Schlagwort: DSGVO

Datenschtzbehörden kritisieren Facebook erneut

2. Mai 2018

Die Konferenz der unabängigen Datenschutzbehörden des Bundes und der Länder kritisiert das soziale Netzwerk Facebook erneut scharf. So wurde der aktuell diskutierte Datenskandal lediglich als „Spitze des Eisbergs“ bezeichnet.
In einer jüngst veröffentlichten Entschließung fordern die Aufsichtsbehörden den kalifornischen Konzern daher auf, „den wahren Umgang der Öffnung der Plattform für App-Anbieter in den Jahren bis 2015“ offenzulegen und „belastbare Zahlen der eingestellten Apps sowie der von dem Facebook-Login-System betroffenen Personen“ zu nennen. Darüber hinaus sollten Betroffene über Rechtsverletzungen informiert werden. Dies sei erforderlich, damit die erheblichen Vorwürfe hinsichtlich mangelndem Datenschutz nicht folgenlos bleiben. So betonte die Bundesdatenschutzbeauftragte Andrea Voßhoff, dass die Vorwürfe „vermutlich nur ein kleines Puzzlestück des datenschutzrechlich problematischen Geschäftsmodells von enstprechenden Unternehmen sind.“

Die Datenschützer gehen davon aus, dass die Zahl der Online-Anwendungen, die allein das Login-System nutze, in die Zehntausende gehe. Es sei nicht auszuschließen, dass „dem Grunde nach alle Facebook-Nutzer betroffen“ sein könnten.
Besonders kritisch betrachtet wird das Vorgehen des Konzerns hinsichtlich der Implementierung einer Gesichtserkennung. Durch diese Funktion kann Facebook erkannte Nutzer automatisch in Fotos markieren. Die Konferenz habe „erheblichen Zweifel“ daran, ob das eingeführte Einwilligungsverfahren des Netzwerks „mit den gesetzlichen Vorgaben vereinbar ist“. „Eine unzulässige Beeinflussung des Nutzers“ steht im Raum.

Im Rahmen der Konferenz appelierten die Teilnehmer an die sozialen Netzwerkbetreiber, ihre Geschäftsmodelle an das Schutzniveau der DSGVO anzupassen und so „ihrer gesellschaftlichen Verantwortung nachzukommen.“

Mehr Personal für besseren Datenschutz erforderlich

11. April 2018

Nach Einschätzung der Landesdatenschutzbeauftragten können Datenschutzverstöße mangels Personal nicht ausreichend geahndet werden. Allen 16 Behörden mangelt es an genügend Personal um der Einhaltung des Datenschutzes gerecht zu werden. Laut einer Umfrage der Zeitung „Tagesspiegel“ fehlen bundesweit dafür fast 100 Beschäftigte. «Ich bezweifle stark, dass wir mit der jetzigen Ausstattung die Instrumente der DSGVO vernünftig nutzen können», sagt Marit Hansen, Landesdatenschutzbeauftragte in Schleswig-Holstein.

Es besteht die Gefahr, dass die am 25. Mai 2018 in Kraft tretenden neuen Datenschutzvorschriften nicht hinreichend durchgesetzt werden können. Das massive Stellendefizit erschwert die Ahndung von Datenschutzverstößen. Es besteht auch keine Bereitschaft in der Politik dies auszugleichen. Auch Bundesdatenschutzbeauftragte Andrea Voßhoff hat bereits auf die Belastung der Aufsichtsbehörden aufmerksam gemacht.

Mit Einführung der europäischen Datenschutzgrundverordnung werden hohe Auflagen hinsichtlich Bußgeldern eingeführt. Zur Verhängung dieser Bußgelder ist jedoch ein funktionsfähiger Aufsichtsapparat notwendig.

