Unser Datenschutz-Update im Februar 2023

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Februar 2023.

1. Nachrichten aus der Welt des Datenschutzes

DSGVO-Änderungen zur Beschleunigung grenzübergreifender Fälle

Die EU-Kommission hat sich vorgenommen, die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) zu vereinfachen und hierzu eine Gesetzesinitiative bereits für das zweite Quartal 2023 angekündigt. Durch die Änderungen soll die Zusammenarbeit der nationalen Aufsichtsbehörden in grenzüberschreitenden Fällen erleichtert werden. 

Immer wieder wird Irland als „Problemkind“ gesehen, denn die Data Protection Commission (DPC) ist Aufsichtsbehörde für Unternehmen wie Meta, Google, Twitter und Microsoft. Andere europäische Kontrollinstanzen werfen der DPC immer wieder zu lasche Durchsetzung der DSGVO vor. Im Europäischen Datenschutzausschuss (EDSA) kommt es oft zum Streit über Entscheidungsvorlagen der DPC, und nur über langwierige Verfahren kommt es – meistens – zum Ergebnis, dass die übrigen Aufsichtsbehörden die irische überstimmen. Hier soll nun das Verfahren beschleunigt werden. Auch Luxemburg sorgt häufig für Kritik bei der Durchsetzung der DSGVO. 

Die EDSA hat der EU-Kommission vorab eine Liste mit Änderungs- und Verbesserungswünschen überreicht. Es bleibt abzuwarten, wie weit die EU-Kommission in ihrem Update der DSGVO tatsächlich geht.

Klimaschutz ist keine datenschutzfreie Zone – Verantwortungsvoller Umgang mit personenbezogenen Daten, auch wenn damit kein Geld gemacht wird

Anfgang des Monats machte die „Letzte Generation“ damit Schlagzeilen, dass sie mehrere Listen mit Daten von Personen, die mit der Vereinigung in Kontakt standen, öffentlich zugänglich auf Google Drive vorhielten. Die Datensätze enthielten nicht nur Informationen zu Name, Telefonnummer und Wohnadresse, sondern auch sensible personenbezogene Daten wie zum Beispiel Angaben zur Lebenssituation oder über die Bereitschaft, ins Gefängnis zu gehen. Letzteres sind ganz klar Informationen über politische Meinungen. Diese fallen aber unter die besonderen personenbezogenen Daten gem. Art. 9 DSGVO, die wie der Name schon andeutet, besonders sensibel behandelt und geschützt werden müssen. Diese Informationen auf Google Drive öffentlich zugänglich zu speichern, ist eine datenschutzrechtliche Katastrophe.

Von der „Welt am Sonntag“ auf diese Daten angesprochen, wurde der Zugang daraufhin beschränkt. Eine Sprecherin der Vereinigung erklärte, die Ordner seien veraltet und würden nicht mehr verwendet. 

Unabhängig von den politischen Zusammenhängen zeigt sich hier, wie gedankenlos viele Menschen immer noch mit Datenspeicherung im Internet umgehen. Selbst junge Leute, die mit dem World Wide Web aufgewachsen sind, haben noch kein Gespür dafür, dass Ordner privat im Internet gespeichert per se keinen gesicherten oder „privaten“ Raum darstellen, den andere nicht einsehen können. Auch mit Zugangsrechten versehen sollten Ordner mit sensiblen Daten im Sinne von Art. 9 DSGVO (rassische und ethische Herkunft, religiöse und weltanschauliche Überzeugungen, Gesundheitsdaten, Daten zum Sexualleben u.a.) nicht einfach auf Google Drive gespeichert werden. In jedem Fall muss in solchen Fällen vor der Nutzung von Cloud-Funktionen etc. eine ernsthafte Risikoabwägung durchgeführt werden. Obwohl selbst in den Social Media jeder gern „seinen Datenschutz“ fordert oder geltend macht, muss ein echtes Bewusstsein für den Umgang mit Daten Dritter in breiten Kreisen immer noch erst geschaffen werden.

Fraglich bleibt auch, warum ein Ordner mit Daten, die veraltet sind, nicht einfach gelöscht wird. Eine Aufbewahrungspflicht dürfte wohl kaum in Betracht kommen.

