Kategorie: DSGVO
30. März 2022
Spätestens seit Einsetzen der Corona-Pandemie erfreuen sich Online-Apotheken immer größerer Beliebtheit. Nun hat eine Marktanalyse des Münchner Unternehmens „Usercentrics“ ergeben, dass 89 % der 150 beliebtesten Arzneimittelversender in der EU rechtswidrig Cookies einsetzen. Besonders brisant daran ist, dass gerade in diesem Geschäftsbereich sensible Gesundheitsdaten ohne Einwilligung der Betroffenen abgefragt werden.
Hintergrund
„Cookies“ sind Datensätze, die bei dem Besuch fast jeder Website gespeichert und oft an Dritte übermittelt werden. Wer eine Website betreibt und dabei Cookies verwendet, muss nach Art. 6 Abs. 1 lit. a, 7 DSGVO die Einwilligung der Besucher in die Verarbeitung ihrer personenbezogenen Daten einholen. Ausgenommen davon sind lediglich solche Cookies, die technisch notwendig sind, um den Besuch der Website zu ermöglichen. Die Einwilligung in Cookies erfolgt über Cookie-Banner, deren oft fehlerhafte Ausgestaltungen immer wieder Gegenstand von Busgeldverfahren sind (wir berichteten zuletzt hier).
Ergebnis der Marktanalyse
„Usercentrics“ ist genau auf diesem Gebiet tätig und entwickelt Software, mithilfe derer Einwilligungen in Cookies rechtskonform eingeholt werden sollen. Für das Unternehmen selbst hat sich die Marktanalyse als äußerst ergiebig erwiesen: Es besteht großer Nachholbedarf beim Cookie-Management.
So setzten 89% der gescannten Apotheken mindestens ein Cookie, ohne die hierzu erforderliche Einwilligung der Nutzer einzuholen. In Deutschland waren es sogar 100 % der untersuchten Anbieter.
62 % dieser rechtswidrig gesetzten Cookies waren solche, die Marketingzwecken von Drittanbietern dienten.
Außerdem aktivierten die Website-Betreiber 55 % der nicht notwendigen Cookies sofort beim Besuch der Website, ohne eine Einwilligung der Nutzer abzuwarten.
Missbrauch von Gesundheitsdaten
Im Einzelnen heißt das: Ein Großteil der Online-Apotheken speichert ohne die Einwilligung ihrer Besucher Datensätze, die Rückschlüsse auf die Gesundheit des Nutzers zulassen. Darunter sind personenbezogene Daten wie die IP-Adresse, die gesuchten Produkte, angesehene Produkte und Browserverlauf. Diese Daten können dazu genutzt werden, ein Profil des Kunden zu erstellen, um gezielt Produkte zu bewerben. Bei den Marketing-Unternehmen handelt es sich oft nicht über den Apothekenhändler selbst, sondern Drittanbieter. So werden sensible Daten über individuelle Krankheiten -völlig außer Kontrolle der Betroffenen- rechtswidrig erhoben, zweckentfremdet und weitergegeben.
Es bleibt zu hoffen, dass die Online-Arzneimittelhändler spätestens jetzt ihre Cookie-Banner überprüfen und aktualisieren, um Bußgelder zu vermeiden.
Mit Urteil vom 17.01.2022 (6 K 1164/21.WI) hat sich das Verwaltungsgericht Wiesbaden zur GPS-Überwachung von Fahrzeugen geäußert.
Ein Unternehmen der Logistikbranche hatte seit April 2020 GPS-Systeme in ihre 55 Firmenfahrzeuge eingebaut. Diese Systeme erheben und speichern Daten zum Tracking dieser Fahrzeuge. So sind u.a. die Bestimmung des Live-Standorts der Fahrzeuge, die Speicherung der Standortdaten und die Messung des Benzinverbrauchs möglich. Das Unternehmen begründet dies damit, dass das Geo-Tracking der Ortung einzelner Fahrzeuge diene, um bei Missbrauch und Diebstahl eingreifen zu können. Zudem sollen der Benzinverbrauch und der jeweilige Kraftstoffbestand in den Tanks überwacht werden, um Kraftstoffdiebstahl zu verhindern. Teilweise fanden auch Zuordnungen zum Inhaber der Fahrerkarte statt. Die Daten der Fahrerkarten wurden für 28 Tage gespeichert, alle übrigen Daten für 400 Tage.