Facebook überarbeitet seine Datenschutztools

28. März 2018

Aufgrund der anhaltenden Kritik im Zuge des Datenskandals hat Facebook nun seine Prviatsphäre-Tools überarbeitet. Ziel sei es, den Nutzern mehr Kontrolle über Ihre Daten zu ermöglichen. Um dies zu erreichen wuden die Einstellungen zur Prviatsphäre otpisch derart angepasst, dass der Zugang vereinfacht wurde und einzelne Einstellungsmöglichkeiten leichter auffindbar sind. Dadurch soll es den Nutzern möglich sein, transparenter zu erkennen, welche Informationen durch Facebook geteilt werden. Um eine solche erhöhte Transparenz zu ermöglichen, sollen die Mitglieder des Social-Media-Netzwerks in leicht verständlicher Sprache darüber informiert werden, wie personenbezogene Daten gesammelt und sodann verarbeitet werden. Hierzu wurde eine zeitnahe Aktualisierung der Datenrichtlinien angekündigt. In diesem Zusammenhang teilt Facebook mit, dass es nicht darum ginge „neue Berechtigungen zum Sammeln, Nutzen oder Teilen von Daten zu erlangen.“ Vielmehr ginge es um eine offengelegte Verarbeitung der Daten. Hierzu arbeitet das Unternehmen mit Aufsichtsbehöden und Datenschutz-Experten zusammen.

Die angekündigten Maßnahmen stehen dabei im Lichte der Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mai diesen Jahres Anwendung findet. Die Verordnung sieht unter anderem vor, dass Betroffene transparent darüber informiert werden, wie und durch wen ihre personenbezogenen Daten verarbeitet werden. Um den erhöhten Pflichten der DSGVO nachzukommen, arbeite Facebook bereits „seit geraumer Zeit“ an der Anpassung der Prozesse.

Deutsche Werbeindustrie: Großer Umsetzungsbedarf bei der Datenschutz-Grundverordnung

19. Februar 2018

Eine repräsentative Umfrage unter rund 700 Unternehmen der Informationswirtschaft ab 5 Beschäftigte ergab, dass mehr als die Hälfte der deutschen Werbeunternehmen (55,9%) sich noch keine Gedanken um die Datenschutzgrundverordnung (DSGVO), die am 25.5.2018 in Kraft tritt, gemacht haben. Dies meldete das Zentrum für europäische Wirtschaftsforschung (ZEW).

Demnach besteht ein großer Nachholbedarf bei der Umsetzung der neuen Anforderungen der DSGVO, da Werbeunternehmen ein sehr wichtiger Adressat dieser Verordnung sind.

Nur wenn alle Unternehmen die neuen Anpassungen umsetzen, kann der Schutz von personenbezogenen Daten innerhalb der EU und die Ermöglichung eines freien Datenverkehrs innerhalb des EU-Binnenmarkts gewährleistet werden.

Der Anteil der Unternehmen der Informationswirtschaft, die im Dezember 2017 eine vollständige Umsetzung der DSGVO verzeichnen konnten, belief sich auf 5 %.

70% der Unternehmen haben entweder noch gar nicht (42,9%) damit beschäftigt die Vorgaben in die Praxis umzusetzen oder gerade erst damit begonnen (25,6%).

Die Zuversicht der Unternehmen bis Ende Mai 2018 die Anpassungen erfolgreich umsetzen zu können, verwundert Dr. Jörg Ohnemus, stellvertretender Leiter des ZEW Forschungsbereichs „Digitale Ökonomie“.

Um hohe Bußgelder zu vermeiden, sollten Unternehmen sich so schnell wie möglich an die neuen Anforderungen der DSGVO anpassen.

Datenschutz geht deutschen Unternehmen auf die Nerven

13. Februar 2018

Mittlerweile sollte zumindest unseren regelmäßigen Lesern bekannt sein, dass am 25. Mai 2018 umfangreiche neue Datenschutzvorschriften in Form der europäischen Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG-neu) in Kraft treten werden.
Und wenn Sie diese wiederholte Erinnerung jetzt als nervig empfinden, dann sind Sie damit nicht alleine!

Denn laut einer aktuellen repräsentativen Umfrage des Zentrums für Europäische Wirtschaftsforschung (ZEW) sind besonders deutsche Unternehmen genervt vom Datenschutz und fürchten Nachteile durch die bevorstehenden rechtlichen Neuerungen. So geht die Mehrheit der Befragten davon aus, dass die rechtskonforme Umsetzung die Geschäftsprozesse insgesamt verkomplizieren wird. Darüber hinaus wird die EU-DSGVO von deutschen Unternehmen überwiegend als zusätzliche Kosten- und Arbeitsbelastung empfunden.
Außerdem sehen europäische Unternehmen in den, im direkten Vergleich mit den USA und China, deutlich strengeren Regelungen zum Datenschutz teilweise einen deutlichen Wettbewerbsnachteil.

