Schlagwort: Einwilligung
28. August 2023
Seit bereits fünf Jahren steht Meta wegen der praktizierten Datenverarbeitung auf dem Prüfstand. Nun kündigte das Unternehmen, dass mehrere Social-Media-Plattformen betreibt, an, dass es künftig personenbezogene Daten der Nutzer zu Werbezwecken auf der Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO verarbeiten werde. Bisher erfolgte die Datenverarbeitung zu diesem Zweck auf der Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO.
Hintergründe
Laut Meta selbst sei Grund für die Änderung der Rechtsgrundlage, die zur Verarbeitung personenbezogener Daten herangezogen werde, dass die irische Aufsichtsbehörde die DSGVO verändert auslege. Diese ist im Gefüge der europäischen Aufsichtsbehörde zuständig für Meta. Aufgrund der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) habe, so Meta die irische Aufsichtsbehörde die Auslegung der DSGVO verändert. Außerdem wolle Meta damit auf die bevorstehenden Änderungen, die durch Digital Markets Act eintreten werden, begegnen.
Im Juli dieses Jahres hatte der EuGH zu der Frage entschieden, ob Meta eine alternative rechtliche Grundlage anwenden könne, wenn die Rechtsgrundlage, die zur Datenverarbeitung gedacht war, nicht wirksam sei (wir berichteten). Aus Sicht des Gerichtshofes war es demnach rechtmäßig, dass das Bundeskartellamt (BKA) Meta das Speichern personenbezogener Daten ohne Zustimmung der Nutzer untersagt habe. Dabei stellte der Gerichtshof auch klar, dass eine alternative Verwendung einer Rechtsgrundlage nur unter engen Voraussetzungen möglich sei. Meta müsse seine Nutzer jedenfalls vor der Datenverarbeitung über die einschlägige Rechtsgrundlage informieren.
Aufgrund der neuen Rechtspraxis des US-Konzern dürften diese Rechtsfragen vorerst geklärt sein. Dabei bestehen bereits seit Jahren Bedenken gegen den Umgang des Unternehmens mit den personenbezogenen Daten von Nutzer. Die österreichische NGO None of your business (noyb) betonte in einem Artikel, dass die Tragweite der Entscheidung von Meta hinsichtlich der veränderten Rechtsgrundlage noch abzuwarten sei. Aus Sicht der Organisation bereite insbesondere die von Meta gewählte Formulierung, nach der nur für „bestimmte Daten für verhaltensbezogene Werbung“ eine Einwilligung eingeholt werden, Grund zur Annahme, dass weiterhin Lücken bei der Datenverarbeitung bestehen werden.
Fazit
Wie sich die Datenschutzpraxis des omnipräsenten US-Konzern Meta künftig ändern wird, bleibt insgesamt abzuwarten. Besonderes Augenmerk ist dabei auf die Frage zu legen, ob und wie Meta künftig personenbezogene Daten der Nutzer sammelt und ggf. weiterverwendet.
31. Juli 2023
Die Datenschutzkonferenz (DSK) veröffentlichte Anfang dieses Monats eine Stellungnahme zum Referentenentwurf zur Verordnung über Dienste zur Einwilligungsverwaltung des Bundesministeriums für Digitales und Verkehr (BMDV). Der Entwurf behandelt die konkrete Umsetzung des § 26 Abs. 2 TTDSG. Dieser sieht vor, dass der Bund eine Rechtsverordnung erlassen darf, in der die Funktionen von Diensten zur Einwilligungsverwaltung und ihre Anerkennung durch eine zuständige unabhängige Stelle geregelt wird.
Künftig keine Cookie-Banner mehr?
Für Telekommunikationsanbieter sieht § 25 Abs. 1 TTDSG vor, eine Einwilligung von den Nutzern einzuholen, sie sie ihre Informationen im Endgerät speichern oder auslesen. Ausnahme dazu bildet § 25 Abs. 2 TTDSG, nach dem bei erforderlichen Technologien keine Einwilligung für das Speichern oder Auslesen notwendig ist. Dies ist Grund, weshalb beim Besuch einer Webseite der Nutzer jedes Mal seine Einwilligung für die Verwendung von Cookies abgeben muss (zu den Regelungen des TTDSG berichteten wir – hier -). Um die Anwendung von Cookies und insbesondere die Abgabe der Einwilligung zu vereinfachen, sieht das TTDSG die Einrichtung sog. Dienste zur Einwilligungsverwaltung vor. Mit Hilfe der Dienste können Nutzer ihre Einwilligungspräferenzen einmal festlegen. Diese übermitteln die Einwilligung dann weiter an Webseitenbetreiber, sodass nach dem Entwurf das erklärte Ziel ist, dass kein Cookie-Banner mehr verwendet werden, müssen. Dies kann dazu beitragen, dass Nutzer Cookie-Banner nicht ungelesen „wegklicken“ und damit eine uninformierte Einwilligung abgeben.
