Unser Datenschutz-Update im Januar 2021 (und das Beste aus 2020)
In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Welt des Datenschutzes: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Januar – und der Rückblick auf ein ereignisreiches Jahr 2020.
In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Welt des Datenschutzes: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Januar – und der Rückblick auf ein ereignisreiches Jahr 2020.
1. Nachrichten aus der Datenschutzwelt
Einwilligungspflicht für Cookies: Entwurf des TTDSG veröffentlicht
Das Bundeswirtschaftsministerium hat kürzlich den Referentenentwurf des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien veröffentlicht (TTDSG) veröffentlicht. Dabei handelt es sich um ein Spezialgesetz zum Datenschutz und zum Schutz der Privatsphäre im Bereich der Telekommunikation und der Telemedien (also z.B. Apps und Webseiten). Hauptanliegen des Entwurfs ist, einen einheitlich Rechtsrahmen für Unternehmen zu schaffen, die bislang Regelungen aus der DGSVO, dem TKG, dem TMG und der E-Privacy-Richtlinie beachten müssen.
Besonders hervorzuheben sind die Vorgaben für den Einsatz von Cookies: Hier wird die ohnehin bestehende Pflicht erneuert, Cookies nur mit der expliziten und informierten Einwilligung des Betroffenen zu setzen oder auszulesen. Neu ist aber, dass Ausnahmen von der Einwilligungspflicht nun auch gesetzlich klar definiert werden. Solche Ausnahmen sollen künftig nur noch dann bestehen, wenn es das Setzen oder Abfragen von Cookies entweder zur Erbringung einer Kommunikationsleistung oder zwecks Zurverfügungstellung eines vom Betroffenen ausdrücklich gewünschten Telemediendienstes (also Apps und Webseiten) unbedingt erforderlich ist.
Auch wenn sich an der materiellen Rechtslage nichts Wesentliches ändert, ist der Entwurf zu begrüßen: So schafft er doch zumindest ein wenig mehr Durchblick im Paragraphendschungel.
Den aktuellen Stand des Entwurfs und weitere Informationen zu dem Thema finden Sie hier: https://www.bmwi.de/Redaktion/DE/Artikel/Service/Gesetzesvorhaben/gesetz-zur-regelung-des-datenschutzes-und-des-schutzes-privatsphaere.html
Das wird teuer: Niedersächsische Landesdatenschutzbeauftragte ahndet Videoüberwachung am Arbeitsplatz mit Bußgeld i.H.v. EUR 10 Mio.
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.
Näheres dazu finden Sie hier: https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/lfd-niedersachsen-verhangt-bussgeld-uber-10-4-millionen-euro-gegen-notebooksbilliger-de-196019.html
Datenleck de luxe: Steuerdaten aller Einwohner Brasilien gestohlen
In Brasilien wurden Datensätze von über 220 Millionen Einwohnern, das dürften angesichts einer aktuellen Einwohnerzahl von 211 Millionen alle sein, von Hackern gestohlen. In den Datensätzen enthalten sind sowohl Namen und Geburtsdaten der Betroffenen als auch deren Steuer-ID, welchen Brasilien ein wesentliches Identifikationsmerkmal ist. Zusätzlich erbeuteten die Hacker noch Daten zu 104 Millionen angemeldeten Autos.
Mehr dazu erfahren Sie hier:
2. Entscheidungen des Monats:
Nun also doch: Verstöße gegen die Einwilligungs-Pflicht von Cookies könnten abgemahnt werden
Das LG Köln (Beschl. v. 29.10.2020 – 31 O 194/20) hat entschieden, dass es sich beim Setzen von Cookies ohne die erforderliche Einwilligung um einen Wettbewerbsverstoß handelt. Im vorliegenden Fall erwirkte der Antragssteller eine einstweilige Verfügung. Das Gericht untersagte es dem Antragsgegner, Cookies zu setzen, ohne die aktive Einwilligung der Nutzer einzuholen.
Das Besondere an dem Fall ist, dass das LG den Wettbewerbsverstoß dabei in einer Verletzung der E-Privacy-Richtlinie sah und zugleich die Anwendbarkeit der DSGVO verneinte. Damit öffnet sich gleichzeitig der Anwendungsbereich des Gesetzes gegen den unlauteren Wettbewerb (UWG), was wiederum grundsätzlich bedeutet: Verstöße können von Wettbewerbern abgemahnt werden.