Doch zwingend ist diese Schlussfolgerung keineswegs. Denn gleichzeitig achten Verbraucher aber auch Unternehmen immer verstärkter auf den Schutz ihrer eigenen Daten. Und so können deutsche Unternehmen den vermeintlichen Nachteil auch ins Gegenteil verkehren und die vergleichsweise strengen Regelungen zum Datenschutz als Wettbewerbsvorteil gegenüber der außereuropäischen Konkurrenz betrachten. So auch Irene Bertschek, Leiterin des Forschungsbereichs „Digitale Ökonomie“ am ZEW.

Weiteres interessantes Ergebnis der ZEW-Studie: Obwohl bei Nichteinhaltung der (neuen) datenschutzrechtlichen Vorgaben zum 25. Mai 2018 signifikant höhere Bußgelder drohen als bisher, hat sich mehr als die Hälfte der befragten Unternehmen der Informationswirtschaft nach eigenen Angaben noch gar nicht mit den Änderungen durch EU-DSGVO und BDSG-neu beschäftigt. Die ZEW-Umfrage bestätigt damit weitgehend die Ergebnisse von in diesem Zusammenhang durchgeführten Studien des IT-Branchenverbands „Bitkom“ und des Cybersecurity-Anbieters „Watchguard“.

Sind umfassende DSGVO-Informationspflichten auf Videoüberwachung anzuwenden?

1. Februar 2018

Die ab Mai 2018 anzuwendende Datenschutz-Grundverordnung (DSGVO) legt größten Wert auf die Transparenz im Zusammenhang mit der Verarbeitung personenbezogener Daten. So sollen zum Zeitpunkt der Erhebung verpflichtend eine Reihe an Angaben gemacht werden, welche die betroffenen Personen über die Datenverarbeitung und deren Zwecke in Kenntnis setzen.
Art. 13 DSGVO verlangt dabei mindestens die folgenden (sage und schreibe) 12 Aussagen:

  • Name und Kontaktdaten des Datenverarbeiters
  • Kontaktdaten des Datenschutzbeauftragten des Datenverarbeiters
  • Zweck(e) der Verarbeitung
  • Die „berechtigten Interessen“ im Sinne der DSGVO, sofern sich hierauf seitens des Datenverarbeiters berufen wird
  • Die Empfänger der erhobenen Daten (z.B. Auftragsverarbeiter der erhebenden Stelle)
  • Die Absicht, die Daten in einen Staat außerhalb der EU zu übermitteln, sofern diese besteht
  • Die Dauer der Speicherung, im Umkehrschluss auch den regelmäßigen Löschzeitpunkt
  • Eine Belehrung der betroffenen Person über ihre Rechte (Auskunft, Löschung etc.)
  • Die Widerruflichkeit einer Einwilligung, sofern die Verarbeitung auf einer solchen basiert
  • Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Ggf. bestehende gesetzliche Vorschriften zur Bereitstellung der erhobenen Daten
  • Ggf. Informationen zum Bestehen einer „automatisierten Einzelentscheidung“ im Kontext der jew. Verarbeitung

Angesichts der Fülle an bereitzustellenden Informationen stellt sich die Frage, wie dies im Anwendungsfall der Videoüberwachung umgesetzt werden kann. Aktuell muss davon ausgegangen werden, dass Videokameras mit entsprechenden Aushängen zu versehen sind.
Kürzlich hat sich die sogenannte „Datenschutzkonferenz“, ein Gremium der 16 Landesdatenschutz-Aufsichtsbehörden und des Pendants auf Bundesebene, in Form eines Informationspapiers („Videoüberwachung nach der Datenschutz-Grundverordnung“) zu dieser Thematik geäußert. Auf dieser Grundlage kann im Kontext des Sonderfalls Videoüberwachung künftig von folgenden Pflichtangaben ausgegangen werden, die sich gegenüber dem Gesetzeswortlaut leicht reduziert darstellen:

