Kategorie: EU-Datenschutzgrundverordnung

Einwilligung (Opt-In, Opt-Out, Double-Opt-In)

18. April 2019

Sofern keine gesetzliche Regelung die Verarbeitung von personenbezogenen Daten ausdrücklich erlaubt, bedarf es einer Einwilligung des Betroffenen in die Verarbeitung der personenbezogenen Daten. Damit diese rechtskonform erteilt werden kann, müssen verschiedene Voraussetzungen erfüllt sein.
Eine Einwilligung ist nur dann rechtmäßig erteilt, wenn sie freiwillig (ohne Druck oder Zwang), spezifiziert (für eine bestimmte Verarbeitung), informiert (durch transparente Aufklärung) und ausdrücklich (also unmissverständlich) erfolgt. Im Zusammenhang mit der Einwilligung fallen häufig die Begriffe Opt-In, Opt-Out und Double-Opt-In. Nachfolgend werden diese Begrifflichkeiten erläutert.


Mit der Voraussetzung, dass die Einwilligung „ausdrücklich“ abgegeben werden muss, ist der sogenannte Opt-Out unvereinbar. Bei einem Opt-Out gilt die Einwilligung als erteilt, wenn der Einwilligende dem nicht widerspricht. Die Einwilligung wird also vorausgesetzt/fingiert, ohne dass der Einwilligende diese tatsächlich aktiv erteilt hat. Ein solches Vorgehen ist nicht datenschutzkonform und die darauf gestützte Verarbeitung personenbezogener Daten rechtswidrig.
Es ist erforderlich, dass der Einwilligende selbst aktiv in die Verarbeitung von personenbezogener Daten einwilligt (Opt-In). Beispielsweise darf eine Checkbox daher niemals vorausgefüllt sein (Opt-Out). Der Betroffene muss die Checkbox selbst aktiv anklicken.
Hiervon zu unterscheiden ist der Double-Opt-In. Bei diesem wird an die E-Mail-Adresse des Betroffenen ein Bestätigungslink versendet. Der Double-Opt-In dient damit der Verifizierung einer Person, so dass sich die verarbeitende Stelle sicher sein kann, dass die Daten nicht missbräuchlich verwendet wurden, sondern tatsächlich von der angegebenen Person stammen.

Die neue Datenbank der EU

17. April 2019

Im Europäischen Parlament wurde am Dienstag der Weg für eine zentrale Suchmaschine eröffnet, mithilfe in Zukunft jeder Polizeibeamte und Fahnder feststellen kann, ob sich eine zu überprüfende Person legal oder illegal in der EU aufhält. Dieses Vorhaben ist datenschutzrechtlich nicht ganz unproblematisch.

Es soll keine neue Informationssammlung erstellt werden, sondern eine Art Suchmaschine, mit der die Sicherheitsbehörden alle vorhandenen Informationen schneller abrufen können. Bislang waren die Speicher strikt voneinander getrennt.

Es handelt sich vor allem um folgende Datenbanken: Visa-Informationssystem VIS, Schengen-Staaten Angaben über Kurzzeit-Visa, Eurodac (Datei, in der Fingerabdrücke und Daten von Asylsuchenden erfasst werden), Schengen-Informationssystem (SIS) und das Europäische Strafregisterinformationssystem ECRIS. 2021 kommt noch das Europäische Reiseinfomrationssystem- und -genehmigungssystem ETIAS und das Ausreisesystem EES hinzu.

Der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, sieht die Datenbank äußerst kritisch. Es entstehen erhebliche Risiken für die Betroffenen, denn nach der DSGVO müssen Betroffene im Zeitpunkt der Datenerhebung über die Verarbeitung informiert werden. Dies würde jedoch nicht geschehen. Auch Unbeteiligte werden erfasst, die beispielsweise auf Einladung eines EU-Bürgers ein Kurzzeit-Visum benötigen. Der frühere Bundesdatenschutzbeauftragte Peter Schaar spricht deshalb sogar von einer „umfassenden Massenüberwachung, die sich nicht auf diejenigen beschränkt, die über die EU-Außengrenze einreisen“.