Eine Information der Mitarbeiter über die Einführung des GPS-Trackings erfolgte nicht. Der hessische Datenschutzbeauftragte erfuhr von diesem Vorgehen und meldete sich bei dem Unternehmen. Letztlich forderte er das Unternehmen auf, das GPS-Tracking zukünftig zu unterlassen und erhobene Daten zu löschen. Gegen diesen Bescheid erhob das Unternehmen Klage.
Die Klage wies das VG Wiesbaden nun ab. Im Ergebnis ging das Gericht davon aus, dass für die Datenverarbeitung des Unternehmens keine Rechtsgrundlage existiere, sodass die Verarbeitung nicht rechtmäßig sei, Art. 5 Abs. 1 lit. a) DS-GVO. Eine Einwilligung der betroffenen Beschäftigten lag nicht vor. Auch seien die berechtigten Interessen des Unternehmens gem. Art. 6 Abs. 1 lit. f) DS-GVO nicht gegenüber den berechtigten Interessen der Betroffenen vorrangig. Dazu führt das Gericht u.a. aus: “Die danach vorzunehmende Abwägung der Interessen der Klägerin einerseits und der betroffenen Mitarbeiter andererseits fällt zu Lasten der Klägerin aus, weil die Datenspeicherung des Standorts, zumal über 400 Tage lang, nicht verhältnismäßig ist. […] Die Zulässigkeit der Datenerhebung und erst recht der Speicherung scheitert nach Auffassung des Gerichts schon daran, dass sie geheim erfolgt, ohne dass erkennbar ist, warum die Mitarbeiter der Klägerin nicht wissen dürfen, dass ihr Arbeitgeber sie bei Fahrten konstant überwacht.”
Das Urteil verdeutlicht einmal mehr, dass Unternehmen mit den Daten ihrer Beschäftigten sehr bedacht umgehen sollten.
22. März 2022
Aus einer Pressemitteilung der niederländischen Aufsichtsbehörde Autoriteit Persoonsgegevens (“AP”) geht hervor, dass gegen die DPG Media Magazines B.V. eine Geldstrafe in Höhe von 525.000 Euro verhängt wurde.
Vorausgegangen waren mehrere Beschwerden gegenüber der AP über die Art und Weise, wie Sanoma Media Netherlands B.V. (jetzt DPG Media Magazines B.V.) mit dieser Art von Anfragen umging. Die Personen, die sich beschwerten, hatten z. B. ein Abonnement für eine Zeitschrift. Das Medienunternehmen wurde infolgedessen zu der Geldstrafe verurteilt, weil Personen, die ihre Daten einsehen oder löschen lassen wollten, zunächst einen Identitätsnachweis hochladen mussten. Darüber hinaus wurden die Betroffenen nicht darüber informiert, dass sie Daten aus dem Dokument sperren dürfen. Laut der AP sei dies in dieser Situation jedoch nicht notwendig. Das Medienunternehmen fordere somit zu viele personenbezogene Daten an.
Hinsichtlich der behördichen Entscheidung äußerte sich Monique Verdier, Vizepräsidentin der AP: “Man darf nie einfach einen Identitätsnachweis verlangen. Er enthält eine Menge personenbezogener Daten. Selbst wenn Teile eines Ausweises geschützt sind, ist es oft zu schwierig, anhand einer Kopie festzustellen, ob jemand derjenige ist, der er vorgibt zu sein. Auch Kopien von Ausweispapieren müssen mit großer Sorgfalt aufbewahrt werden.”
Die DPG Media Magazines B.V. legte gegen den Bußgeldbescheid der Autoriteit Persoonsgegevens Widerspruch ein.