Anzumerken und zu betonen ist jedoch, dass es sich hierbei um ein erstinstanzliches Urteil handelt. Ob die höheren Instanzen vor allem die Frage der Unanwendbarkeit der DSGVO ebenfalls bejahen (denn nach weiterhin häufig vertretener Meinung sind Verstöße gegen die DSGVO nicht abmahnbar), bleibt also abzuwarten.
Das Urteil ist abrufbar unter: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG%20K%F6ln&Datum=29.10.2020&Aktenzeichen=31%20O%20194/20
Nicht nur eine, nein zwei Aufsichtsbehörden können zuständig sein. Generalanwalt am EuGH stellt Weichen für Entscheidung zu Facebook
In einem vor dem Europäischen Gerichtshofs (EuGH) anhängigen Verfahren hat der Generalanwalt nun seine Schlussanträge gestellt. Zwar hat der Generalanwalt „nur“ die Aufgabe, nach der mündlichen Verhandlung öffentlich und in völliger Unparteilichkeit und Unabhängigkeit einen Vorschlag für ein Urteil in der Form von begründeten Schlussanträgen zu stellen. Weil ihm das Gericht dabei aber in den allermeisten Fällen folgt, stellen die Schlussanträge de facto oftmals die Weichen für das Urteil.
Im vorliegenden Fall geht es um die Frage, welche Datenschutzaufsichtsbehörde für die Ahndung von Datenschutzverstößen gegen Facebook zuständig ist. Im September 2015 leitete die belgische Datenschutzbehörde vor belgischen Gerichten ein Verfahren gegen mehrere Unternehmen der Facebook-Gruppe ein, nämlich gegen Facebook Inc., Facebook Ireland Ltd, das die Hauptniederlassung der Gruppe in der EU ist, und gegen Facebook Belgium BVBA. Weil sich die EU-Niederlassung von Facebook aber in Irland befindet und die DSGVO eine Zuständigkeit der dortigen Datenschutzaufsicht statuiert, argumentierte Facebook, dass die belgische Datenschutzaufsichtsbehörde mit der Einführung der DSGVO im Jahr 2018 rückwirkend ihre Zuständigkeit verloren haben. Anzumerken ist, dass die irische Datenschutzaufsichtsbehörde eher für ihre „laxe“ Ahndung von Datenschutzverstößen bekannt ist.
Der Generalanwalt beim EuGH Datenschutzaufsichtsbehörde Bobek hingegen sieht beide Aufsichtsbehörden als zuständig an: Die Datenschutzbehörde des Staates, in dem sich die Hauptniederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU befindet, hat eine allgemeine Zuständigkeit, um gerichtliche Verfahren wegen Verstößen gegen die Datenschutz-Grundverordnung in Bezug auf grenzüberschreitende Datenverarbeitung einzuleiten. Die anderen betroffenen nationalen Datenschutzbehörden seien jedoch zuständig für Datenschutzverstöße, die gerade keinen grenzüberschreitenden Bezug haben, sondern im Wesentlichen in einem Mitgliedsstaat auswirken.
Folgt der EuGH dieser Auffassung, dürften künftig potenziell alle Datenschutzbehörden in Europa für die Ahnung der in ihrem Mitgliedsstaat vorgefallenen Datenschutzverstöße zuständig sein.