Reaktion der DSK
Aus Sicht der DSK sei es allerdings nicht möglich keine Cookie-Banner einzusetzen. Aus Sicht der DSK seien Cookie-Banner regelmäßig so gestaltet, dass nicht nur eine Einwilligung nach § 26 TTDSG eingeholt werden. Der Banner diene auch dazu eine Einwilligung nach art. 6 Abs. 1 lit. A Datenschutz-Grundverordnung (DSGVO) und nach § 9 Abs. 1 lit. a) DSGVO einzuholen. Für diese beiden von § 25 TTDSG zu unterscheidenden Rechtsgrundlagen bietet § 26 TTDSG gerade keine Rechtsgrundlage. Die Einwilligungen nach der DSGVO dienten anderen Zwecken.
Unabhängig von der Frage nach weiterhin erforderlichen Einwilligungen, enthalte der Entwurf, so die DSK, nicht die Möglichkeit, dass Nutzer einmal gegenüber dem Dienst eine Einwilligung abgeben und anschließend jede Webseite ohne Aufzeigen eines Cookie-Banners frei zugänglich sei. Stattdessen müsse der Nutzer bei jedem erstmaligen Besuch einer jeden Webseite eine Einwilligung abgeben. Diese könne anschließend über den Dienst gespeichert werden, sodass der Nutzer die Einwilligung nur einmal abgeben müsse.
Fazit
Nach dem jetzigen Stand ist mit dem neuen Entwurf ein Abrücken von Cookie-Bannern nicht denkbar. Für die Nutzer wie auch für Unternehmen bleiben Cookies ein wichtiges Thema, dessen Umsetzung in der Praxis künftig eine Erleichterung finden kann. Derzeit bieten viele Webseiten bereits verschiedene Möglichkeiten zur individuellen Cookie-Verwaltung.
Wenn wir ein Unternehmen, zum Beispiel einen Dienstleister, anrufen möchten, landen wir oft in der Warteschleife, bevor wir mit der gewünschten Abteilung verbunden werden. Während dieser Wartezeit hören wir oft den Hinweis, dass das Gespräch automatisch aufgezeichnet wird, sobald es von einem Mitarbeiter des Unternehmens angenommen wird. Diese Aufzeichnungen dienen möglicherweise internen Schulungszwecken oder dem Qualitätsmanagement. Ist es überhaupt erlaubt, dem Anrufer lediglich die Information zu geben, dass sein Gespräch zu Schulungs- und Qualitätszwecken aufgezeichnet wird?
Diese Fragestellung wurde im Tätigkeitsbericht für das Jahr 2022 (S. 99 ff) von der Sächsischen Datenschutz- und Transparenzbeauftragten behandelt.
Berechtigtes Interesse nicht ausreichend
Die Datenschutz- und Transparenzbeauftragte in Sachsen betont, dass das berechtigte Interesse grundsätzlich nicht als angemessene Rechtsgrundlage für das Aufzeichnen von Telefonanrufen dienen kann. Dies liegt vor allem daran, dass mildere Methoden ersichtlich sind, um beispielsweise Qualitäts- oder Schulungszwecke zu erreichen, wodurch die Notwendigkeit dieser Datenverarbeitung entfällt. Zudem stehen auch die überwiegenden Interessen der Betroffenen dem entgegen, insbesondere ihr Interesse an der Vertraulichkeit des nicht-öffentlichen gesprochenen Wortes.
Die Einwilligung als Rechtsgrundlage zur Datenverarbeitung
Als Rechtsgrundlage für die Aufzeichnung von Telefongesprächen kommt ausschließlich die Einwilligung der Anrufer gemäß Art. 6 Abs. 1 lit. a DSGVO in Betracht. Die Anforderungen für eine datenschutzrechtlich zulässige Einwilligung bemessen sich nach den Kriterien des Art. 7 DSGVO.