  • Kenntlichungmachung des Umstands der Beobachtung (bspw. durch ein Kamera-Piktogramm)
  • Identität des Überwachenden
  • Kontaktdaten des Datenschutzbeauftragten der überwachenden Stelle
  • Zwecke und Rechtsgrundlage der Verarbeitung/Überwachung
  • Die „berechtigten Interessen“ im Sinne der DSGVO, sofern einschlägig
  • Dauer der Speicherung (Löschzeitpunkt)
  • Hinweis auf den Zugang zu den weiteren Pflichtinformationen

Folglich ist es möglich, auf Teile der verlangten Pflichtinformationen an Ort und Stelle zu verzichten und auf diese z.B. mithilfe eines Links auf eine Website (oder zusätzlich auch durch einen QR-Code) zu verweisen.

Spätestens seit der Stellungnahme der Aufsichtsbehörden aber ist klar, dass es für die Datenerhebung mithilfe von Videokameras keine Ausnahme hinsichtlich der umfangreichen Informationspflichten geben wird.

Adresshandel: Folgen unwirksamer Einwilligung für vertragliche Ansprüche

30. Januar 2018

Am 24.01.2018 erging vor dem OLG Frankfurt am Main ein Urteil, das deutlich macht, wie weitreichend die Folgen einer Missachtung datenschutzrechtlicher Vorgaben auch für die vertraglichen Ansprüche zwischen zwei Vertragsparteien vermeintlich fernab des Datenschutzes sein können.

Im vorliegenden Fall hatte ein Unternehmen eine Vielzahl von Adressdaten für einen Kaufpreis i.H.v. 15.000 Euro erworben. Dieselben Adressen wurden von der Verkäuferin jedoch ebenfalls an eine weitere Firma verkauft. Diese nutzte die Daten wiederum, um Werbe-E-Mails für die Internetseite sexpage.de zu versenden.
Die erstgenannte Käuferin (Klägerin) nahm daraufhin die Verkäuferin der Adressen (Beklagte) auf teilweise Rückzahlung des Kaufpreises in Anspruch, weil die erworbenen Adresse durch die erfolgte Nutzung für die Internetseite sexpage.de 2/3 ihres Wertes verloren hätten.

Anstatt sich mit der juristischen Bewertung der kaufrechtlichen Fragestellungen zu beschäftigen, prüfte das OLG Frankfurt zunächst die Einhaltung datenschutzrechtlicher Vorgaben und kam zu einem Ergebnis, welches Klägerin und Beklagte gleichermaßen überrascht haben dürfte. Das Gericht stellte fest, dass die der Weitergabe der Adressdaten zugrundeliegende(n) Einwilligung(en) der Adressinhaber unwirksam war(en) – mit weitreichenden Folgen.
Da es sich im vorliegenden Fall nicht um zusammengefasste Daten von Angehörigen einer bestimmten Personengruppe handelte und damit das sog. Listenprivileg (§ 28 Abs. 3 S. 2 BDSG) die Zulässigkeit der Verarbeitung nicht rechtfertigen konnte, war die Verarbeitung bzw. Nutzung der personenbezogenen Daten für Zwecke des Adresshandels oder der Werbung nur zulässig, soweit die Betroffenen eingewilligt hatten (§ 28 Abs. 3 S. 1 BDSG).
Eine wirksame Einwilligung nach dem BDSG muss zunächst auf der freien Entscheidung des Betroffenen beruhen. Gleichzeitig muss der Betroffene u.a. auf den vorgesehenen Zweck der Verarbeitung und die etwaigen Folgen der Verweigerung der Einwilligung hingewiesen werden. Soll die Einwilligung zusammen mit anderen Erklärungen abgegeben werden, so ist diese besonders hervorzuheben.
Im vorliegenden Fall genügten die ursprünglich eingeholten Einwilligungen diesen Anforderungen nicht. Insbesondere wurden weder die betroffenen Daten noch die Kategorien etwaiger Datenempfänger oder der Nutzungszweck „Adresshandel“ konkret genug bezeichnet.