18. März 2022
Nach Art. 15 Abs. 1 DSGVO hat jede betroffene Person das Recht, von dem Verantwortlichen Auskunft darüber zu verlangen, ob und wenn ja, welche personenbezogene Daten von dieser Person verarbeitet werden. Nach Art. 15 Abs. 3 DSGVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.
Mit Urteil vom 27.10.2021 (Az. 16 K 5148/20) verneinte das Finanzgericht Berlin-Brandenburg den Anspruch eines Steuerpflichtigen gegen ein Finanzamt auf Zurverfügungstellung einer physischen oder elektronischen Kopie der Steuerakten jedoch. Begründet wurde dies damit, dass das pauschale Auskunftsverlangen des gesamten Inhalts der vom Finanzamt geführten Steuerakten zu exzessiv sei. Zwar sei, so das Gericht, der Anwendungsbereich der DSGVO auch im Bereich der Steuerverwaltung eröffnet. Auch die weiteren Voraussetzungen der DSGVO seien gegeben, insbesondere stellten alle in einer Steuerakte erfassten Informationen personenbezogene Daten des Steuerpflichtigen dar. Das Recht auf eine umfassende Zurverfügungstellung der gesamten Steuerakte verneinte das FG Berlin-Brandenburg dennoch.
Zur Begründung führte es aus, dass das Recht auf Auskunft und das Recht auf Kopie aus Art. 15 Abs. 1 und Abs. 3 DSGVO einen einheitlichen Anspruch darstelle und das Recht auf Erhalt einer Kopie daher auf die Kataloginformationen des Art. 15 Abs. 1 lit. a bis h DSGVO beschränkt sei, ohne weitere Ansprüche der Betroffenen zu begründen. Insbesondere sei nicht erforderlich eine betroffene Person über sämtliche beim Finanzamt gespeicherte Dokumente oder Dateien zu informieren. Das Ziel des Steuerpflichtigen, eine Überprüfung zu ermöglichen würde erreicht, wenn man ihm die Informationen aus Art. 15 Abs. 1 DSGVO zur Verfügung stelle, d.h. grundlegende Informationen zur Verarbeitung.
Schließlich stünde dem Begehren des Steuerpflichtigen nach Ansicht des Gerichts auch Art. 12 Abs. 5 S. 2 DSGVO entgegen. Danach kann der Verantwortliche bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person, entweder ein angemessenes Entgelt verlangen oder sich weigern, aufgrund des Antrags tätig zu werden. Im vorliegenden Fall habe der auskunftsbegehrende Steuerpflichtige mit seinem pauschalen Auskunftsverlangen auf Überlassung sämtlicher Akten des Finanzamt in Bezug auf seine Person offensichtlich überschießend gehandelt. Daher konnte das Finanzamt ohne Nachweis für den exzessiven Charakter des Begehrens dieses verneinen. Außerdem diente das Bestreben des Steuerpflichtigen nach Einschätzung des Gerichts auch nicht den Zielen der DSGVO, d.h. dem Schutz seiner Privatsphäre. Auch weitere Anspruchsgrundlagen verneinte das Gericht.
16. März 2022
Die irische Datenschutzkommission (DPC) hat am 15.03.2022 eine Pressemitteilung veröffentlicht, in der sie mitteilte, dem Konzern Meta Platforms (ehem. Facebook) ein Bußgeld von 17 Mio. EUR auferlegt zu haben. Grund dafür seien insgesamt zwölf Datenschutzverstöße zwischen Juni und Dezember 2018. In diesen Fällen habe es keine angemessenen technischen und organisatorischen Maßnahmen gegeben, um Daten von EU-Nutzern zu schützen. Konkret habe Meta Platforms gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO verstoßen.