Auch das Argument der Sprecherin, Teilnehmer:innen seien bereit, mit ihrem Namen einzustehen, ist interessant: Datenschutzrechtlich müsste dies anhand einer ausdrücklichen Einwilligung einer jeden betroffenen Person nachgewiesen werden, nachdem ausführlich über die Verwendung der Daten aufgeklärt wurde. 

Auch viele wirtschaftliche Unternehmen versuchen immer noch, sich um die Einhaltung von Einwilligungen zu drücken oder möglichst wenig über die Zwecke der Verarbeitung den Betroffenen zu verraten. Damit ernten sie – zu Recht – immer wieder Kritik. Hier wird Dank Gerichtsurteilen und Handeln der Aufsichtsbehörden mittlerweile für mehr und mehr Bewusstheit im Umgang mit Daten gesorgt. 

Aber auch in den unentgeltlichen Lebensbereichen wie bei vielen Vereinen, in denen es zur Datenerhebung kommt, müssen dieselben Regeln beachtet werden, und das ist vielen nicht wirklich bewusst. Nur weil man damit „kein Geld“ macht, sind personenbezogene Daten sorgfältig und verantwortungsbewusst zu behandeln und die Regeln der DSGVO zu beachten. (Ein solches Bewusstsein wäre auch schön unter Privatpersonen, für die die DSGVO untereinander natürlich nicht gilt.) 

Mehr dazu hier: Golem.de: IT-News für Profis

Datenschutz-Klatsche für Klima-Kleber

2. Entscheidungen des Monats

Das leidige Cookie-Banner

Selbst Menschen, die selbst ein Cookie-Banner auf ihrer Seite vorhalten, sind genervt von den Cookie-Bannern anderer Webseiten. Doch so schnell wird da wohl leider keine einfache Lösung gefunden. Auch nach Einführung des TTDSG wird munter diskutiert, wie das Cookie-Banner – es ist schon längst kein „Banner“ mehr – genau ausgestaltet sein soll. Viele Unternehmen versuchen noch immer, sich um die Vorgaben von Gesetz und Aufsichtsbehörden zu drücken. 

Nun gab es wieder ein interessantes Urteil des LG München (Urteil vom 29.1.2022, Az 33 O 14776/19) zur Ausgestaltung von Cookie-Bannern, vor allem zur Freiwilligkeit der Einwilligung. Das Urteil ist noch nicht rechtskräftig und die Beklagte hat Rechtsmittel eingelegt. Trotzdem leiten sich ein paar Grundsätze für das Cookie-Banner ab, die man schon jetzt ernst nehmen sollte.

Die Beklagte nutzte ein im Netz übliches Cookie-Banner mit einem Einwilligung-Button und einem Button „Einstellungen“. Erst wenn Nutzer:innen auf den letzteren klicken, kommen sie zur Auswahl und zur Möglichkeit „alle abzulehnen“/„nur erforderliche Cookies erlauben“.

Die Möglichkeit der Ablehnung erst auf 2. Ebene sah das LG München als unzulässige Erschwernis für Nutzer:innen. Begründet wurde dies folgendermaßen: „Zwar erscheint der damit beschriebene Aufwand als verhältnismäßig gering. Gleichwohl ist ein solcher zusätzlicher Aufwand angesichts der im Internet gerade üblichen Schnelligkeit und geringen Aufmerksamkeit der Nutzer nicht unerheblich.“

Nach Meinung des Gerichts müsste also schon auf der 1. Ebene des Cookie-Banners auch ein Button „alles ablehnen“ bzw. „nur erforderliche Cookies“ angeboten werden. 

Denn: „Bereits der Umstand, dass ein Besucher die Webseite der Beklagten nicht ohne weitere Interaktion mit der CMP nutzen kann, spricht gegen eine freiwillige Entscheidung.“

Ob dieser Punkt aus dem Urteil haltbar ist, wird sich zeigen. Denn aus dem Gesetz ergibt sich dieses Erfordernis nicht, dass Einwilligung und Ablehnung den gleichen Aufwand erfordern müssen. Diese Auffassung wird allerdings bereits von den Aufsichtsbehörden vertreten. Es bleibt abzuwarten, was in der nächsten Instanz entschieden wird. Nicht bestreitbar ist zumindest, dass der zusätzliche Klick auf die 2. Ebene und das Suchen nach dem Button „alles ablehnen“ Zeit (und Nerven) kostet.