Damit muss die Einwilligung der betroffenen Person vor der Gesprächsaufzeichnung in informierter Weise erfolgen, sodass sie genau weiß, worin sie einwilligt. Die Einwilligung muss außerdem aktiv von der jeweiligen anrufenden Person, dem Anrufer, erteilt werden. Der Anrufer muss eine eindeutige, bestätigende Handlung vornehmen, beispielsweise ein mündliches “Ja” oder das Drücken einer speziellen Telefontaste, um der Aufzeichnung zuzustimmen. Die verantwortliche Stelle, die das Gespräch aufzeichnen möchte, muss die Einwilligung der betroffenen Person nachweisen können. Darüber hinaus ist zu beachten, dass eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann.
Sonderfall: Konkludente Einwilligung
Eine konkludente „Einwilligung“ würde in diesem Fall das eingangs beschriebene Szenario darstellen: Sprich der Anrufer erhält die Information, dass das Gespräch aufgezeichnet wird – ohne Zustimmungs- oder Ablehnungsmöglichkeit. Vielmehr wird dann seitens der verantwortlichen Stelle davon ausgegangen oder sogar ggf. in der Ansage thematisiert, dass mit dem Halten bzw. Fortsetzen des Anrufs „konkludent“ in die Aufzeichnung eingewilligt wird. Hier wird dann seitens der verantwortlichen Stelle sinngemäß die Ansicht vertreten, dass der Anrufer über die Aufzeichnung informiert wird und wenn er das nicht möchte, sich anderweitig mit dem Unternehmen in Verbindung setzen kann – jedoch nicht telefonisch ohne Aufzeichnung. Bzgl. konkludenter Einwilligungen problematisiert die Sächsische Datenschutz- und Transparenzbeauftragte insbesondere die Freiwilligkeit der „Einwilligung“.
Die Freiwilligkeit einer Einwilligung ist eine der Grundvoraussetzungen für ihre Zulässigkeit. Die Sächsische Datenschutz- und Transparenzbeauftragte führt hierzu aus, dass von der Freiwilligkeit der konkludenten „Einwilligung“ im Anruf-Szenario nur dann ausgegangen werden könnte, wenn den Anrufern angemessene Alternativen zur telefonischen Kontaktaufnahme mit Aufzeichnung angeboten würden. Ein Verweis auf eine alternative Kontaktaufnahme beispielsweise per E-Mail kann der Freiwilligkeit jedoch entgegenstehen. Dies resultiere daraus, dass die Kontaktaufnahme per E-Mail nicht grundsätzlich als angemessene Alternative zur telefonischen Kontaktaufnahme gewertet werden könne. Eine „konkludente Einwilligung“ sollte vorliegend also nicht als Rechtsgrundlage herangezogen werden.
Opt-Out ist keine Einwilligungsmöglichkeit
Es reicht nicht aus, wenn den Anrufern lediglich mitgeteilt wird, dass Anrufe grundsätzlich aufgezeichnet werden, aber eine Aufzeichnung abgelehnt werden kann. Eine solche Vorgehensweise entspricht nicht einer rechtsgültigen Einwilligung gemäß der DSGVO. Konkret bedeutet dies, dass die bloße Information über die Aufzeichnung und das Anbieten einer Widerspruchsmöglichkeit – zum Beispiel durch das gesprochene “Nein” als Ablehnung der Aufzeichnung – nicht ausreichend ist. Die Sächsische Datenschutz- und Transparenzbeauftragte betont auch nochmals, dass die Einwilligung aktiv erklärt werden muss und nicht durch einen Widerspruch in Form einer Ablehnung erfolgen kann.
Fazit
Zusammenfassend kann festgestellt werden, dass für die rechtskonforme Aufzeichnung von Telefongesprächen eine aktive Einwilligung der betroffenen Personen erforderlich ist. Konkludente Einwilligungen oder das berechtigte Interesse können hier grundsätzlich nicht als angemessene Rechtsgrundlagen betrachtet werden.
4. Juli 2023
Vor rund zwei Wochen veröffentlichte die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL), dass sie eine Geldstrafe in Höhe von 40 Mil. EUR verhängt habe. Adressat der Strafe sei „Criteo“, ein Unternehmen, dass Softwarelösungen für Werbeanzeigen im Bereich des Online-Marketings anbiete.