Da die Datenverarbeitung von Meta Platforms eine (EU-) grenzüberschreitende ist, waren die anderen europäischen Datenschutzbehörden ebenfalls in diese Entscheidung involviert. Meta Platforms hat seinen Hauptsitz in Dublin (Irland), deshalb ist die irische Datenschutzbehörde gem. Art. 56 DSGVO ‘federführend’. Dies bedeutet, dass sie hauptzuständiger, zentraler Ansprechpartner in dieser Angelegenheit ist und das Verfahren leitet.
Meta Platforms bzw. Facebook stand in der Vergangenheit für seinen Umgang mit Daten wiederholt in der Kritik. Erst kürzlich hatte Facebook verkündet, die automatische Gesichtserkennung auf ihrer Plattform abzuschaffen. Die irische Datenschutzbehörde hatte zudem gegen die Facebook-Tochter WhatsApp erst im September 2021 ein Rekord-Bußgeld in Höhe von 225 Mio. EUR erlassen. Grund dafür war u.a. die Weitergabe von Nutzerdaten an andere Facebook-Unternehmen.
9. März 2022
Die Europäische Kommission kann sogenannte Angemessenheitsbeschlüsse fassen. Aus dem Angemessenheitsbeschluss der Kommission hat sich gemäß Art. 45 Abs. 3 S. 1 DSGVO ergeben, dass ein Drittland, das nicht an die DSGVO gebunden ist, ein angemessenes Schutzniveau aufweist und dies förmlich von der Kommission festgestellt wird. Die diesbezüglichen Erkenntnisse und Begründungen der Kommission, die ihre Feststellung untermauern, finden sich in den Erwägungsgründen des Beschlusses wieder. Wird ein entsprechender Angemessenheitsbeschluss für ein Drittland von der Europäischen Kommission unter der Prämisse gefasst, dass dieses Drittland auch sonstige Bestimmungen der DSGVO einhält, so dürfen personenbezogene Daten ohne weitere Genehmigung an das jeweilige Land übermittelt werden. Datentransfers auf der Grundlage eines Angemessenheitsbeschlusses genießen das Privileg, dass sie Datentransfers innerhalb der EU gleichgestellt werden. Ende letzten Jahres hatte die Europäische Kommission am 17. Dezember 2021 einen Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten aus der EU nach Südkorea im Rahmen der Datenschutzgrundverordnung angenommen.
Zur Zeit existieren für insgesamt 14 Staaten Angemessenheitsbeschlüsse:
- Andorra
- Argentinien
- Kanada
- Färöer-Inseln
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Neuseeland
- Republik Korea (Südkorea)
- Schweiz
- Uruguay
- Vereinigtes Königreich
Die Angemessenheitsbeschlüsse von Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Nueseeland, Schweiz und Uruguay hat die Europäische Kommission noch auf Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46/EG („EU-Datenschutzrichtlinie“) erlassen. Sie gelten auch nach Inkrafttreten der DSGVO zum 25.05.2018 fort, solange die Europäische Kommission nicht gemäß Art. 45 Abs. 9 DSGVO ihre Änderung, Ersetzung oder Aufhebung beschließt. Von dieser Möglichkeit hat die Europäische Kommission bislang jedoch keinen Gebrauch gemacht.
Zu beachten ist außerdem, dass sich die jeweiligen Angemessenheitsbeschlüsse in ihrer inhaltlichen Reichweite von Land zu Land unterscheiden können.
Die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, lässt sich generell nicht auf einen Angemessenheitsbeschluss stützen. Hierfür ist auf folgende Richtlinie (EU) 2016/680 hinzuweisen (Richtlinie Justiz/Inneres, sog. JI-Richtlinie).
Ferner sollte bei dem Transfer von Daten, auf der Grundlage einer Adäquanzentscheidung der Europäischen Kommission, dringend geprüft werden, ob der konkret geplante Transfer auch von der Tragweite des Angemessenheitsbeschlusses umfasst ist. Fällt diese Prüfung positiv aus, können Daten ohne weitere Vorkehrungen zur Absicherung eines angemessenen Datenschutzniveaus im Empfängerland übertragen werden.