Weiter kritisiert das LG München, dass der Einwilligung-Button farblich hervorgehoben ist im Gegensatz zum Button „Einstellungen“. Diese farbliche Beeinflussung findet man bei vielen Cookie-Bannern. Bei manchen ist der Button „Einstellungen“ auch immer noch kleiner oder an einer anderen Stelle als der Einwilligungsbutton zu finden. Hier könnte eine unzulässige Beeinflussung schon eher anzunehmen sein. 

Darüber hinaus führt das Gericht an, dass nur aus dem Fließtext ersichtlich ist, dass auch abgelehnt werden kann. Allein aus den „Einstellungen“ ist das nicht ersichtlich. Dies ist in der Tat eine Beeinflussung der Nutzer:innen dahingehend, schnell auf „alles annehmen“ zu klicken. Allerdings geht die Idee der Seitenbetreiber:innen mittlerweile ins Leere, da Nutzer:innen überwiegend wissen, wo der Ablehnungs-Button zu finden ist. Dadurch wird die Frage wieder relevant, wie es sich auswirkt, wenn man Nutzer:innen erschwert, nur erforderliche Cookies zuzulassen und unter welchen Umständen davon auszugehen ist.

Eine Entscheidung dazu, dass das Unternehmen auch die Einwilligung für die Datenweitergabe an zahlreiche Drittanbieter:innen über das Cookie-Banner einholen wollte, wurde vom Landgericht nicht getroffen mit dem Hinweis, dass die Anträge nur auf das TTDSG und nicht auf die DSGVO gestützt waren. 

Fazit: Zwar ist das Urteil noch nicht rechtskräftig. Trotzdem lassen sich hieraus Konsequenzen für die eigenen Cookie-Banner ziehen. Man sollte davon absehen, den Button „alles annehmen“ farblich hervorzuheben bzw. zumindest dann den Button „Einstellungen“ auf derselben Höhe platzieren. Natürlich ist die Chance, dass Nutzer:innen die Cookies ablehnen größer, wenn der Button „alles ablehnen“ schon auf 1. Ebene angeboten wird, als wenn man erst auf die Einstellungsebene gehen muss. Hierzu bleibt noch offen, ob es tatsächlich eine unzulässige oder eine zulässige Erschwernis darstellt.

Allerdings ist hier ein Klageverfahren der Verbraucherzentrale gegen Google zu beachten. Es geht um dieselbe Thematik: Die Ablehnung wurde auf dem Google-Banner für die Nutzer:innen schwieriger gemacht als die umfassende Einwilligung. Google gab eine Unterlassungserklärung ab und das Klageverfahren wurde für erledigt erklärt. Google hat daraufhin sein umstrittenes Banner geändert. 

Mehr dazu finden Sie hier: Einsatz von Tracking-Cookies auf Focus.de war rechtswidrig

Abmahnung führt zum Erfolg: Google ändert umstrittene Cookie-Banner

Mit einem DSGVO-Auskunftsanspruch dürfen auch datenschutzfremde Ziele verfolgt werden

In einem Fall vor dem OLG Celle (Urteil vom 15.12.2022 – Az 8 U 165/22) wehrte sich der Kläger gegen Prämienanpassungen durch eine private Krankenkasse. Um diese nachzuvollziehen, forderte er Auskunft über die vergangenen Beitragsanpassungen. Die Beklagte verweigerte diese Auskunft und wies darauf hin, das Begehren sei rechtsmissbräuchlich, da es keinen DSGVO-Grund darstelle. 

Das OLG entschied nun entgegen der Vorinstanz vor dem LG Stade, dass das Auskunftsbegehren des Klägers rechtmäßig sei. „Bei dem Auskunftsantrag des Klägers handelt es sich auch nicht um einen offenkundig unbegründeten oder exzessiven Antrag im Sinne von Art. 12 Abs. 5 Satz 2 DS-GVO. In der Verordnung findet sich als Regelbeispiel für die Annahme eines exzessiven Antrags der Fall von häufiger Wiederholung. Davon kann im vorliegenden Fall keine Rede sein, weil der Kläger mit seiner Klage die erstmalige Erteilung einer Kopie der maßgeblichen Unterlagen begehrt.