Als Ergebnis dieses Verstoßes gegen das BDSG stellte das Gericht die Nichtigkeit des zwischen der Klägerin und der Beklagten geschlossenen Kaufvertrages über die Adressdaten fest. In der Regel begründet im Falle eines nichtigen Kaufvertrages ein bereits gezahlter Kaufpreis eine ungerechtfertigte Bereicherung des Verkäufers, die nach § 812 Abs. 1 S. 1 BGB grundsätzlich durch Rückzahlung des Kaufpreises auszugleichen ist. Da im vorliegenden Fall jedoch Verkäufer und Käufer vorsätzlich gegen die Vorschriften des BDSG verstoßen haben, ist eine Rückabwicklung gemäß § 817 S. 2 BGB ausgeschlossen. Dementsprechend hat das OLG Frankfurt am Main die Klage als unbegründet abgewiesen.

Fazit: Neben der möglichen Verhängung empfindlicher Bußgelder bei der rechtswidrigen Verarbeitung personenbezogener Daten, können Verstöße gegen das BDSG auch weitreichende Folgen für zivilrechtliche Ansprüche im Rahmen der kommerziellen Verwendung dieser Daten haben.
Vor diesem Hintergrund sind Unternehmen gut beraten, die von ihnen genutzten Einwilligungserklärungen eingehend zu überprüfen. Dies gilt umso mehr mit Blick auf das Inkrafttreten der EU-Datenschutzgrundverordnung (EU-DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu).

 

Kopplungsverbot unter DSGVO – Ein „Killer“ vieler Einwilligungen?

12. Dezember 2017

Das sogenannte Kopplungsverbot für datenschutzrechtliche Einwilligungen von Betroffenen ist grundsätzlich keine Neuheit der Datenschutz-Grundverordnung (DSGVO). Auch nach dem bisherigen Recht des Bundesdatenschutzgesetzes war Voraussetzung für eine wirksame Einwilligung, dass diese freiwillig erteilt und der Zugang zu einer Leistung somit nicht an eine solche Einwilligung gebunden wird.

Das Kopplungsverbot stellt sich jedoch nicht als ein allzu scharfes Schwert dar. Immer wieder gibt es im Internet Angebote, die auf den ersten Blick zwar kostenlos sind, sich aber über die Verarbeitung von Daten und die Platzierung von Werbung refinanzieren. Beispielsweise sind Online-Gewinnspiele, für deren Teilnahme der Nutzer in den Erhalt eines Newsletters einzuwilligen hat, keine Seltenheit. Streng genommen läge hier schon eine Kopplung vor. Das angesprochene Verbot präsentiert sich an dieser Stelle offen für Situationen, in denen der Nutzer sich über die „Bezahlung mit seinen Daten“ im Klaren und mit diesen Bedingungen schlicht einverstanden ist.

Womöglich wird durch die ab Mai 2018 anzuwendende DSGVO hier eine spürbare Verschärfung eintreten. Maßgeblich ist Art. 7 Abs. 4 mit dem dazugehörigen Erwägungsgrund 43 zur DSGVO. Insbesondere der Erwägungsgrund fordert der beispielhaften Gewinnspiel-Situation eine getrennte (und eben nicht gekoppelte) Erteilung von Einwilligungen des Nutzers ab. Genauer gesagt müsste sich der User bedingungslos zu einem Gewinnspiel anmelden dürfen und könnte erst im Nachgang gefragt werden, ob er zusätzlich dem Erhalt von Werbung in Form eines Newsletters zustimmen möchte. Dies hätte natürlich eine drastisch niedrigere Quote von Newsletter-Teilnehmern zur Folge.

Stellt sich die Anwendung der DSGVO an dieser Stelle in der gelebten Praxis so streng heraus, wie es der Wortlaut der gesetzlichen Grundlage verspricht, entspricht dies einer deutlichen Verschärfung gegenüber der bisherigen Rechtslage. Viele etablierte Prozesse werden dann zu überdenken sein.