Wichtig ist indes zu beachten, dass Verantwortliche und Auftragsverarbeiter trotz eines vorhandenen Angemessenheitsbeschlusses in einem Drittland selbstverständlich nicht von der Verpflichtung entbunden sind, weitere sonstige Voraussetzungen an eine rechtmäßige Datenverarbeitung, die sich aus den geltenden Datenschutzgesetzen ergeben (wie bspw. das Erfordernis, einen Vertrag zur Auftragsdatenverarbeitung abzuschließen), zu erfüllen!
8. März 2022
Wegen umfangreicher Verstöße gegen die DSGVO hat Bremens Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Anfang März ein Bußgeld von rund 1,9 Millionen Euro gegen eine Bremer Wohnungsbaugesellschaft verhängt.
Hintergrund des Bußgeldverfahrens war, dass die Wohnungsbaugesellschaft Daten von über 9.500 Mietinteressenten erhob, ohne dafür eine Rechtsgrundlage zu haben. Nach Angaben der LfDI Bremen wurden dabei Daten über die ethnische Herkunft, Hautfarbe, Religionszugehörigkeit, die sexuelle Orientierung und den Gesundheitszustand der potentiellen Mieter unzulässig verarbeitet. Auch Daten über das persönliche Auftreten der Interessenten wie z.B. die Frisur o.ä. wurden in großem Umfang gesammelt, ohne für den Abschluss eines Mietvertrags erforderlich zu sein. Besonders problematisch an der Erhebung der Daten war, dass es sich bei einem Großteil der gesammelten Daten um besonders sensible und damit von der DSGVO besonders schützenswerte Daten handelte. Diese dürfen nur in Ausnahmefällen und mit einer entsprechenden rechtlichen Grundlage (Art. 9 DSGVO) verarbeitet werden. Eine solche lag nicht vor.
Bei Verstößen gegen die Grundsätze der datenschutzrechtlichen Verarbeitung sieht die DSGVO in Art. 83 DSGVO Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes vor.
Obwohl die LfDI aufgrund der “außerordentliche Tiefe” der Verletzung des Datenschutzes ein höheres Bußgeld für angemessen hielt, reduzierte sie das Bußgeld auf rund 1,9 Millionen Euro. Grund dafür war, dass die Wohnungsbaugesellschaft im datenschutzrechtlichen Aufsichtsverfahren mit der Behörde umfangreich zusammenarbeitete und sich um Schadensminderung und Sachverhaltsermittlung bemühte.
Immobilien- und Hausverwaltungen sollten diesen aber auch vergangene Bußgeldbescheide beispielsweise gegen die Deutsche Wohnen nun unbedingt zum Anlass nehmen, ihre Unterlagen wie z.B. Mieterselbstauskünfte auf Datenschutzkonformität zu überprüfen.
4. März 2022
Auskunftsanspruch nach Art. 15 DS-GVO iVm § 83 SGB X
Wird der Nachlass einer Person geregelt, wird häufig außer Acht gelassen, dass auch analoge oder digitale Daten vererbt werden können. Dies führt dazu, dass Erben häufig nicht wissen, ob und wie sie auf die Daten einer verstorbenen Person zugreifen dürfen. Die DSGVO hat ermöglicht, dass die nationalen Gesetzgeber zum Datennachlass eigene Regelungen treffen dürfen. Der deutsche Gesetzgeber hat diese Möglichkeit im Bereich des Sozialdatenschutzes genutzt, was den Umgang mit den vererbten Daten somit erleichtert.
1. Rechtslage unter der DSGVO
In Art. 15 DSGVO wird der Auskunftsanspruch der betroffenen Person gegenüber dem Verantwortlichen geregelt. Hiernach steht der betroffenen Person das Recht zu, erfahren zu dürfen, welche personenbezogenen Daten von ihr durch die Verantwortlichen verarbeitet werden. Verstirbt eine Person, stellt sich für die Hinterbliebenen jedoch die Frage, ob sie nach aktueller Rechtslage ein Auskunftsbegehren geltend machen können. Das könnte beispielsweise für Hinterbliebene von Interesse sein, wenn es darum geht, ein rechtliches Interesse im Namen der verstorbenen Person durchzusetzen.