Hintergründe
Der Grund für das Bußgeld sei gewesen, dass Criteo nicht überprüft habe, ob Personen, deren Daten es verarbeitet habe, eine Einwilligung erteilt hätten. Anlass für die Untersuchungen der Behörde bei Criteo seien Beschwerden der Organisationen Privacy International und „None of your business“ gewesen,
Das Unternehmen Criteo habe sich auf das sog. „Retargeting“ spezialisiert. Dies sei eine bestimmte Methode des Online-Marketings. Auf Webseiten von Partnern setzt Criteo eigene Cookies ein. Diese könnten Navigationsdaten der Nutzers tracken. Über die gesammelten Daten ließen sich anschließend personalisierte Werbeanzeigen schalten. Insbesondere könne dem Nutzer Werbeanzeigen zu Produkten angezeigt werden, für die er sich wahrscheinlich interessieren würde.
Verstöße
CNIL stellte zunächst fest, dass bei der Verwendung von Cookies zu Werbezwecke eine Einwilligung der betroffenen Person eingeholt werden müsse. Wenn ein Unternehmen auf seiner Webseite die Cookies von Criteo einsetze, müsse es eine solche Einwilligung einholen. Criteo müsse sicherstellen, dass die entsprechenden Unternehmen diese Einwilligung tatsächlich einholten und dies dokumentieren. Die Pflicht zur Einholung einer Einwilligung sei allerdings nie Vertragsbestandteil im Rahmen der Geschäftsbeziehungen zu Criteo. Damit verstoße das Marketingunternehmen gegen die Datenschutz- Grundverordnung (DSGVO).
Außerdem verstoße Criteo gegen seine Informationspflichten. Das Unternehmen informiere nicht vollständig über die Zwecke der Datenverarbeitungsvorgänge.
Zusätzlich hätten betroffene Person nicht hinreichend Gebrauch von ihrem Recht auf Widerruf der Einwilligung und Löschung personenbezogener Daten nach Art. 7 Abs. 3 und Art. 17 Abs. 1 DSGVO machen können. Den betroffenen Person seien lediglich keine Werbeanzeigen mehr gezeigt worden. Allerdings habe das Unternehmen Kennungsdaten der Nutzer weiter behalten.
Abschließend stellte die CNIL fest, dass Criteo mit seinen Geschäftspartnern keine Vereinbarung über eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO abgeschlossen habe.
Bußgeld
Die CNIL bewertete bei der Bestimmungen der Höhe des Bußgeldes negativ, dass das Unternehmen über die Daten einer sehr großen Personenanzahl verfüge. Außerdem sei, laut CNIL negativ in die Bewertung mit eingeflossen, dass das Unternehmen sich ausschließlich darauf spezialisiert habe, für eine bestimmte Zielgruppe relevante Werbung anzuzeigen. Demnach sei es das Geschäftsmodell des Unternehmens gerade personenbezogene Daten zu sammeln und zu verarbeiten.
Fazit
Alle angesprochenen Kritikpunkte konnte Criteo nach den Untersuchungen der CNIL einstellen. Dabei ist auffällig, dass das Thema Cookies weiterhin Grund für Datenschutzverstöße ist (hier berichten wir über weitere Cookie-Verstöße).
30. Januar 2023
Ein Arbeitskomitee des Europäischen Datenschutzausschusses (EDSA) hat einen Bericht über Cookie-Banner vorgelegt. Wenn die Datenschutzbehörden diesen Bericht umsetzen, könnten irreführende Cookie-Banner bald Geschichte sein.
Der Bericht regelt auch die Anwendung der ePrivacy Richtlinie und dessen nationalen Umsetzungen, wie dem TTDSG in Deutschland, da es im Anwendungsbereich der Richtlinie keinen einheitlichen Mechanismus gibt. Das bedeutet, dass die Aufsichtsbehörden nicht verpflichtet sind, bei grenzüberschreitenden oder EU-weiten Verarbeitungen eine europaweite Absprache vorzunehmen. Der Bericht bietet jedoch eine abgestimmte Positionierung zu einigen Aspekten, was aus Sicht der Praxis von Vorteil ist.
Abgrenzung ePrivacy Richtlinie und DSGVO
Die Aufsichtsbehörden klären im Bericht das Verhältnis zwischen der ePrivacy Richtlinie und der DSGVO. Sie stellen fest, dass für die Verarbeitungen, die nach der Speicherung von oder dem Zugang zu Informationen auf dem Gerät eines Nutzers stattfinden, wie das Setzen oder Lesen von Cookies, die DSGVO als relevante Rahmengestaltung gilt.
Ablehnung von Cookies auf erster Ebene
Der Berichtsentwurf ist das Ergebnis einer Zusammenarbeit der Datenschutzbehörden im Rahmen des EDSA-Ausschusses für Cookie-Banner. Dieser Entwurf bestätigt bestehende Gesetze und legt eine Mindeststandards für die Bewertung von Cookie-Bannern fest. Viele nationale Richtlinien gehen jedoch weiter.
