Schlagwort: Einwilligung

OVG Saarlouis: Daten aus E-Mail-Angaben dürfen Unternehmen nicht für Telefonwerbung verwenden

19. März 2021

Personenbezogene Daten, die Verbraucher in E-Mails angeben, dürfen von Unternehmen nicht für andere Werbezwecke genutzt werden. Das entschied das Oberverwaltungsgericht Saarlouis durch Beschluss vom 16.02.2021 (Az. 2 A 355/19) und bestätigte damit ein Urteil des Verwaltungsgerichts Saarlouis vom 29.10.2019 (Az. 1 K 732/19). Durch die Angabe einer Telefonnummer in einer E-Mail, willigt der Verbraucher nicht automatisch in Werbeanrufe ein. Nutzen Unternehmen die Telefonnummer für Werbeanrufe, liegt darin ein Verstoß gegen die DSGVO.

Hintergrund der Entscheidung:

Die Klägerin, ein Unternehmen, ist im Bereich der Versicherungsvermittlung, der Vermögensanlage sowie der Finanzierung tätig. Im Rahmen dieser Tätigkeit betrieb sie auch telefonische Werbetelefonate. Zwei Betroffene, die ebenfalls zu Werbezwecken von der Klägerin kontaktiert worden waren, beschwerten sich bei der zuständigen Datenschutzbehörde (Beklagten) darüber und gaben an, niemals eine Einwilligung in eine solche Werbeansprache erteilt zu haben. Die Datenschutzbehörde erließ nach Anhördung der Klägerin daraufhin eine Anordnung, in der sie die Klägerin zur Einstellung der Verarbeitung personenbezogener Daten für Werbezwecke nach Art. 58 Abs. 2 lit. f DSGVO sowie zur Löschung der Daten der betroffenen Personen nach Art. 58 Abs. 2 lit. g DSGVO aufforderte. Zur Begründung führte sie an, vorliegend seien Name, Adresse und Telefonnummer der Betroffenen als personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO erhoben und letztere zu Zwecken des telefonischen Direktmarketings ohne Einwilligung der Betroffenen durch das Unternehmen verwendet worden.

Dagegen erhob das Unternehmen Klage und gab an, eine wirksame Einwilligung sei durch ein vollständig durchlaufendes Double-Opt-In-Verfahren eingeholt worden.

Double-Opt-In

Bei diesem Verfahren erklärt der Nutzer in einem ersten Schritt seine Zustimmung zur Aufnahme in eine Verteilerliste durch die einmalige Eingabe seiner E-Mail-Adresse (sog. Single/Einfaches-Opt-In). In einem zweiten Schritt erhält er eine sich anschließende Bestätigungs-E-Mail mit der Möglichkeit, die Anmeldung zu bestätigen. Erst mit dieser Bestätigung wird die Registrierung wirksam und das Double-Opt-In abgeschlossen.

Im konkreten Fall hätten die Betroffenen sich für ein Gewinnspiel eingetragen, woraufhin sie eine Bestätigungs-E-Mail erhielten, die diese auch bestätigten, so die Klägerin. Zum Beweis dafür wies sie eine entsprechende Online-Registrierung aus, in der eine E-Mail-Adresse und der Eingang einer Bestätigungsmail vermekt waren.

Die Betroffenen verneinten die Eintragung in einen solchen Verteiler und eine entsprechende Bestätigung.

Die Entscheidung der Gerichte

Das Verwaltungsgericht wies die Klage des Unternehmens ab, mit der Begründung, dass über das Double-Opt-In-Verfahren nur eine Einwilligung per E-Mail-Werbung generierbar sei, nicht aber auch für Telefonwerbung. Dies bestätigte das Oberverwaltungsgericht nun. Das Double-Opt-In Verfahren per E-Mail sei nicht zum Nachweis der Einwilligung in Telefonwerbung geeignet. Die Anforderungen an eine rechtmäßige Verarbeitung gem. Art. 6 Abs. 1 DSGVO erfüllte die Klägerin nicht. Nach Art. 6 Abs. 1 lit. a DSGVO ist eine Verarbeitung nur dann rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche gem. Art. 7 Abs. 1 DSGVO nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Diese konkreten Nachweise konnte die Klägerin im vorliegenden Fall nicht erbringen. Auch ein Rückgriff auf das in Art. 6 Abs. 1 lit. f DSGVO bezeichnete “berechtigte Interesse”, sei der Klägerin, so das OVG, verwehrt. Dies begründete es damit, dass die Bewertungsmaßstäbe des § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG), auch im Rahmen des Art. 6 Abs. 1 lit. f DSGVO berücksichtigt werden müssen. Nach § 7 Abs. 2 Nr. 2 UWG ist eine unzumutbare Belästigung stets anzunehmen bei Werbung mit einem Telefonanruf gegenüber dem Verbraucher, ohne dessen vorherige ausdrückliche Enwilligung. Eine Berücksichtigung etwaiger “berechtigter Interessen” des Werbenden sei in § 7 Abs. 2 Nr. 2 UWG aber nicht vorgesehen.

