Tools anzubieten, falls sie aufgrund der damit verbundenen umfangreicheren Datenverarbeitung die digitale Lösung nicht nutzen möchten.

Kategorien: Allgemein

CNIL: 40 Mil. EUR Bußgeld

4. Juli 2023

Vor rund zwei Wochen veröffentlichte die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL), dass sie eine Geldstrafe in Höhe von 40 Mil. EUR verhängt habe. Adressat der Strafe sei „Criteo“, ein Unternehmen, dass Softwarelösungen für Werbeanzeigen im Bereich des Online-Marketings anbiete.

Hintergründe

Der Grund für das Bußgeld sei gewesen, dass Criteo nicht überprüft habe, ob Personen, deren Daten es verarbeitet habe, eine Einwilligung erteilt hätten. Anlass für die Untersuchungen der Behörde bei Criteo seien Beschwerden der Organisationen Privacy International und „None of your business“ gewesen,

Das Unternehmen Criteo habe sich auf das sog. „Retargeting“ spezialisiert. Dies sei eine bestimmte Methode des Online-Marketings. Auf Webseiten von Partnern setzt Criteo eigene Cookies ein. Diese könnten Navigationsdaten der Nutzers tracken. Über die gesammelten Daten ließen sich anschließend personalisierte Werbeanzeigen schalten. Insbesondere könne dem Nutzer Werbeanzeigen zu Produkten angezeigt werden, für die er sich wahrscheinlich interessieren würde.

Verstöße

CNIL stellte zunächst fest, dass bei der Verwendung von Cookies zu Werbezwecke eine Einwilligung der betroffenen Person eingeholt werden müsse. Wenn ein Unternehmen auf seiner Webseite die Cookies von Criteo einsetze, müsse es eine solche Einwilligung einholen. Criteo müsse sicherstellen, dass die entsprechenden Unternehmen diese Einwilligung tatsächlich einholten und dies dokumentieren. Die Pflicht zur Einholung einer Einwilligung sei allerdings nie Vertragsbestandteil im Rahmen der Geschäftsbeziehungen zu Criteo. Damit verstoße das Marketingunternehmen gegen die Datenschutz- Grundverordnung (DSGVO).

Außerdem verstoße Criteo gegen seine Informationspflichten. Das Unternehmen informiere nicht vollständig über die Zwecke der Datenverarbeitungsvorgänge.

Zusätzlich hätten betroffene Person nicht hinreichend Gebrauch von ihrem Recht auf Widerruf der Einwilligung und Löschung personenbezogener Daten nach Art. 7 Abs. 3 und Art. 17 Abs. 1 DSGVO machen können. Den betroffenen Person seien lediglich keine Werbeanzeigen mehr gezeigt worden. Allerdings habe das Unternehmen Kennungsdaten der Nutzer weiter behalten.

Abschließend stellte die CNIL fest, dass Criteo mit seinen Geschäftspartnern keine Vereinbarung über eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO abgeschlossen habe.

Bußgeld

Die CNIL bewertete bei der Bestimmungen der Höhe des Bußgeldes negativ, dass das Unternehmen über die Daten einer sehr großen Personenanzahl verfüge. Außerdem sei, laut CNIL negativ in die Bewertung mit eingeflossen, dass das Unternehmen sich ausschließlich darauf spezialisiert habe, für eine bestimmte Zielgruppe relevante Werbung anzuzeigen. Demnach sei es das Geschäftsmodell des Unternehmens gerade personenbezogene Daten zu sammeln und zu verarbeiten.

Fazit

Alle angesprochenen Kritikpunkte konnte Criteo nach den Untersuchungen der CNIL einstellen. Dabei ist auffällig, dass das Thema Cookies weiterhin Grund für Datenschutzverstöße ist (hier berichten wir über weitere Cookie-Verstöße).

EuGH entscheidet über Auskunftsanspruch

3. Juli 2023

Vergangene Woche entschied der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsverfahrens (Az. C-579/21) über die Reichweite des Auskunftsanspruchs. Nach Art. 15 Datenschutz-Grundverordnung (DSGVO) habe die betroffene Person auch das Recht zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen die Mitarbeiter eines Verantwortlichen ihre personenbezogenen Daten abfragten.