Datenverarbeitung für Werbung nach der Datenschutzgrundverordnung

24. August 2017

Die Datenschutz-Grundverordnung (DSGVO) bringt an vielen Stellen beachtenswerte Änderungen mit sich. Dazu gehört auch die Frage, was im Bereich des Marketings und im Umgang mit personenbezogenen Daten zum Zwecke der Werbung zu beachten ist. Zu dieser Thematik ist auf den Seiten der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zuletzt ein Kurzpapier der „Datenschutzkonferenz“ mit diesbezüglichen Einschätzungen veröffentlich worden. Dreh- und Angelpunkt der neuen Rechtslage in Sachen Werbung ist die Tatsache, dass mit der DSGVO jegliche Detailregelungen dieses Bereichs entfallen. In Form des
§ 28 Abs. 3 BDSG hat es bislang noch spezifische Vorgaben für den Umgang mit Daten zum Zweck der werblichen Ansprache gegeben.

Die sicherste Grundlage einer Datenverarbeitung für Werbemaßnahmen ist und bleibt die Einwilligung der betroffenen Person. Wo eine solche aber nicht eingeholt werden kann oder dies aus praktischen Gründen nicht sinnvoll ist, wird künftig auf einen allgemeinen Erlaubnistatbestand der DSGVO zurückgegriffen werden müssen. Daher wird die Zulässigkeit der Werbung an einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO zu messen sein. Demnach gilt es für die Frage der Zulässigkeit der Maßnahme die Interessen des Werbetreibenden und der betroffenen Personen im Einzelfall zu gewichten.
Der Erwägungsgrund 47 zur DSGVO trägt für diese Abwägung auf, die „vernünftigen Erwartungen der betroffenen Person zu berücksichtigen, die auf ihrer Beziehung zu dem Verantwortlichen (Werbetreibenden) beruhen“.

Aus Sicht werbetreibender Unternehmen müssen im Zuge entsprechender Vorhaben die Informationspflichten aus den Artikeln 13 u. 14 DSGVO berücksichtigt werden. Der Verantwortliche muss transparent und umfassend über die vorgesehene Werbemaßnahme informieren.

Durch die neue Rechenschaftspflicht der DSGVO (Art. 5 Abs. 2) kommen die Werbetreibenden in die Situation, die Rechtmäßigkeit von Datenverarbeitungen künftig beweisen können zu müssen. Daher wird es sich nicht umgehen lassen, getroffene Interessenabwägungen gründlich zu dokumentieren und auf Anfrage der Aufsichtsbehörde vorlegen zu können. Diese Aufgabe wird regelmäßig durch die Datenschutzbeauftragten der Unternehmen ausgefüllt werden.

Themenreihe DSGVO: Die Einwilligung und der Widerspruch nach der DSGVO

14. Juni 2017

Auch nach Inkrafttreten der EU-Datenschutzgrundverordnung (kurz DSGVO) am 28.05.2018 bleibt es bei dem datenschutzrechtlichen Grundsatz des Verbots mit Erlaubnisvorbehalt. Der Grundsatz hat zur Folge, dass eine Verarbeitung personenbezogener Daten grundsätzlich verboten ist, wenn kein Erlaubnistatbestand vorliegt, der die Verarbeitung legitimiert. Als die zentrale Legitimation für die Verarbeitung personenbezogener Daten ist auch im Rahmen der DSGVO die Einwilligung des von der Verarbeitung Betroffenen anzusehen.

I. Einwilligung nach Art. 7 DSGVO

Sofern keiner der gesetzlich definierten Fälle einer entbehrlichen Einwilligung gegeben ist (Art. 6 DSGVO), ist die Einwilligung damit das „Maß der Rechtmäßigkeit“ einer Datenverarbeitung. Die Verarbeitung ist nur rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

Eine Einwilligung im Sinne der DSGVO ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Die Einzelheiten ergeben sich aus Art. 7 DSGVO, auf die nachfolgend eingegangen wird.

1. Freiwilligkeit der Einwilligung

Eine Einwilligung soll auf der freien Entscheidung des Betroffenen beruhen. Sie muss freiwillig erfolgen, d.h. der Betroffene muss in der Lage sein, eine echte Wahl zu treffen hinsichtlich des Ob, Wieviel und Wem er die Nutzung seiner Daten gestattet. Keine Einwilligung liegt insbesondere vor, wenn der Betroffene in eine Situation gebracht wird, in der er aus Zeitmangel oder anderen Gründen davon abgehalten wird, die zu erklärende Einwilligung ernsthaft zu bedenken oder mit einer Person seines Vertrauens zu besprechen. Eine solche Überrumpelungslage wird in der Regel gezielt herbeigeführt (z.B. das Versprechen übermäßiger Anreize etwa bei der Teilnahme an Gewinnspielen gegen die Preisgabe von Daten) oder ausgenutzt (z.B. wenn der Betroffene „eigentlich nur noch nach Hause will“).