Fazit

Unternehmen dürfen Telefonnummern, die sie durch das Double-Opt-In-Verfahren per E-Mail erlangt haben, nicht für Werbeanrufe nutzen. Bei einem Verstoß gegen das UWG und der DSGVO drohen hohe Bußgelder.

Automatische Gesichtserkennung: Facebook zahlt 650 Millionen Dollar

3. März 2021

In dem seit 2015 laufenden Verfahren handelt es sich um die Funktion, bei der Facebook vorschlägt, in Fotos abgebildete Freunde mit Namen zu markieren. Die Kläger argumentierten, dass es gegen ein Gesetz zur Gesichtserkennung im US-Bundesstaat Illinois verstieß, dafür vorher nicht die Einwilligung der Betroffenen einzuholen. Mittlerweile hat Facebook das Verfahren weltweit geändert und fragt Nutzer zunächst nach einer Erlaubnis, um die Funktion zu nutzen. 

Die Funktion wurde bereits vor etwa zehn Jahren von Facebook eingeführt. Die Technik zur automatischen Gesichtserkennung ohne vorherige Ankündigung wurde auch für Nutzer außerhalb der USA aktiviert. Nutzer mussten der Verwendung der Funktion in den Datenschutzeinstellungen im Sinne eines Opt-Out explizit widersprechen. Diese Funktion hatte unmittelbar nach Einführung dazu geführt, dass sich die Datenschützer in der EU damit befassten. Letztlich haben wohl solche juristische Auseinandersetzungen und die Klage Facebook dazu veranlasst, die Einwilligung der Nutzer doch einzuholen.

Nun hat ein Richter in Kalifornien am Wochenende die bereits im letzten Jahr verhandelte Einigung der Parteien in dem Rechtsstreit gebilligt. Jeder Kläger erhält 345 US-Dollar (ca. 286 Euro). Die drei Facebook-Nutzer, die die Sammelklage angestoßen hatten, bekommen jeweils 5000 Dollar. Insgesamt zahlt Facebook 650 Millionen US-Dollar an die Kläger im Streit um den Einsatz von Gesichtserkennungs-Technologie. Laut Richter Donato sei dies ein großer Erfolg für Verbraucher „im heiß umkämpften Bereich der digitalen Privatsphäre“.

BGH-Urteil zu Cookies – Cookie Einwilligung II

4. Juni 2020

Der Bundesgerichtshof (BGH) hat am 28.05.2020 entschieden, dass eine Opt-Out Regelung nicht ausreicht, um die Zustimmung von Nutzern zur Speicherung von Daten zu erlangen. Dabei hat der BGH in seiner Entscheidung Cookie-Banner für unrechtmäßig erklärt, wenn diese nur weggeklickt werden können (Urt. v. 28.05.2020, Az. I ZR 7/16). Die Nutzer müssen ihre Einwilligung durch aktives Ankreuzen entsprechender Felder erklären. Laut BGH sei das vorformulierte Einverständnis zum Setzen von Cookies sonst unwirksam.

Cookies sind kleine Dateien, die im Rahmen des Besuchs einer Internetseite an den Browser des Endgeräts gesendet und dort gespeichert werden. Sie dienen dazu, um die Navigation im Internet zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen. Große Tracking-Anbieter, wie Google Analytics, nutzen Cookies um auf diese Weise ein Werbeprofil des Nutzer zu erstellen. 

Hintergrund der Entscheidung

Das Urteil markiert den Abschluss eines 2014 begonnen Rechtsstreit zwischen der Verbraucherzentrale Bundesverband (vzbv) und dem Gewinnspielanbieter Plant49. Darüber wurde bereits berichtet.

Nun hat der BGH die Rechtsauffassung des EuGH von 2019 bestätigt. Eine aktive und informierte Einwilligung ist für alle technisch nicht notwendigen Cookies auf Webseiten erforderlich.