Laut dem Bericht des EDSA sollen folgenden Praktiken als rechtswidrig angesehen werden:
- Fehlende Ablehn-Option auf derselben Ebene wie die Zustimmung
- Bereits angekreuzte Kästchen anstelle einer aktiven Zustimmung
- Eingebettete Textlinks zur Ablehnung
- Links außerhalb des Cookie-Banner zur Verweigerung der Zustimmung
- der Vorwand des berechtigten Interesses an der Installation nicht notwendiger Cookies
- Keine permanente Möglichkeit, die Zustimmung zu widerrufen
Der EDSA verlangt – präzise formuliert – eine Möglichkeit, die Einwilligung bereits “auf der ersten Ebene” nicht zu erteilen. Dabei müssen Schaltflächen nicht eins zu eins gleich gestaltet sein. Die Ablehnungsmöglichkeit ist, wenn sie in einem Fließtext eingebettet besonders hervorgehoben und sich vom restlichen Text abhebt, wohl zulässig. Dafür genügt etwa Fettdruck, Unterstreichung oder eine andere Farbe.
Dagegen werden einige Fragen im Berichtsentwurf des EDSA nicht vollständig beantwortet. So hat die Taskforce beispielsweise keine Entscheidungen über irreführende Farben und Kontraste von Schaltflächen getroffen und auch nicht geklärt, wo ein gut sichtbarer und standardisierter Ort für die Widerrufserklärung liegen sollte. Die endgültige Version des EDSA-Berichts ist noch nicht veröffentlicht worden.
26. Oktober 2022
Unter diesem Thema veranstaltete das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Themenwoche auf seinem Mastodon-Kanal. Bei dieser Veranstaltung stellte das BayLDA, neben rechtlichen und technischen Informationen, praxisorientierte Empfehlungen rund um das Thema „Cookies“ zu Verfügung. Die Veranstaltung richtete sich an öffentliche Stellen und Interessierte.
Die Einwilligungspflicht
Zunächst informierte das BayLDA darüber, dass Cookies den Regelungen der DSGVO und ebenso dem TTDSG, das seit dem 01. Dezember 2021 in Kraft getretenen ist, unterfallen (wir berichteten). Nach § 25 Abs. 1 TTDSG bedürfe das Setzen von Cookies einer Einwilligung. Zusätzlich sei eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für die Datenverarbeitung mittels Cookies erforderlich. Regelmäßig komme hierfür ebenso die Einwilligung in Betracht. Nach § 25 Abs. 2 TTDSG existiere eine Ausnahme zur Einwilligungspflicht. Diese liege erstens vor, wenn der Verwender Cookies zweckgebunden für die Übertragung einer Nachricht einsetze. Zweitens liege diese vor, wenn die verwendeten Cookies technisch erforderlich seien.
Es sei jedoch fraglich, wann Cookies technisch erforderlich seien. Das BayLAD führte hierzu aus, dass ein Cookie technisch erforderlich sei, wenn ohne ihn „(…) bestimmte Komponenten oder Funktionen des Telemediendienstes nicht ausgeführt werden könnten.“
Anschließend befasste sich das BayLDA mit der Frage, wie Webseitenbetreiber herausfinden könnten, welche Cookies ihre eigene Webseite setzt. Jeder Verwender könne über den Internet-Browser herausfinden, welche Cookies die aktuell aufgerufene Webseite nutze. Jeder Internet-Browser verwende dafür eine andere Funktion. Im Falle von „Mozilla Firefox“ können die Cookies beispielsweise über die „Entwicklungswerkzeuge“ angezeigt werden.
Datenschutzrechtliche Vorgaben
Das BayLDA empfahl den Betreibern einer Webseite, darauf zu achten, Cookies möglichst datenschutzfreundlich einzusetzen. Hierbei ging das BayLDA exemplarisch auf die Auswahl von Tools zur Reichweitenmessung ein. Es empfahl solche Tools, die wenige oder keine Cookies verwenden und von einem Anbieter mit Sitz in der EU betrieben werden.