Sachverhalt

Das Verfahren findet seinen Ursprung bei einem Bankmitarbeiter. Dieser hatte, neben der arbeitsvertraglichen Beziehung auch ein Konto bei der betroffenen Bank. Er erfuhr, dass andere Mitarbeiter der Bank seine Kundendaten mehrmals abgefragt hatten. Daraufhin wollte die betroffene Person wissen, welcher Mitarbeiter seine Kundendaten abgefragt hatten.

Das vorlegende Gericht wollte nun vom EuGH wissen, ob Art. 15 DSGVO den Zugang zu Informationen darüber umfasse, wer die personenbezogenen Daten der betroffenen Person wann und zu welchem Zweck verarbeitet habe.

Weiter Umfang des Art. 15 DSGVO

Ausgangspunkt der Entscheidung über diese Vorlagefrage ist Art. 4 Abs. 1 DSGVO. Die Norm definiert „personenbezogene Daten“ als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (…)“. Laut des Gerichtshofs habe der Unionsgesetzgeber im Rahmen seiner Definition „personenbezogenen Daten“ eine weite Bedeutung beimessen wollen. Demnach umfasse das Auskunftsrecht nach Art. 15 DSGVO die weite Vielfalt aller Informationen, die ein Verantwortlicher verarbeiten könne. Das Ziel des Auskunftsrechts sei es dabei eine faire und transparente Verarbeitung zu gewährleisten. Die betroffene Person solle sich über den Verarbeitungsvorgang als solchen informieren können. Das Informationsrecht umfasse auch solche Informationen, die notwendig seien, um die transparente Verarbeitung zu gewährleisten.

Der EuGH stellte klar, dass zu den notwendigen Informationen auch der Zeitpunkt der Verarbeitung zähle. Zusätzlich sei es ggf. erforderlich, dass ein Verantwortlicher der betroffenen Personen auch Auszüge aus Dokumenten oder Datenbanken zur Verfügung stelle. Damit könne die betroffene Person auch Informationen über den Kontext der Verarbeitung erhalten, die möglicherwiese erforderlich seien, um die Datenverarbeitung richtig einordnen zu können.

Demnach könne sich aus den zur Verfügung gestellten Dokumenten bereits ergeben, wann und in welchem Umfang Mitarbeiter personenbezogene Daten abfragen würden.

Einschränkungen

Es sei aber wichtig zu erkennen, dass Mitarbeiter eines Verantwortlichen keine Empfänger im Sinne des Art. 15 Abs. 1 lit. c DSGVO seien. Nur auf letztere beziehe sich das Auskunftsrecht einer betroffenen Person. Mitarbeiter dürften personenbezogene Daten nach Art. 29 DSGO gerade nur auf Weisung des Verantworltichen verarbeiten.

Welcher Mitarbeiter konkret personenbezogene Daten verarbeite, sei eine Frage, die nur beantwortet werde könne, wenn die Rechte Anderer nicht beeinträchtigt würden. Einerseits könne die Information über den konkreten Mitarbeiter die Transparenz fördern. Andererseits seien die Rechte und Freiheiten der Mitarbeiter zu beachten. Demnach könne die betroffene Person in der Regel nach Art. 15 DSGVO keine Informationen zur Identität eines Mitarbeiters erhalten, der personenbezogene Daten auf Weisung des Verantwortlichen verarbeite.

Fazit

Mit seiner Entscheidung nuanciert der EuGH das Auskunftsrecht der DSGVO und zeigt auf, dass auch die DSGVO keine Gesetzestext ist, der hierarchisch an erster Stelle steht.

EDSA veröffentlicht Musterformular für Beschwerden

26. Juni 2023

Vergangene Woche veröffentlichte der Europäische Datenschutzausschuss (EDSA) ein Musterformular, mit dem Beschwerden nach Art. 77 DSGVO eingereicht werden können. Ziel des Formulars sei es, das Einreichen einer Beschwerde bei den Aufsichtsbehörden für die Behörden selbst und für Individuen zu erleichtern.

Inhalt des Formulares

Nach Art. 77 DSGVO hat grundsätzlich jede betroffene Person die Möglichkeit eine Beschwerde einzureichen, wenn sie der Ansicht ist, dass eine Datenverarbeitung nicht DSGVO-konform ist. Dabei ist Adressat dieser Beschwerde eine Aufsichtsbehörde.