Ausnahmen für das Einwilligungserfordernis

Eine Ausnahme bilden „zwingend erforderliche“  Cookies. Wann dies genau der Fall sein soll, hängt von dem konkreten Einzelfall ab. Die zwingende Erforderlichkeit kann z.B. bei Nutzereinstellungen wie etwa der Einstellung der Sprache angenommen werden. Das Tracking zu Werbezwecken und zur Profilbildung ist nach Ansicht des BGH jedoch nicht zwingend erforderlich. Hierfür ist eine Einwilligung mittels Opt-In erforderlich. Abzuwarten bleibt, was sich zu dieser Diskussion aus der Urteilsbegründung der BGH-Entscheidung entnehmen lässt. 

Einwilligung (Opt-In, Opt-Out, Double-Opt-In)

18. April 2019

Sofern keine gesetzliche Regelung die Verarbeitung von personenbezogenen Daten ausdrücklich erlaubt, bedarf es einer Einwilligung des Betroffenen in die Verarbeitung der personenbezogenen Daten. Damit diese rechtskonform erteilt werden kann, müssen verschiedene Voraussetzungen erfüllt sein.
Eine Einwilligung ist nur dann rechtmäßig erteilt, wenn sie freiwillig (ohne Druck oder Zwang), spezifiziert (für eine bestimmte Verarbeitung), informiert (durch transparente Aufklärung) und ausdrücklich (also unmissverständlich) erfolgt. Im Zusammenhang mit der Einwilligung fallen häufig die Begriffe Opt-In, Opt-Out und Double-Opt-In. Nachfolgend werden diese Begrifflichkeiten erläutert.


Mit der Voraussetzung, dass die Einwilligung „ausdrücklich“ abgegeben werden muss, ist der sogenannte Opt-Out unvereinbar. Bei einem Opt-Out gilt die Einwilligung als erteilt, wenn der Einwilligende dem nicht widerspricht. Die Einwilligung wird also vorausgesetzt/fingiert, ohne dass der Einwilligende diese tatsächlich aktiv erteilt hat. Ein solches Vorgehen ist nicht datenschutzkonform und die darauf gestützte Verarbeitung personenbezogener Daten rechtswidrig.
Es ist erforderlich, dass der Einwilligende selbst aktiv in die Verarbeitung von personenbezogener Daten einwilligt (Opt-In). Beispielsweise darf eine Checkbox daher niemals vorausgefüllt sein (Opt-Out). Der Betroffene muss die Checkbox selbst aktiv anklicken.
Hiervon zu unterscheiden ist der Double-Opt-In. Bei diesem wird an die E-Mail-Adresse des Betroffenen ein Bestätigungslink versendet. Der Double-Opt-In dient damit der Verifizierung einer Person, so dass sich die verarbeitende Stelle sicher sein kann, dass die Daten nicht missbräuchlich verwendet wurden, sondern tatsächlich von der angegebenen Person stammen.

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 11): Pauschaleinwilligungen nicht zulässig

15. März 2019

In einem Beschluss zum rechtswirksamen Verzicht auf Einwilligungen bei Fotoaufnahmen betont die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland, dass die Personensorgeberechtigten eines Minderjährigen stets für eine Veröffentlichung ihre Einwilligung mit Blick auf jedes einzelne Bild erteilen müssen, auch wenn spätestens bei 16-jährigen davon ausgegangen werden kann, dass sie über die nötige Einsichtsfähigkeit verfügen, in die Veröffentlichung von Bildern einzuwilligen. Insbesondere ist eine pauschale Generaleinwilligung für alle gleichartigen Fälle für die Dauer der Zugehörigkeit des Minderjährigen in einer Einrichtung, wie KITA oder Schulegrundsätzlich als unzulässig zu betrachten. § 8 Nr. 13 KDG definieren „Einwilligung“ als eine Willensbekundung in informierter Weise für einen bestimmten Fall. Eine informierte Einwilligung dürfte in der pauschalen Einwilligung für die Veröffentlichung aller Fotos während der gesamten Aufenthaltsdauer kaum anzunehmen sein. Unter einem „bestimmten Fall“ kann somit nicht die  Anfertigung  von  Fotos  gemeint sein, sondern nur die Anfertigung und Veröffentlichung eines konkreten Fotos. Eine Veröffentlichung liegt vor, wenn Daten einer nicht genau feststehenden Mehrzahl von Adressaten, die Dritte sind, zugänglich gemacht werden. Sind die Personen miteinander mit dem Veranstalter bekannt, gehören sie nicht zur Öffentlichkeit. Bei KITA ́s dürfte deshalb keine Veröffentlichung darin zu sehen sein, wenn Bilder von Kindern innerhalb der Einrichtung ausgehängt werden. Für diese Fälle ist von der ausnahmsweisen Zulässigkeit einer Generaleinwilligung auszugehen. Dies betrifft nur den Innenbereich der Einrichtung  im Rahmen der Zweckbindung. Aushänge in Schaukästen oder Veröffentlichung in Flyern sind von dieser Ausnahme nicht umfasst. Für Schulen trifft dies nicht in gleicher Weise zu, da der Kreis der Dritten den Zugang zu der Einrichtung haben nicht wie bei Kindereinrichtungen überschaubar ist.