Hinsichtlich der datenschutzrechtlichen Vorgaben sei bei Cookies außerdem zu beachten, dass im Sinne der Art. 13 und 14 DSGO über die durch sie erfolgende Datenverarbeitung zu informieren sei. Der Umfang der erforderlichen Informationen bestimme sich anhand der eingesetzten Cookies. Bei technisch notwendigen Cookies seien regelmäßig weniger Informationen im Vergleich zu technisch nicht notwendigen Cookies zur Verfügung zu stellen. Darüber hinaus solle darauf geachtet werden, zu welchem Zeitpunkt der Nutzer die Einwilligung erteile und dass dabei eine Opt-In-Lösung gewählt werde. Auch sei eine mögliche Datenübermittlung in Drittländer zu überprüfen.
29. September 2022
Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) warnte eine große Anzahl genossenschaftlicher Banken davor, mit Hilfe von Kundendaten Profile für Werbezwecke zu bilden. Bereits vor einigen Monaten hatte die LfD Niedersachsen in einem ähnlichen Fall gegen die Volksbank ein Bußgeld in Höhe von 900.000€ verhängt.
Kein Smart-Data Verfahren
Konkret riet die LfD Niedersachsen davon ab, sog. Smart-Data Verfahren anzuwenden. Durch dieses Vorgehen können Banken für jeden Kunden passende Werbemaßnahmen auswählen. Dafür analysieren sie in einem großen Umfang die Zahlungsverkehrsdaten ihrer Kunden. Auf diese Weise verfügen Banken über Information, wie u.a. die Höhe des Gehalts, Ausgaben für Lebensmittel oder Bezüge von Sozialleistungen. Außerdem kaufen Banken regelmäßig personenbezogene Daten ihrer Kunden bei externen Dienstleistern ein. Demnach können die Banken beispielsweise Information über Schulabschlüsse, Anzahl der Kinder pro Haushalt oder Anteil geschiedener Personen in der Bevölkerung sammeln.
Die Datenanalyse zeige, wie hoch die Wahrscheinlichkeit sei, dass ein Kunde Interesse an einem bestimmten Produkt habe. Wenn der Analyse zufolge ein Kunde Interesse an einem Kredit oder einer Hausfinanzierung habe, könne die Bank konkret für ein solches Produkt werben.
Keine rechtmäßige Datenverarbeitung
In der Pressemitteilung verwies die LfD Niedersachsen auf das Mitte diesen Jahres an die Volksbank verhängte Bußgeld in Höhe von 900.000 Euro. Diesbezüglich führte die BfD aus, dass die fehlende Rechtsgrundlage das Problematische an der Datenverarbeitung im Rahmen des Smart-Data-Verfahrens sei.
Die Volksbank hatte sich auf ihr berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen. Die LfD Niedersachsen stellte fest, dass Banken grundsätzlich ein berechtigtes Interesse an der „werblichen Ansprache“ ihrer Kunden haben können. Allerdings überwiege bei diesen Werbemethoden das Interesse der Kunden.
Außerdem könne die Datenverarbeitung nicht auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erfolgen. Zwar wurden Einwilligungen der Kunden zur Datenverarbeitung eingeholt, diese seien aber zu unbestimmt. Der Kunde wisse nicht, in welchem Umfang die Bank seine personenbezogene Daten verarbeite.
Fazit
Die LfD Niedersachsen betonte, dass sie zunächst lediglich Warnung ausgesprochen habe. Sie wollte sich Vor-Ort darüber informieren, ob Banken diese schwerwiegenden Verstöße gegen das Datenschutzrecht fortführen.
11. August 2022
Die gemeinnützige Organisation Europäisches Zentrum für digitale Rechte -Non of your Business- (NOYB) hat diese Woche 226 Beschwerden bei verschiedenen Datenschutzaufsichtsbehörden eingereicht. Der Grund für alle Beschwerden waren datenschutzwidrige Cookie-Banner.
Informelle Beschwerden an 500 Unternehmen
Bereits im Mai diesen Jahres wies NOYB 500 Unternehmen darauf hin, dass ihre Cookie- Banner datenschutzwidrig seien, indem die Organisation Beschwerden an die Unternehmen richtete. Außerdem stellte NOYB allen Unternehmen eine Schritt-für-Schritt Anleitung für die Gestaltung eines rechtmäßigen Cookie-Banners zur Verfügung.
Dabei war ein gemeinsames Merkmal aller untersuchten Webseiten, dass sie die Software „One Trust“ zur Erstellung des Cookie-Banners verwendeten. Deswegen aktualisierte diese Consent Management Platform ihre Standardeinstellungen. Außerdem informierte „One Trust“ die Unternehmen über die Notwendigkeit die Cookie-Banner anzupassen. Dennoch verwendeten ein Teil der im Mai gerügten Unternehmen weiterhin rechtswidrige Cookie-Banner.