Darf eine Verbraucherschutzzentrale gegen Datenschutzverstöße klagen?

15. April 2019

Mit dem Beschluss vom 11. April 2019 – I ZR 186/17 setzt der BGH das Verfahren zunächst aus und wartet auf eine Entscheidung des EuGH.

In dem Verfahren vor dem BGH klagt der Dachverband der Verbraucherzentralen der Bundesländer gegen Facebook. Der Verband ist der Ansicht, Facebook habe mit seinem „App-Zentrum“ gegen das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) alter Fassung verstoßen. In der Version aus dem Jahr 2012 stimmten Nutzer mit ihrem Klick auf „Sofort spielen“ automatisch der Übermittlung ihrer Daten an den Spielebetreiber zu. Parallel berechtigten die Anwendungen dazu, im eigenen Namen Statusmeldungen und Fotos zu veröffentlichen. Weiterhin wirft der Verband Facebook vor, die Nutzer somit nicht ausreichend über die Erhebung und Verwendung der Daten aufgeklärt zu haben, sodass auch die notwendige Einwilligung nicht erfolgen könnte.

War der Verband in den ersten beiden Instanzen noch erfolgreich, soll nun vorab die Frage geklärt werden, ob die Verfolgung von Verstößen überhaupt durch Verbände oder ausschließlich durch die Datenschutzbehörden und die Betroffenen selbst erfolgen darf. Der Bundesgerichtshof (BGH) zieht die Möglichkeit in Betracht, dass dies den Datenschutzbeauftragten vorbehalten sein könnte.

Dazu will der BGH eine Entscheidung des EuGH abwarten. Auch in diesem Verfahren geht es um eine Klage der Verbraucherzentrale NRW gegen Facebook. Gestritten wird um die Einbindung des Like-Buttons in einem Online-Shop.

EU-Verträge mit Microsoft werden datenschutzrechtlich untersucht

11. April 2019

Zu Beginn der Woche teilte die EU-Datenschutzbehörde EDPS mit, dass nunmehr die Verträge der EU-Dienststellen mit Microsoft dahingehend untersucht werden, ob diese mit der DSGVO in Einklang zu bringen sind.

Auch die verschiedenen Institutionen der EU nutzen Microsofts Produkte und Dienstleistungen. Infolgedessen werden große Mengen an persönlichen Daten verarbeitet. Die EU-Datenschutzbehörde möchte deshalb in einem ersten Schritt alle eingesetzten Produkte und Dienstleistungen von Microsoft erfassen, um dann in einem nächsten Schritt die einzelnen vertraglichen Regelungen an den Maßstäben der DSGVO zu messen.

Nach der DSGVO sind Dienstleister selbst für den Datenschutz verantwortlich. „Allerdings bleiben die EU-Institutionen für Datenverarbeitungen in ihrem Namen verantwortlich, wenn sie auf Dienstleister zurückgreifen“, erklärte der stellvertretende EU-Datenschutzbeauftragte Wojciech Wiewiórowski. „Sie sind darüber hinaus verpflichtet sicherzustellen, dass die vertraglichen Abmachungen den Regeln entsprechen.“

Die EU-Datenschutzbehörde nimmt Bezug auf die Untersuchung des niederländischen Justizministeriums im November 2018. Dabei sind beim Einsatz der Enterprise-Version von Microsoft Office in Behörden zahlreiche Verstöße gegen die DSGVO festgestellt worden. (wir berichteten)

Leitlinien zur Interpretation des Art. 6 Abs. 1 lit. b DSGVO

10. April 2019

Der Europäische Datenschutzausschuss (EDSA) hat am 09. April „Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Artikels 6 Abs. 1 b DSGVO im Kontext von Online-Dienstleistungen“ beschlossen.