Grundsätzlich ist die Datenschutz-Grundverordnung gemäß Erwägungsgrund 27 S.1 DSGVO nicht auf Verstorbene anwendbar. Verstirbt die betroffene Person, wären die Erben nach Satz 1 nicht dazu berechtigt, das Auskunftsbegehren in Hinblick auf die Daten der verstorbenen betroffenen Person geltend zu machen. Satz 2 des Erwägungsgrundes 27 DSGVO ermöglicht es den Mitgliedstaaten jedoch, Vorschriften für die Verarbeitung personenbezogener Daten von Verstorbenen zu erlassen. Der deutsche Gesetzgeber hat im Sozialdatenschutz von dieser Möglichkeit Gebrauch gemacht. In § 35 Abs. 5 SGB I ist folglich ausdrücklich geregelt, dass die DSGVO auch für den Sozialdatenschutz Verstorbener gelten soll. Personenbezogene Daten gemäß Art. 3 Abs.1 DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Weder Art. 4 Nr. 1 DSGVO noch Art. 9 DSGVO enthalten den Begriff der Sozialdaten. Allerdings wird dieser in § 67 Abs. 2 S. 1 SGB X genannt, wonach Sozialdaten: personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO sind, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben verarbeitet werden. Die Aufgaben werden in § 67 Abs. 3 SGB X näher definiert.
2. Wo ist das Auskunftsbegehren geregelt?
Das Auskunftsbegehren ist auch für den Sozialdatenschutz in Art. 15 DSGVO geregelt. Gemäß § 35 Abs. 2 SGB I gibt es allerdings die Möglichkeit, Ausnahmen zum Auskunftsbegehren nach Art. 15 DSGVO zu regeln. Solche finden sich in § 83 SGB X. Anspruchsgrundlage für ein Auskunftsbegehren bezogen auf Sozialdaten ist demnach Art. 15 DS-GVO iVm § 83 SGB X.
3. Voraussetzungen für ein Anspruchsbegehren
Damit ein Anspruchsbegehren geltend gemacht werden kann, müssen die folgenden Anspruchsvoraussetzungen erfüllt sein:
a) Verantwortliche
Zunächst muss das Auskunftsbegehren gegenüber dem richtigen Verantwortlichen erfolgen. Dies folgt aus Art. 15 Abs. 1 DSGVO. Wer Verantwortlicher ist, definiert Art. 4 DSGVO, hier gilt jedoch § 67 Abs. 4 SGB X ergänzend.
b) Angehörige und Erbenstellung
In § 35 Abs. 5 SGB I geht nicht ausdrücklich hervor, wer Ansprüche der verstorbenen Person geltend machen darf. Erwähnt werden nur die schutzwürdigen Interessen der verstorbenen Person oder den schutzwürdigen Interessen der Angehörigen. Wer Angehörige sind, ist wiederum in § 16 Abs. 5 SGB X geregelt. Die Verwendung des Begriffs der Angehörigen in § 35 Abs. 5 SGB I ist nicht damit gleichzusetzen, dass diese automatisch auch Anspruchsberechtigte sind. Art. 15 DSGVO nennt nur die betroffene Person selbst, die das Begehren geltend machen kann. Verstirbt die Person jedoch, gehen ihre Daten nach § 1922 BGB in die Erbschaftsmasse über, sodass die Erben in die Rechtsstellung der betroffenen Person eintreten und die Ansprüche geltend machen können. Diese benötigen zum Beweis ihrer Stellung beispielsweise einen Erbschein. Anspruchsberechtigt sind also die Erben, die jedoch nicht unbedingt auch gleichzeitig die Angehörigen sein müssen.