Die Schlussanträge sind abrufbar unter: http://curia.europa.eu/juris/documents.jsf?oqp=&for=&mat=or&lgrec=de&jge=&td=%3BALL&jur=C%2CT%2CF&num=C-645%252F19
3. Blog-Beiträge der anderen
- Der Berliner Senat beschäftigt sich im Rahmen einer aktuellen Anfrage mit der datenschutzrechtlichen Zulässigkeit des Einsatzes von digitalen Lernplattformen. Über die Details der Anfrage berichtet der Kollege Piltz unter: https://www.delegedata.de/2021/01/berliner-senat-datenschutzrechtliche-rechtsgrundlage-fuer-einsatz-von-digitalen-lernplattformen-und-videokonferenzdiensten-in-schulen/ (De Lege Data)
- Ebenfalls mit dem Thema Datenschutz beim Distanz-Unterricht, aber in einem anderen Zusammenhang, beschäftigt sich Dr. Datenschutz. Denn der Landesdatenschutzbeauftragte von Rheinland-Pfalz äußert sich in einer aktuellen Stellungnahme tolerant gegenüber dem Einsatz von US-Videokonferenzdiensten an Schulen. Mehr darüber lesen bei unter: https://www.dr-datenschutz.de/lfdi-toleriert-einsatz-von-us-videokonferenzsystemen-an-schulen/ (Dr. Datenschutz)
4. Best Of comp/lex Datenschutz-Updates 2020
Das ereignisreiche Jahr 2020 haben wir (zum Glück) hinter uns gebracht und hoffen, dass das Jahr 2021 nicht nur in Sachen Corona, sondern auch im Bereich des Datenschutzes besser wird. Zunächst aber möchten wir uns an dieser Stelle mit den in unseren Augen wichtigsten Themen unserer Datenschutz-Updates des vergangenen Jahres 2020 beschäftigen.
Schrems-II-Urteil des EuGH
2020 fällte der EuGH das Schrems-II-Urteil zu internationalen Datentransfers. Es war das mit Abstand wichtigste und weitreichendste Thema des Jahres 2020 und darüber hinaus jedenfalls seit Einführung der DSGVO. Darüber haben wir in unserer Sonderaufgabe des Datenschutz-Updates berichtet (abrufbar hier: https://comp-lex.de/datenschutz-update-sonderausgabe-schrems-ii/).
Nun, ein gutes halbes Jahr später, besteht die Unsicherheit auf Seiten der Unternehmen fort. Es gibt jedoch mit den angekündigten neuen Standardvertragsklauseln (wir berichteten hier: https://comp-lex.de/datenschutz-update-november-2020/) hoffentlich in den nächsten Wochen endlich ein vernünftiges Instrument, um Datentransfers (wieder) auf rechtssichere Füße zu stellen.
Lesson learned in 2020: Aufsichtsbehörden ziehen die Zügel enger
Beim nächsten wichtigen Thema des Jahres 2020 handelt es sich eher um eine allgemeine Tendenz: Nach unserem Eindruck hat sich im letzten Jahr besonders gezeigt, dass die Datenschutzaufsichtsbehörden die „Sanktions–Zügel“ spürbar anziehen. Die Fälle, in denen Datenschutzbehörden die Vorgaben der DSGVO konsequent durchsetzen, häufen sich. Zugleich verlieren die Datenschutzaufsichtsbehörden die in der Vergangenheit offensichtlich noch bestehenden Hemmungen, vom Bußgeldrahmen der DSGVO Gebrauch zu machen. In einem Satz zusammengefasst können wir für die Entwicklung des Datenschutzrechts im Jahr 2020 festhalten: Die Bußgelder werden häufiger und sie werden höher. Datenschutz-Compliance wird also immer wichtiger.
Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.
Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:
- Abonnieren Sie unsere Tipps und Tricks.
- Lesen Sie unsere kostenlosen E-Books.
- Informieren Sie sich über unsere Leistungen.
- Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.
- Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.
Ihre Ansprechperson
Dr. Sonja Detlefsen
Lesen Sie hier weiter:
Unsere DSGVO-Checkliste für IT-Unternehmen
Was muss Ihr IT-Unternehmen tun, um DSGVO-konform aufgestellt zu sein? Wir erklären es Ihnen!
E-Book: Der richtige Datenschutzbeauftragte für Ihr IT-Unternehmen
Viele IT-Unternehmen wissen nicht, welcher der richtige Datenschutzbeauftragte für sie ist. In diesem E-Book stellen wir alle Vor- und Nachteile bei der Wahl Ihres Datenschutzbeauftragten übersichtlich gegenüber. So finden Sie den richtigen Datenschutzbeauftragten für Ihr IT-Unternehmen.
Unsere Top-Artikel:
- Preisanpassungsklauseln wirksam vereinbaren
- Konfliktsituationen: Fünf Tipps zum richtigen Verhalten
- Regelungen zur Freistellung bei Verletzung von Rechten Dritter in IT-Verträgen – was soll das?
- IT-Verträge in der Krise, Teil 2: Was tun, wenn der Kunde den Vertrag beenden will?
- AGB oder Nutzungsbedingungen – das brauchen Sie wirklich