Bei dieser Rechtsgrundlage stellt sich das Problem, dass insbesondere im Internet viele Dienstleister dazu übergegangen sind, umfangreich Datenverarbeitungen in Verträge mit Nutzern aufzunehmen. Diese Datenverarbeitungen (z.B. zum Zwecke der personenbezogenen Onlinewerbung) stehen zwar nicht in Verbindung mit der Hauptleistung, sind aber von Art. 6 Abs. 1 lit. b DSGVO gedeckt, weil sie objektiv zur Erfüllung des Vertrages erforderlich sind.  In dem Informationspapier begrenzt die europäische Behörde die Möglichkeit, solche Verarbeitungen auf diese Rechtsgrundlage zu stützen. Zur Beurteilung der Erforderlichkeit solle nicht mehr nur auf den Vertragstext abgestellt werden. Vielmehr müssten auch die datenschutzrechtlichen Grundsätze aus Art. 5 DSGVO berücksichtigt werden.

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit Ulrich Kleber zeigte sich zufrieden: „Die DSGVO stellt zu Recht strenge Voraussetzungen an die Zulässigkeit einer Einwilligung auf. Es kann nicht sein, dass Unternehmen, wie beispielsweise die Anbieter sozialer Netzwerke, dazu übergehen, dies zu umgehen, indem sie Datenverarbeitungen, die eigentlich nichts mit der Erbringung eines Online-Dienstes zu tun haben, in den Vertragstext mit aufnehmen. Die jetzt beschlossenen Leitlinien erschweren ein solches Vorgehen deutlich und stärken somit die datenschutzrechtliche Selbstbestimmung der Bürgerinnen und Bürger.

Facebook ändert die Nutzungsbedingungen

Kürzlich hat Facebook angekündigt, die Nutzungsbedingungen für das soziale Netzwerk nunmehr ändern zu wollen. Dies stehe nach intensiven Gesprächen mit der EU-Kommission und europäischen Verbraucherschutzbehörden fest. Dadurch soll es für den Nutzer nachvollziehbarer werden, wie das US-Unternehmen die Nutzerdaten einsetzt, um Profile über die Mitglieder zu erstellen und anschließend gezielte Werbeanzeigen zu schalten. Außerdem will Facebook darlegen, welche Dienste zusammen mit personenbezogenen Daten an Dritte verkauft werden, wie Verbraucher ihre Konten schließen können und aus welchen Gründen Nutzer ausgeschlossen werden können.

Aus den geänderten Allgemeinen Geschäftsbedingungen soll zudem hervorgehen, dass das Geschäftsmodell darauf beruht, unter Nutzung der Daten aus den Profilen der Nutzer, gezielte Werbeleistungen an Händler zu verkaufen. Falls die persönlichen Informationen missbräuchlich verwendet werden sollten, wolle der Betreiber seine Verantwortung dafür anerkennen.

Facebook soll die Nutzungsbedingungen nur noch in Ausnahmefällen einseitig abändern können und wahre dabei die Verhältnismäßigkeit sowie die Verbraucherinteressen. Die von Nutzern gelöschten Inhaltsdaten sollen nur noch gezielt etwa auf Anordnung einer Strafverfolgungsbehörde für maximal 90 Tage aufbewahrt werden. Daneben sollen die Widerrufsrechte der Nutzer konkreter gefasst werden.

EU-Justizkommissarin Vera Jourová bemerkte, dass der Betreiber „endlich ein Bekenntnis zu mehr Transparenz und klarer Sprache in den Nutzungsbedingungen“ zeige. Eine Firma, die das Vertrauen der Verbraucher nach dem Skandal mit Cambridge Analytica wiederherstellen wolle, „sollte sich nicht hinter komplizierten, juristischen Fachausdrücken darüber verstecken“, wie sie „Milliarden mit den Daten von Menschen verdient“.