Unmaßgeblich ist auch die Motivationslage des Klägers, weil die Verordnung den Auskunftsanspruch nicht von einer bestimmten Zielsetzung des Anspruchsinhabers abhängig macht und dementsprechend der Antrag auf Auskunftserteilung auch nicht begründet werden muss (vgl. BGH, EuGH-Vorlage vom 29. März 2022 – VI ZR 1352/20; OLG Köln, Urteil vom 13. Mai 2022 – 20 U 198/21; juris Simitis/Hornung/Spiecker, DS-GVO mit BDSG, Art. 15 DS-GVO, Rn. 11; Schmidt-Wudy in: BeckOK Datenschutzrecht, Stand: 01.08.2022; DS-GVO Art. 15, Rn. 85).“

Fazit: Ein Auskunftsanspruch über gespeicherte Daten kann auch dann geltend gemacht werden, wenn nicht vorrangig datenschutzrechtliche Gründe dazu motivieren.

Rechtswidrige Einwilligung wegen Intransparenz der Datenverarbeitung und der Empfänger:innen

Das OLG Wien hat in einem Urteil (OLG Wien 24.11.2022, 2 R 48/20y) eine Einwilligungsklausel der Fluggesellschaft Laudamotion für unzulässig erklärt, weil sie gegen die DSGVO verstößt. 

Gegenstand des Verfahrens war unter anderem diese Klausel: „Sie erkennen an, uns Ihre persönlichen Daten zu folgenden Zwecken zur Verfügung gestellt zu haben: Abwicklung von Flugbuchungen, Erwerb von Zusatzleistungen wie Hotelbuchungen und Fahrzeuganmietung, Entwicklung und Angebot von Dienstleistungen wie besonderer Betreuung von Personen mit eingeschränkter Mobilität, Erleichterung von Einreiseverfahren sowie die Übermittlung dieser Daten an die zuständigen Behörden im Zusammenhang mit der Durchführung Ihrer Reise. Zu diesem Zweck ermächtigen Sie uns, diese Daten zu verwahren und zu verwenden, und sie an unsere eigenen Büros, Behörden oder Anbieter der oben genannten Dienstleistungen weiterzugeben. Ihre persönlichen Daten werden nicht ohne Ihr vorheriges Einverständnis zu Marketingzwecken verwendet.“

Bemängelt wurde vom Gericht, dass die Nutzer:innen nicht klar erkennen können, wer die möglichen Empfänger:innen der verarbeiteten Daten sind und zu welchem Zweck sie die Daten bekommen. Die Verarbeitungszwecke sind nur allgemein umschrieben, dadurch können die Betroffenen die konkreten Zwecke der jeweiligen Datenverarbeitung nicht überschauen. 

Ebenso sind die Empfänger:innen der Daten nicht konkret benannt. Ob es ausgereicht hätte, wenn die Empfängerkategorien deutlich aufgelistet worden wären oder ob die Identität der jeweiligen Empfänger:innen konkret hätte genannt werden müssen – ein immer wieder kehrender Diskussionspunkt -, geht aus dem Urteil nicht ganz hervor. Allerdings haben Betroffene grundsätzlich den Auskunftsanspruch auf die Nennung der Identität der Empfänger:innen. 

Eine Verarbeitung personenbezogener Daten wäre zwar dann zulässig, so das Gericht, wenn sie zur Erfüllung des Vertrages unbedingt erforderlich ist. Die in der Klausel genannten Zwecke wie z.B. der „Erwerb von Zusatzleistungen wie Hotelbuchungen“ oder die Verarbeitung zum Zweck der „Entwicklung und Angebot von Dienstleistungen“ – seien aber zur Erfüllung des Beförderungsvertrags nicht notwendig.

Fazit: In diesem Urteil ging es diesmal um den Text einer Einwilligung und nicht um Datenschutzhinweise bzw. die konkrete Geltendmachung des Auskunftsanspruchs wie im EuGH-Urteil (wir berichteten hier). Die Situation – transparente Information der Betroffenen – ist jedoch gleich. Es ist davon auszugehen, dass sowohl in Einwilligungstexten als auch insbesondere in Datenschutzhinweisen die Empfängerkategorien sehr konkret aufzulisten sind. In jedem Fall können Betroffene die Identität der Empfänger:innen mit Hilfe des Auskunftsanspruchs erfragen.

3. Das schreiben die Anderen zum Datenschutz

• vzbv prüft Datenschutz bei Anbietern von Videosprechstunden
• Immer noch kein Schutz für Hinweisgebende