Kategorien: Kirchlicher Datenschutz
Schlagwörter:

Hessischer Datenschutzbeauftragter veröffentlicht FAQ zur DSGVO

11. März 2019

Der Hessische Datenschutzbeauftragte hat Antworten zu den am häufigsten gestellten Fragen zur Datenschutz-Grundverordnung (DSGVO) auf seiner Webseite veröffentlicht und sich darin zu einigen kontrovers diskutierten Themen positioniert. Auch wenn dort sicherlich nicht jede offene Frage beantwortet werden kann, ist das FAQ insbesondere für Unternehmen mit Hauptsitz in Hessen lesenswert.

Interessant ist etwa die Aussage zur Frage, wann eine Auftragsverarbeitung vorliegt. Hier scheint sich die hessische Behörde der bereits vom Bayerische Landesamt für Datenschutzaufsicht veröffentlichten Ansicht anzunähern. Der Anwendungsbereich der Auftragsverarbeitung ist demnach recht eng auszulegen, nämlich nur auf Fälle, in denen ein Dritter tatsächlich mit der Verarbeitung von Daten beauftragt wird:

„Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“

Interessant ist auch die Aussage der Behörde zu der Frage, ob eine Einwilligung nach Art. 6 Abs. 1 S.1 lit. a) DSGVO vorsorglich eingeholt werden darf, wenn sich der Verantwortliche hinsichtlich des Vorliegens eines anderen Erlaubnistatbestandes unsicher ist:

„Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.“

Gerichtsentscheidung: Veröffentlichung von Videoaufnahmen im Internet ohne Einwilligung ist unzulässig

23. Januar 2019

Nach der Entscheidung des Landgerichts Frankfurt am Main (LG Frankfurt a.M. – Az.: 2-03 O 283/18) ist der Besitzer eines Friseursalons verpflichtet, Videoaufnahmen, in der eine Kundin bei der Behandlung erkennbar ist und die er zu Werbezwecken auf seiner Facebook-Fanpage veröffentlicht hat, von der Internetseite zu entfernen. Grund hierfür ist, dass der Besitzer des Friseursalons nicht glaubhaft gemacht hat, dass eine Einwilligung der Kundin zu der Fertigung und Veröffentlichung der Videoaufnahmen vorlag.

Der Besitzer des Friseursalons behauptet, dass die Kundin ausdrücklich auf die Videoaufzeichnung und die Veröffentlichung hingewiesen wurde und diese ausdrücklich darin eingewilligt hat. Hilfsweise behauptete er, dass die Einwilligung zumindest stillschweigend erfolgte. Die Kundin behauptet, dass ein solcher Hinweis zu keinem Zeitpunkt erfolgt ist und sie auch keine Einwilligung erteilt habe. Da der Besitzer des Friseursalons die Beweislast dafür trägt, nachzuweisen, dass eine Einwilligung erteilt wurde und er dies nicht glaubhaft machen konnte, wurde er verurteilt, die Videoaufnahmen von der Internetseite zu entfernen.

Auch das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f Datenschutzgrundverordnung (DSGVO) kann in diesem Fall nicht als Rechtsgrundlage herangezogen werden. Zwar sei die Verarbeitung von personenbezogenen Daten zu Zwecken der Direktwerbung anerkannt. Es sei aber fraglich, ob die Verwendung von Bildaufnahmen hierzu erforderlich sei. In diesem Fall überwiegt jedenfalls das Interesse der Kundin, dass diese Form der Verarbeitung unterbleibt.