Die Implementierung der Neuerungen soll bis Ende Juni 2019 erfolgen.

Kategorien: EU-Datenschutzgrundverordnung
Schlagwörter: ,

Voreingestellte Einwilligung für das Setzen von Cookies ist unzulässig

9. April 2019

Am 21.03.2019 hat der Europäische Gerichtshof die Schlussanträge des Generalanwalts in dem Verfahren des VZBV (Verbraucherzentrale Bundesverbandes) gegen den Werbedienstleister Planet49 veröffentlicht.

Unter anderem liegt dem Verfahren die Frage zugrunde, wie eine Einwilligungserklärung in das Setzen von Online-Cookies durch Webseiten gestaltet sein muss, um datenschutzrechtlich zulässig zu sein.

Der EuGH-Generalanwalt ist der Ansicht, die Praxis einer voreingestellten Einwilligung für das Setzen von Cookies verstoße gegen die bisherige ePrivacy-Richtlinie und die Datenschutzgrundverordnung. Zudem haben die jeweiligen Dienstanbieter den Nutzer klar und umfassend darüber zu informieren, wie lange die Funktionsdauer der Cookies ist und ob Dritte Zugriff auf die Cookies haben.

Klaus Müller, Vorstandsmitglied des Verbraucherzentrale Bundesverbands äußerte sich zu den Schlussanträgen wie folgt: „Cookie-Banner auf Webseiten geben Verbrauchern oft keine aussagekräftigen Informationen und keine rechtskonformen Wahlmöglichkeiten. Verbraucher werden somit online verfolgt, ohne die Hintergründe verstehen zu können und ohne eine gültige Einwilligung erteilt zu haben. Die heutige Stellungnahme des Generalanwalts bestätigt, dass dies inakzeptabel ist. Damit unterstützt der Generalanwalt auch die jahrelange Auffassung des vzbv, dass die deutsche Bundesregierung die bisherige ePrivacy-Richtlinie nicht konform in deutsches Recht umgesetzt hat. Umso drängender ist nun eine strenge Durchsetzung der Datenschutzgrundverordnung sowie die zügige Annahme einer strikten ePrivacy-Verordnung, die derzeit in Brüssel verhandelt wird. Es darf keine Verfolgung der Interessen von Verbrauchern ohne deren vorherige Einwilligung geben und diese Einwilligung muss freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich erteilt werden. Praktiken wie vorgeklickte Kästchen, Tracking Walls und die Vermutung, dass ein Benutzer eine Einwilligung durch einfaches Surfen auf einer Website erteilt, müssen beendet werden.“

Niedersachsen schlägt Änderung datenschutzrechtlicher Bestimmungen im Bundesrat vor

Die niedersächsische Landesregierung hat am 03.04.2019 den Entwurf eines Entschließungsantrages in den Bundesrat eingebracht (BR Drs 144/19). Hintergrund des Antrages ist, dass das Ziel der DSGVO, den Schutz personenbezogener Daten sicherzustellen, nicht erreicht werden kann, wenn Unternehmen, Behörden und weitere Einrichtungen, die personenbezogene Daten verarbeiten, die neuen Regelungen nicht anwenden (können). Niedersachsen gibt in seinem Antrag an, dass laut einer Studie des Verbands Bitkom nur etwa ein Viertel der deutschen Unternehmen angeben, die DSGVO vollständig umgesetzt zu haben. Eine der größten Hürden sei die hohe Rechtsunsicherheit, welche sich durch die Flut von Anfragen bei den Datenschutzbehörden abzeichne.