c) Rechtsgrundlage für die Verarbeitung der Daten durch den Verantwortlichen
Aus § 35 Abs. 5 S. 2 SGB I folgt, dass eine Datenverarbeitung dann erfolgen kann, wenn schutzwürdige Interessen des Verstorbenen oder seiner Angehörigen dadurch nicht beeinträchtigt werden. Danach hat eine rechtliche Abwägung stattzufinden, um dadurch zu überprüfen, ob Interessen des Verstorbenen oder seiner Angehörigen gegenüber den Interessen der Verantwortlichen überwiegen.
d) Kein entgegenstehender -mutmaßlicher- Wille der verstorbenen Person
Aus der Formulierung des § 35 Abs. 5 S. 2 SGB I, dass eine Datenverarbeitung erfolgen kann, „wenn schutzwürdige Interessen des Verstorbenen … nicht beeinträchtigt werden“, kann entnommen werden, dass die Verarbeitung nicht gegen den Willen bzw. den mutmaßlichen Willen der verstorbenen Person erfolgen darf. Ob ein solcher Wille bzw. ein mutmaßlicher Wille vorlag, muss der Sozialträger beweisen. Dies ließe sich zB durch Zeugen oder einen Urkundenbeweis belegen, dass die verstorbene Person es ausdrücklich oder mutmaßlich nicht wollte, dass ihre Daten offengelegt werden.
Das Landgericht München hat in einem Urteil vom 20.01.2022 entschieden, dass der Einsatz von Google Fonts auf Webseiten nicht mehr auf die berechtigten Interessen des Webseitenbetreibers gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann. Nunmehr ist stets eine Einwilligung des Nutzers erforderlich. Webseitenbetreiber können bei Verstoß auf Unterlassung und Schadensersatz verklagt werden.
Hintergrund
Google Fonts setzt zwar keine Cookies. Wenn aber eine von Googles Schriftarten (= englisch Font) vom Browser des Besuchers bei dem Besuch der Webseite angefordert wird, wird dessen IP-Adresse von Google erfasst und für Analysezwecke verwendet. Diesen Prozess beschreibt Google auch in den Google AGB zur Google Fonts API. Bei den so erhobenen dynamischen IP-Adressen handele es sich um personenbezogene Daten, da es dem Webseitenbetreiber über eine zuständige Behörde und den Internetzugangsanbieter abstrakt möglich sei, die betreffende Person zu identifizieren, so das Urteil.
Vor dem Urteil des Landgerichts München konnte man – unter Inkaufnahme eines gewissen unternehmerischen Risikos – den Einsatz von Google Fonts auf Art. 6 Abs. 1 S.1 lit. f DSGVO, die berechtigten Interessen, stützen. Nun kann der Einsatz von Schriftartendiensten wie Google Fonts nicht mehr auf Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden, da kein berechtigtes Interesse des Webseitenbetreibers bestehe, die Schriftart über externe Google-Server einzubinden. Schließlich könne man anstattdessen die Google Fonts auch herunterladen und vom eigenen Server lokal ausliefern, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss.
Der Beklagte hatte außerdem zudem eingewandt, dass der Besucher der Webseite auch seine IP-Adresse etwa durch Nutzung eines VPN verschleiern könnte. Diesen Einwand lehnte das Landgericht München jedoch ab und bestätigte insoweit ein Urteil des Landgerichts Dresden aus dem Jahr 2019. Dem Webseitenbesucher dies abzuverlangen, würde den Zweck des Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, gar umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde.
Konsequenz für Webseitenbetreiber
Die einzig rechtssichere Möglichkeit der Einbindung von Google Fonts über die Google Server ist nach dem Urteil des Landgerichts München nun die Einwilligung des Webseitenbesuchers.
Für eine DSGVO-konforme Einwilligung ist es allerdings notwendig, dass der Nutzer informiert und nach seiner Einwilligung gefragt wird, bevor ein URL Call von Google Fonts zur Google Fonts API stattfindet, also bevor Google Fonts ausgespielt und die Verbindung zu den Google Servern hergestellt wird. Ein Eintrag in den Datenschutzbestimmungen kann das nicht leisten. Ähnlich wie bei den Cookies müsste also ein Banner ausgespielt werden, vergleichbar dem Cookie Banner. Solange keine Einwilligung seitens des Besuchers vorliegt, wird dann die über Google Fonts eingebundene Schriftart nicht geladen.