Das LG Frankfurt a.M. lässt bei der Entscheidung bedauerlicherweise offen, ob es seine Begründung auf §§ 22, 23 Kunsturhebergesetz (KUG) stützt oder aber auf die DSGVO. Somit ist die Unsicherheit, ob die Regelungen des KUG Normen im Sinne von Art. 85 Abs. 1 DSGVO sind, nicht beseitigt.

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 6): Ist das KDG strenger als die DSGVO?

30. November 2018

Zutreffend ist, dass das KDG im Gegensatz zur DSGVO in § 8 Abs. 2 ausdrücklich die Schriftform der Einwilligung fordert. Allerdings findet sich ebendort die Einschränkung „soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“. Damit sind durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss.

Die Deutsche Bischofskonferenz (DBK) weist die Kritik zurück, der kirchliche Datenschutz sei strenger als das EU-Recht.

Zwar fordert das KDG im Gegensatz zur DSGVO explizit die Schriftform, es seien aber durch eine Öffnungsklausel “durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss”. Die DBK betont, dass das kirchliche Gesetz “mit seiner Forderung einer schriftlichen Einwilligung nicht von der DSGVO abweichen und strenger sein wollte als diese, sondern lediglich konkreter und damit anwenderfreundlicher”.

Darüber hinaus schreibt auch die DSGVO in Art. 7 vor, dass der Verantwortliche nachweisen muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Wie soll dieser Nachweis erfolgen, wenn die Einwilligung nicht schriftlich erfolgt?

Kategorien: Allgemein
Schlagwörter: ,

Wunschzetteltradition auf dem Weihnachtsmarkt in Roth endet

19. November 2018

In der fränkischen Stadt Roth haben jahrelang über 4.000 Kinder ihre Wünsche an einen Christbaum gehängt. Nun soll mit dieser Tradition aus Datenschutzgründen gebrochen werden. Das Problem dabei ist, dass bisher Name und Adresse der Kinder auf dem Wunschzettel stand, damit dieser an den “Wunscherfüller” weitergeleitet werden konnte. Hat sich beispielsweise ein Kind gewünscht, dass er mal Bürgermeister sein möchte, organisierte die Stadt einen Tag mit dem Bürgermeister von Roth.

Aufgrund der DSGVO müssten dafür nun Einwilligung von den Eltern eingeholt werden. Gemäß Art. 8 Abs. 1 Satz 2 DSGVO heißt es nämlich: “Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.”

Dieser bürokratische Aufwand und die Gefahr vor Bußgeldern hielt die Stadt davon ab die Tradition weiterzuführen. Nach Angaben der Stadt wird jedoch nach einem anderen Weg gesucht die Wünsche und die “Wunscherfüller” zusammen zu bringen. Die Wunschzettelaktion sei ein Herzstück der zahlreichen Aktionen auf dem Weihnachtsmarkt.

Datenschutz im Kindergarten

5. Oktober 2018

Im Alltag eines Kindergartens kommt man ständig mit personenbezogene Daten in Berührung, sei es durch ein Gespräch mit den Eltern über das Verhalten ihres Kindes oder durch das Angeben von Krankheiten der Kinder. Aus diesem Grund ist es äußerst wichtig den Datenschutz in Kindergärten zu wahren,  da Kinder einen gesonderten Schutz benötigen. Im Kindergarten dürfen Daten neben der Möglichkeit der Einholung einer Einwilligungserklärung nur nach einer gesetzlichen Rechtsgrundlage verarbeitet werden. Die Verarbeitung muss zur Erfüllung der Erziehungsaufgabe der Einrichtung erforderlich sein.

In Nordrhein-Westfalen regelt das Gesetz zur frühen Bildung und Förderung von Kindern (Kinderbildungsgesetz – KiBiz) die Aufgaben und Befugnisse der Kindertagesstätten und Schulen. Vor allem sagt der § 12 aus, welche Daten mitzuteilen sind: Name und Vorname des Kindes, Geburtsdatum, Geschlecht, Staatsangehörigkeit, Familiensprache, Namen und Anschriften der Eltern. Aus diesem Grund ist für die Erstellung der Bildungsdokumentation zusätzlich eine Einwilligungserklärung erforderlich, da es hierfür keine gesetzliche Rechtsgrundlage gibt. Bei Kleinkindern wird die Einwilligungserklärung in der Regel von den Eltern abgegeben. Ganz besonders wichtig ist es, bei Foto-und Videoaufnahmen stets die Einwilligung einzuholen.

 

1 2 3