Das Formular bietet für betroffene Personen die Möglichkeit auszuwählen, bei welcher Datenschutzbehörde sie die Beschwerde einreichen möchte. Dabei kann sie zwischen der Behörde des Wohnsitzes, des Arbeitsortes, des Ortes, an dem der Verstoß begangen wurde oder an der sich der betroffene Verantwortliche befindet, wählen.

Das Dokument richtet sich ausschließlich an betroffene Personen. Somit sollen unbeteiligte Dritte das Formular nicht als allgemeinen Warnhinweis auf mögliche Verstöße einsetzen können. Es ist allerdings möglich, dass ein Vertreter oder eine Einrichtung für die betroffene Person handelt. Außerdem können Einrichtungen oder Organisationen auf eigene Initiative hin tätig werden. Dabei muss der Beschwerdeführer immer den Grund seiner Beschwerde angeben und Ziel, dass er anstrebt. Dazu zählt beispielsweise der Wunsch, dass ein Verantwortlicher unrechtmäßig verarbeitete personenbezogene Daten löscht.

Die nationalen Aufsichtsbehörden können das Formular künftig auf freiwilliger Basis nutzen. Dabei können sie das Muster entsprechend nationaler Regelungen anpassen.

 Fazit

Die Vorsitzende des EDSA, Ana Tulu äußerte sich zu dem Formular wie folgt:

 „Es wird den grenzüberschreitenden Austausch von Informationen über Beschwerden zwischen den Datenschutzbehörden erleichtern und den Datenschutzbehörden helfen, Zeit zu sparen und grenzüberschreitende Fälle effizienter zu lösen.”

Neue Leitlinien zur Bußgeld-Berechnung

19. Juni 2023

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte vor kurzem überarbeitete Leitlinien zur Berechnung von Bußgeldern (Guidelines 04/2022). Danach legte die EDSA ein fünfstufiges System zur Berechnung von Bußgeldern fest.

Schwere des Verstoßes bestimmt Bußgeld

Nach Art. 83 Abs. 1 Datenschutz-Grundverordnung (DSGVO) sollen Bußgelder wirksam, verhältnismäßig und abschreckend sein. Demzufolge seien die Bußgelder unter anderem anhand der Schwere des Verstoßes zu bemessen. Den Schweregrad eines Verstoßes teilte die EDSA aufgrund ihrer Auswirkungen in drei Niveaus ein, niedrig, mittel und schwer. Zu Verstößen mit einem niedrigen Schweregrad zählt zum Beispiel die Überschreitung der nach Art. 12 Abs. 3 DSGVO vorgesehenen Monatsfrist zur Beantwortung von Betroffenenanfragen. Zu einem Verstoß auf mittlerem Niveau zählten beispielsweise fehlende Sicherheitsvorkehrungen vor dem unautorisierten Zugriff auf Gesundheitsdaten. Dies sei der Fall, wenn in einem Unternehmen, die Mitarbeitenden Gesundheitsdaten von Kunden einzusehen könnten, ohne eine Autorisierung für diesen Zugriff zu haben. Auf der letzten Ebene des schwerwiegendsten Grades eines Verstoßes stünden beispielsweise ungefragte Telefonanrufe. So bei Anrufen eines Unternehmens bei seinen Kunden zu Werbezwecken, ohne dass eine Rechtsgrundlage für die Datenverarbeitung bestehe. Die Schwere des Verstoßes diene als Richtwert für das zu verhängende Bußgeld.

Zusätzlich sei der Verstoß seiner Art nach, zu kategorisieren und der Umsatz des Unternehmens bei der Berechnung zu beachten.

Fazit

Nachdem der EDSA die neuen Leitlinien nach der öffentlichen Konsultation angenommen hatten, veröffentlichte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine Pressemitteilung. Darin sagte er, dass es mit den neuen Leitlinien erstmals „eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedstaaten“ gebe.

Es bleibt folglich zu beachten, dass sich die Leitlinien an Aufsichtsbehörden richten. Demnach sollten Verantwortliche mögliche Bußgelder nicht im Vorfeld kalkulieren, sondern versuchen Verstöße gegen die DSGVO zu verhindern.

1 5 6 7 8 9 207