An der Freiwilligkeit der Einwilligung fehlt es auch, wenn sie mit einer anderen Leistung gekoppelt wird, obwohl die Datennutzung für die Nutzung der Leistung nicht zwingend erforderlich ist. Wird so z.B. für einen Vertrag über eine Dienstleistung eine Einwilligung abverlangt, die für die Erfüllung des Vertrages nicht erforderlich ist, ist die Einwilligung im Zweifel nicht freiwillig. Solche Kopplungsmodelle sind heutzutage häufig bei Online-Dienstleistungen anzutreffen, die ungeachtet des auch jetzt schon geltenden Verbots, ihr Geschäftsmodell auf dem Prinzip „Dienstleistung gegen Daten“ aufgebaut haben und die Daten des Nutzers im Wege gezielter Werbeangebote oder der Weitergabe der Daten zu Geld machen. Die Einwilligung ist auch in solchen Fällen nur dann freiwillig, wenn dem Betroffenen eine echte Wahlmöglichkeit eröffnet wird.

Ferner ist die Freiwilligkeit der Einwilligung auch dann zu verneinen, wenn dem Betroffenen für den Fall der Verweigerung der Einwilligung Nachteile angekündigt werden. Dies gilt nur dann nicht, wenn der Nachteil logische Folge der Verweigerung ist. Wer z.B. eine Leistung in Anspruch nehmen möchte, wird die mit der Erfüllung der Leistung verbundenen Informationen, wie Kontakt- und Abrechnungsdaten, preisgeben müssen.

2. Bestimmtheit der Einwilligung

Die Einwilligung in die Verarbeitung personenbezogener Daten darf nicht pauschal erfolgen. Allgemeine Formulierungen oder Blanko-Einwilligungen genügen nicht den gesetzlichen Voraussetzungen des Art. 7 DSGVO. Die Einwilligung muss daher erkennen lassen, welche personenbezogenen Daten zu welchem Zweck von wem verarbeitet werden sollen. Hierbei gilt, dass der Zweck der Datennutzung umso genauer umschrieben werden muss, je weitreichender die Datennutzung ausfällt.

3. Information des Betroffenen

Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden. Dabei müssen alle weiteren für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein, der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden. Der Betroffene muss außerdem in der Lage sein, die Informationen leicht zu erkennen und auch als Einwilligung zu identifizieren. Folgende Fragen muss sich der Betroffene nach Lektüre der Einwilligungserklärung beantworten können:

  • Wer (genau) soll die Daten nutzen dürfen?
  • Welche Daten soll er nutzen dürfen?
  • Zu welchem Zweck soll er diese Daten nutzen dürfen?
  • Darf er diese Daten weitergeben und wenn ja, an wen genau?
  • Wie lange darf diese Nutzung andauern?

4. Unmissverständlich abgegeben

Die Einwilligungserklärung muss ferner „unmissverständlich abgegeben“ worden sein. Dies kann zum einen in der Form einer abgegebenen Erklärung geschehen, die sowohl schriftlich als auch mündlich erfolgen kann. Zum anderen kann eine „unmissverständlich“ abgegebene Einwilligung aber auch in einer bestätigenden Handlung bestehen, mithin konkludent durch schlüssiges Handeln erteilt werden. Damit sind insbesondere die Fälle gemeint, in denen der Betroffene mit einem Mausklick „Ich bin einverstanden“ seine Einwilligung erklärt. Zu beachten ist dabei, dass das Kästchen zum ankreuzen nicht vorangekreuzt sein darf, damit der Betroffene aktiv handeln muss.