Insbesondere kleine und mittlere Unternehmen sowie ehrenamtliche Einrichtungen seien in ihrem Arbeitsalltag stärker durch die Anforderungen der DSGVO eingeschränkt und müssen entlastet werden. Das Land Niedersachsen schlägt deshalb vor, § 38 BDSG, also die Anforderungsschwelle zur Benennung eines Datenschutzbeauftragten, anzupassen. Der Bundesrat soll die Bundesregierung auffordern, „hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben“. Ein Vorschlag für eine neue Schwelle wird nicht gemacht. Diese Forderung könnte jedoch dem Missverständnis zu Grunde liegen, dass viele kleinere Unternehmen oder Verbände denken, dass eine Pflicht zur Benennung gleichbedeutend mit der Pflicht zur Einhaltung des Datenschutzrechts an sich ist. Sollte die Schwelle angehoben werden, besteht eventuell die Gefahr, dass kleinere Einheiten davon ausgehen, dass, wenn sie keinen Datenschutzbeauftragten benennen müssen, auch die übrigen Anforderungen der DSGVO für sie nicht verpflichtend sind.

Zudem schlägt die Landesregierung vor, die Meldefrist für Datenpannen nach Art. 33 Abs. 1 DSGVO auf ihre Angemessenheit zu prüfen. „Der Bundesrat bittet die Bundesregierung daher, zu evaluieren, ob diese Frist tatsächlich angemessen ist. Sofern die Frist sich in der Praxis als unangemessen kurz erweisen sollte, bittet der Bundesrat die Bundesregierung auf eine Verlängerung der Frist hinzuwirken“.

Außerdem verlangt die niedersächsische Landesregierung, insbesondere für KMUs gesetzlich auszuschließen, dass Datenschutzverstöße wettbewerbsrechtlich abgemahnt werden können. Die Geltendmachung von Datenschutzverstößen durch zugelassene Verbraucherschutzvereinigungen nach dem Unterlassungsklagegesetz soll laut des Antrags jedoch davon unberührt bleiben.

Schließlich möchte Niedersachsen eine Ausnahmeregelung bzw. Erleichterung für die vorübergehende Datennutzung zu Erprobungs- und Testzwecken erwirken. „Der Bundesrat bittet die Bundesregierung vor diesem Hintergrund zu prüfen, ob und wie Ausnahmen bzw. Erleichterungen für die Verarbeitung personenbezogener Daten für Erprobungs- und Testzwecke in die datenschutzrechtlichen Bestimmungen implementiert werden können und dies entsprechend umzusetzen.“

Wie verträgt sich die Blockchain mit dem Datenschutz?

8. April 2019

Bei Blockchain liegen Daten nicht auf einem zentralen Server, sondern sind dezentral auf Rechnern gespeichert, die sich zu diesem Zweck zu einem Netzwerk zusammengeschlossen haben. Veränderungen an den Daten bzw. Transaktionen müssen von den Rechnern bestätigt werden. Dieses Verfahren sichert die abgelegten Daten besonders gut gegen Manipulationen ab. Damit hat die Blockchain vielfältige Anwendungsmöglichkeiten.

Die Transparenz ist das Kernelement der Blockchain-Technologie. Daraus ergibt sich, dass „sicher“ in Bezug auf den Manipulationsschutz nicht gleichzeitig „sicher“ hinsichtlich des Datenschutzes bedeutet. Denn alle Teilnehmer innerhalb eines Netzwerks haben die Möglichkeit, die in der Blockchain gespeicherten Daten abzurufen. Allerdings ist diese absolute Transparenz nicht immer gewünscht. Kein Unternehmen will Zugang zu sensiblen Daten gewähren.