Wann ist der Cookie-Banner rechtswidrig?
Im Rahmen der eingereichten Beschwerden stellte NOYB fest, dass die untersuchten Cookie-Banner regelmäßig für die Nutzer von Webseiten irreführend seien. Insbesondere verwendeten einige Webseite sog. Dark-Patterns. Durch ein besonderes Design der Cookie-Banners solle erreicht werden, dass die Nutzer der Webseiten in die Verwendung von Cookies einwilligen. Demnach sei das Ablehnen der Cookie-Verwendung in diesem Fall nur auf eine erschwerte Weise möglich. Laut Ala Krinickytė (Datenschutzjuristin bei NOYB) versuchten einige Webseiten das Zustimmen der Nutzer durch einen entsprechenden „Klickmarathon“ zu erzwingen.
Stattdessen müsse nach den Regelungen der DSGVO der Nutzer unkompliziert zwischen „Ja“ und „Nein“ auswählen können. Auf diese Weise werde dem Zweck der DSGVO Rechnung getragen und die Nutzer der Webseiten behielten die Kontrolle über ihre Daten.
Fazit
Max Schrem (Vorsitzender von NOYB) betonte, dass die Begutachtung durch NOYB einen positiven Effekt zeigte. Unternehmen, deren Webseiten die Organisation nicht untersucht hatte, passten vorsorglich ihre Cookie-Einstellungen an.
20. Juli 2022
Die Verbraucherzentrale Bundesverband (vzbz) hat in einer Pressemitteilung bekannt geben, dass sie beim Landgericht Berlin Klage gegen Tesla erhoben habe. Die vzbz wirft dem Automobilhersteller vor, durch die Nutzung des sog. Wächter-Modus der Tesla-Fahrzeuge gegen die DSGVO zu verstoßen.
Der Wächter-Modus
Laut Angaben des Herstellers seien alle Tesla-Fahrzeuge mit dem Wächter-Modus ausgestattet. Im geparkten und abgeschlossenen Zustand erfassen am Fahrzeug angebrachte Kameras permanent die Umgebung. Sobald sie eine erhebliche Bedrohung erkennen, beginnen die Kameras mit der Aufzeichnung. Zusätzlich wird die Alarmanlage aktiviert und die Fahrezeughalter/innen benachrichtigt. Dabei käme es natürlich auch zur Aufzeichnung von unbeteiligten Passanten/innen, die zufällig den Erfassungsbereich der Kameras betreten. Die vzbz wirft Tesla vor, dass diese anlasslose Aufzeichnung unzulässig sei und Fahrzeughalter/innen durch die Nutzung des Wächter-Modus unwissentlich ein hohes Bußgeld für den DSGVO-Verstoß riskieren würden.
Videoüberwachung unter der DSGVO
Die Videoüberwachung ist eine Form der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten und folglich nach der DSGVO zu bewerten. Selbst für die Videobeobachtung in Echtzeit, bei der keine Daten gespeichert werden, ist die DSGVO einschlägig. Die Anforderungen an eine DSGVO-konforme Videoüberwachung wurden von der Datenschutzkonferenz (DSK) in einem Kurzpapier zusammengefasst. Demnach bedarf es zuerst einmal einer gültigen Rechtsgrundlage nach Art. 6 DSGVO. Bei einer Videoüberwachung durch nicht öffentliche Stellen, bei der unbeteiligte Passanten aufgenommen werden, käme hier Art. 6 Abs. 1 lit. f DSGVO in Betracht. Demnach ist eine Verarbeitung rechtmäßig, soweit sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Jedoch dürfen dabei nicht die Interessen oder Grundrechte der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen. Andernfalls müssen, mangels einer anderen, einschlägigen Rechtsgrundlage, die Einwilligung der betroffenen Personen erhoben werden. Die Videoüberwachung muss zudem für das Erreichen eines bestimmten Zwecks erforderlich sein und der Verantwortliche den Transparenzanforderungen aus Art. 12 ff. nachkommen. Sofern die Überwachung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, bedarf es zudem einer Datenschutz-Folgeabschätzung.