5. Einwilligung Minderjähriger

Bei Geschäftsfähigkeit des Betroffenen stellt die Rechtmäßigkeit der Einwilligung kein Problem dar. Die DSGVO geht in Art. 8 DSGVO grundsätzlich auch davon aus, dass eine Einwilligung „im Kindesalter gegeben“ werden kann. Aus diesem Grund sollen in diesen Fällen die der Einwilligung vorausgehenden Hinweise in einer klaren und einfachen Sprache erfolgen, sodass ein Kind sie verstehen kann. In der Praxis ist allerdings in den meisten Fällen festzustellen, dass gerade Klauseln im Internet oftmals unverständlich geschrieben sind und das Verständnis selbst bei volljährigen Personen schwer fallen dürfte.

Die im deutschen Recht an verschiedenen Stellen normierte Unterscheidung zwischen Kindern und Jugendlichen findet sich in der DSGVO nicht. Art. 8 Abs. 1 DSGVO sieht bei der Einwilligungsfähigkeit in Bezug auf Dienste der Informationsgesellschaft eine Regelgrenze von 16 Jahren vor. Dies hat zur Folge, dass insbesondere die Nutzung von Social-Media-Diensten wie Facebook nunmehr erst ab 16 Jahren rechtmäßig ist, zumindest soweit keine Zustimmung des gesetzlichen Vertreters vorliegt. Damit hat Facebook die Altersgrenze von 13 auf 16 Jahre hochzusetzen.

II. Widerspruchsrecht nach Art. 21 DSGVO

Nach Art. 21 DSGVO kann der Betroffene der Verarbeitung seiner personenbezogenen Daten widersprechen. Das Widerspruchsrecht nach Art. 21 DSGVO richtet sich gegen die Datenverarbeitung, die rechtmäßig erfolgt, ist unter Anderem also auch dann einschlägig, wenn der Betroffene vorher in die Datenverarbeitung eingewilligt hat.

Werden die Daten von vornherein rechtswidrig verarbeitet, steht dem Betroffenen das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO zur Verfügung.

Das Widerspruchsrecht ist so ausgestaltet, dass sich der Betroffene selbst an die verantwortliche Stelle wenden und der Datenverarbeitung aktiv widersprechen muss. Damit der Betroffene von seinem ihm jederzeit zustehenden Widerspruchsrecht weiß, besteht für die verantwortliche Stelle nach Art. 21 Abs. 4 DSGVO die Pflicht, den Betroffenen auf das Widerspruchsrecht hinzuweisen.

Ausnahmsweise besteht das Widerspruchsrecht nicht, wenn ein zwingendes öffentliches Interesse an der Datenverarbeitung besteht, das die Interessen der betroffenen Person überwiegt oder wenn eine Rechtsvorschrift die verantwortliche Stelle zur Verarbeitung verpflichtet.

Widerspruchsrecht gegen Direktwerbung (Art. 21 Abs. 2, 3 DSGVO)

Besonders privilegiert ist das Widerspruchsrecht des Betroffenen gegen Direktwerbung. Zwar stuft die DSGVO die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als einen denkbaren Unterfall einer dem berechtigten Interesse der verantwortlichen Stelle im Sinne des Art. 6 Abs. 1 dienenden Verarbeitung ein, dieses Interesse ist durch die Normierung des Art. 21 Abs. 2 DSGVO allerdings stets nur schwächer geschützt als die Persönlichkeitsrechte des Betroffenen.

Unter Direktwerbung ist die unmittelbare Ansprache eines Nachfragers, z.B. durch Prospekte, Kataloge, Warenproben, automatische Anrufsysteme, E-Mails oder SMS, durch einen Anbieter mit dem Ziel, den entgeltlichen Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern, zu verstehen.

Widerspruchsberechtigt ist jeder, dessen personenbezogene Daten zu diesem Zweck verarbeitet werden. Dies muss nicht alleine durch die Zustellung einer Werbesendung geschehen, sodass bereits die Erhebung, also die Datenbeschaffung von Daten, um Nachrichtenadressaten auszufiltern, erfasst ist.

Der Widerspruch richtet sich nur gegen die Verarbetiung „für Zwecke der Direktwerbung“. Verarbeitungen, die zu anderen Zwecken erfolgen, sind nicht von einem solchen Widerspruch erfasst. Mit dem Widerspruch geht eine Löschungspflicht gegen die verantwortliche Stelle hinsichtlich der bereits verarbeiteten Daten einher.

 

Das Thema der nächsten Woche sind die Betroffenenrechte nach der DSGVO.

 

1 2