Mit Blick auf die DSGVO hat Art. 6 DSGVO eine besondere Blockchain-Relevanz, da bei öffentlichen Chains die gesamten Daten öffentlich zugänglich sind. Folglich bedarf der Schutz einer besonderen Beachtung. Das Recht auf Datenaktualisierung in Art. 16 DSGVO beschreibt die Möglichkeit, Daten zu aktualisieren. Es muss möglich sein, einen alten Datensatz durch einen neuen zu ersetzen. Dies könnte auch die Löschung der alten Daten bedeuten. Das wirft Schwierigkeiten innerhalb der Blockchain auf, was besonders im Hinblick auf Art. 17 DSGVO deutlich wird. Art. 17 DSGVO beschreibt das Recht auf Vergessenwerden. Es wird gerne herangezogen, um die Unmöglichkeit einer DSGVO-konformen Blockchain-Anwendung zu belegen; schließlich ist die Manipulationssicherheit der Daten eines der Hauptargumente für Blockchain-Techniken. Jedoch gibt es einige Lösungsmöglichkeiten dieser Problematik wie zum Beispiel die Hash-Funktion, wonach keine personenbezogenen Daten direkt auf der Blockchain gespeichert werden. Durch diese Konstruktion lässt sich die Korrektheit der Daten beweisen, ohne dass Dritte ungewünscht Zugang erhalten.

In heutigen Zeiten, in denen Daten immer stärker zum zentralen Bestandteil von Innovationen werden, stellt die DSGVO einen fundamental wichtigen Rahmen dar, wodurch verdeutlicht wird, dass nicht jede Art von Innovation auch wünschenswert ist. Innovation darf somit nicht ausschließlich dem Wunsch nach Wirtschaftswachstum unterliegen, sondern muss gleichzeitig auch nachhaltig sein und die Grundsätze unserer Demokratie respektieren. Somit bildet die DSGVO ein wichtiges Gegengewicht zur Datenökonomie. Datenwirtschaft und Datenschutz schließen sich nicht aus, sondern sind viel eher komplementär zueinander. Daher ist anzuraten die Technologien so zu gestalten, dass sie nicht nur wirtschaftlich, sondern auch gesellschaftlich sinnvoll sind.

Speicherung von Bodycam-Daten in Cloud

Polizeiaufnahmen mit Hilfe von Bodycams werden teilweise in einer Amazon-Cloud gespeichert. Über die Rechtswidrigkeit dieser Verfahrensweise sind das Bundesinnenministerium und der Bundesdatenschutzbeauftragte geteilter Meinung.

Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert die Speicherung von Bodycam-Daten von Polizeieinsätzen in der Amazon-Cloud. Nunmehr hat das Bundesinnenministerium dazu Stellung bezogen.

Laut Kelber sei es rechtswidrig, die Bildaufnahmen der Bundespolizei auf Servern des amerikanischen Konzerns Amazon zu speichern. Vielmehr habe die Speicherung solch sensibler Daten bei einem deutschen Cloud-Anbieter zu erfolgen. „Wir haben bereits 2018 der Bundespolizei und dem Bundesinnenministerium mitgeteilt, dass wir die Speicherung der Bodycam-Daten in der Amazon-Cloud für rechtswidrig halten“, sagte Kelber. Ein Zugriff von amerikanischen Behörden auf die Daten könne nicht ausgeschlossen werden.

Indes teilt das Bundesinnenministerium diese Meinung nicht. Grund für den Einsatz solcher Bodycams sei es einerseits, mögliche Angreifer abzuschrecken sowie andererseits, Straftäter im Nachhinein besser identifizieren zu können. Die derzeitige Lösung gelte nur übergangsweise bis bundeseigene und für diesen Zweck geeignete Clouds zur Verfügung stünden, sagte der Sprecher des Bundespolizeipräsidiums, Gero von Vegesack. Die gefundene Lösung mit der  Amazon-Cloud sei im Vorfeld über mehrere Monate gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft worden. Laut einer Sprecherin des Bundesinnenministeriums entspreche die Speicherung der Daten bei Amazon deutschen Datenschutz-Standards, da man die Daten „auf deutschen Servern in Deutschland nach deutschem Recht“ speichere. Trotzdem werde derzeit geprüft, „ob es noch andere Möglichkeiten gibt“, etwa eine Speicherung auf der Bundescloud.

1 2 3 4 21