Vor diesem Hintergrund erscheint es einfacher und rechtssicherer, die Möglichkeit zu nutzen, Google Fonts lokal einzubinden. Dabei werden die Schriften heruntergeladen und für den Besucher vom eigenen Server und nicht von den Google-Servern geladen. Hierbei werden keine Daten an Google als Drittanbieter gesendet.
16. Februar 2022
Die Frage, ob Führungskräfte in Unternehmen schuldhaft handeln müssen oder ob ein objektiver Pflichtverstoß für die Verhängung eines Bußgeldes nach der DSGVO gegen das Unternehmen ausreicht, ist im Datenschutzrecht sehr umstritten. Das Kammergericht Berlin (Az. 3 Ws 250/21) hat dem EuGH hierzu Fragen zur Vorabentscheidung vorgelegt.
Rechtsträger- oder Funktionsträgerprinzip?
Stein des Anstoßes ist die Frage, ob §30 Ordnungswidrigkeitengesetz (OWiG) und damit das deutsche Haftungskonzept für Unternehmen (Rechtsträgerprinzip) anwendbar ist. Dem Unternehmen kann ein Bußgeld nur dann auferlegt werden, wenn eine Führungskraft eine (vorsätzliche oder fahrlässige) Tat begangen hat, die dem Unternehmen zurechenbar ist. Das LG Berlin vertritt diese Auffassung und hat ein Bußgeldverfahren gegen die Deutsche Wohnen SE eingestellt. Für die Verhängung eines Bußgeldes müsse ein der juristischen Person zurechenbarer Pflichtverstoß vorliegen, der durch die Datenschutz-Aufsichtsbehörde nachgewiesen werden muss. Eben dieser Nachweis sei nicht gelungen, der Bußgeld-Bescheid enthalte keine entsprechenden Angaben.
Das LG Bonn (Urt. v. 11.11.2020 – 29 OWi 1/20) hält §30 OWiG für nicht anwendbar (Funktionsträgerprinzip). Das hätte zur Folge, dass das sog. supranationale Kartellsanktionsrecht greift. Dann reicht ein objektiver (Datenschutz-)Verstoß eines Unternehmens aus, um es mit einem Bußgeld zu belegen. Eine Anweisung zu oder auch nur Kenntnis der Leitungsorgane des Unternehmens von Datenschutzverstößen sind dann nicht erforderlich. Das datenschutzrechtliche Bußgeld finde seine Rechtsgrundlage vielmehr unmittelbar in Art. 83 DSGVO, so das LG Bonn. Dafür sprechen der Anwendungsvorrang der DSGVO im Allgemeinen sowie der Wirksamkeitsgrundsatz des Europarechts, der ausgehöhlt würde, wenn nationale Haftungsregeln die Sanktionsmöglichkeiten europarechtlicher Vorschriften einschränken würden. Dann wäre nicht mehr europaweit sichergestellt, dass dieselben Bußgeldregelungen gelten, was dem Verordnungscharakter der DSGVO zuwiderliefe.
Der EuGH hat die Chance zur Klarstellung
Somit bestehen Zweifel über die Auslegung des Art. 83 DSGVO und die Zuständigkeit des EuGH ist im Vorabentscheidungsverfahren (Art. 267 AUEV) eröffnet. Das KG erwartet vom EuGH eine Klarstellung, ob die (strengeren) Vorgaben des deutschen Ordnungswidrigkeitenrechts gelten oder ob ein objektiver Pflichtverstoß eines Unternehmens ausreicht, um ein Bußgeld zu verhängen. Das KG selbst scheint übrigens von einer direkten Unternehmenshaftung ohne Anwendung des §30 OWiG auszugehen.
Pages: 1 2 ... 14 15 16 17 18 ... 38 39 