Der Wächter-Modus unter der DSGVO
In Bezug auf den Wächter-Modus wäre es schwer vorstellbar, dass das Interesse der Fahrzeughalter/innen an dem Schutz ihres Fahrzeugs vor Diebstahl und Beschädigung gegenüber dem Interesse der betroffenen Personen am Schutz ihrer personenbezogenen Daten überwiegen würde. Hierfür müsste der Schutz eines einzelnen Fahrzeugs vor möglichen Gefahren die weitreichende Aufzeichnung von unbeteiligten Passanten/innen rechtfertigen. Sofern dies nicht der Fall wäre, fehlte der Verarbeitung bereits eine geeignete Rechtsgrundlage. Um dann den Wächter-Modus DSGVO-konform zu verwenden, benötigten Fahrzeughalter:innen bereits im Vorfeld die Einwilligung jeder aufgezeichneten Person. Das schiere Betreten eines gekennzeichneten Erfassungsbereichs einer Kamera entspräche jedoch nicht den Anforderungen einer eindeutigen und informierten Einwilligung. Stattdessen müssten Passanten/innen vor der Aufzeichnung über die Details der Videoüberwachung aufgeklärt werden. Es bleibt abzuwarten, wie das LG Berlin den Sachverhalt bewerten wird.
14. Juli 2022
Die Bundesnetzagentur (BNetzA) veröffentlichte letzte Woche Auslegungshinweise bezüglich der nach § 7 a UWG bestehenden Dokumentations- und Aufbewahrungspflicht für Einwilligungen in die Telefonwerbung.
§ 7 a Abs. 1 UWG regelt, dass die Werbung per Telefon nur erlaubt ist, wenn die betroffene Person vorher in die Telefonwerbung eingewilligt hat. Diese Einwilligung muss der Werbende dokumentieren und die Dokumentation gem. § 7 a Abs. 2 S.1 UWG fünf Jahre lang aufbewahren.
Adressat der Dokumentations- und Aufbewahrungspflicht
Zunächst geht die BNetzA darauf ein, an wen sich die Dokumentations- und Aufbewahrungspflicht richtet. Vom Tatbestand des § 7 a UWG sind alle werbenden Unternehmen umfasst. Die BNetzA stellt klar, dass darunter Unternehmen und Personen fallen, „(…) die Werbeanrufe gegenüber Verbrauchern ausführen (…)“, d.h. Callcenter, sowie Unternehmen, die Callcenter mit diesen Werbeanrufen beauftragen. Beauftragt ein Unternehmen also einen externen Dienstleister mit Werbeanrufen, dann sind beide Akteure für die Dokumentations- und Aufbewahrungspflicht verantwortlich.
Die Dokumentationspflicht
Die BNetzA äußerte sich ferner zum Umfang der Dokumentationspflicht. Der Werbende müsse für eine wirksame Einwilligung nachweisen können, wer an der Einwilligung beteiligt war, wann und wie sie abgegeben wurde und welche Reichweite sie habe. Grundsätzlich könne der Werbende die Form der Einwilligung frei wählen. Das Gesetzt sehe keine bestimmte Form vor. Die gewählte Form habe aber Auswirkungen auf die Dokumentation der Einwilligung.
Für eine per E-Mail, SMS oder per Anklicken eines entsprechenden Feldes eingeholte Einwilligung wies die BNetzA auf die Anfälligkeit für eine Manipulation hin. Es müsse sichergestellt werden, dass die beworbenen Personen keine falschen Angaben zu personenbezogenen Daten tätigen. Diese Gefahr bestünde insbesondere, wenn der Werbende einen Verbraucher per E-Mail kontaktiere und dieser falsche Angaben zu seiner Telefonnummer mache. Um dem vorzubeugen, müsse der Werbende einen geeigneten Verifizierungsmechanismus ergreifen.
Für die fernmündlich erteilte Einwilligung könne der Werbende das entsprechende Gespräch aufzeichnen. Hinsichtlich einer schriftlich erteilten Einwilligung müsse der Werbende beachten, dass sich diese nicht innerhalb eines sonstigen Vertragstextes „verstecke“.
Die Aufbewahrungspflicht
Die Aufbewahrungspflicht beginne erstmalig, laut BNetzA mit Erteilung der Einwilligung. Anschließend beginne mit jeder Verwendung der Einwilligung die fünfjährige Aufbwahrungsfrist von neuem zu laufen. Eine Verwendung liege vor, wenn auf Grundlage der Einwilligung die beworbene Person kontaktiert werde und ein Werbegespräch erfolge.
Außerdem konkretisierte die BNetzA die Dokumentations- und Aufbewahrungspflicht dahingehend, dass sie im Lichte der Rechenschaftsplicht nach Art. 7 Abs. 1 DSGVO zu betrachten seien. Jegliche Zweifel an der Abgabe einer Einwilligung gehen demnach zu Lasten des Werbenden.