Unser Datenschutz-Update im Januar 2021 (und das Beste aus 2020)

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Welt des Datenschutzes: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Januar – und der Rückblick auf ein ereignisreiches Jahr 2020.

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Welt des Datenschutzes: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Januar – und der Rückblick auf ein ereignisreiches Jahr 2020.


Sie möchten auch in kurzer Zeit viel im Job bewegen und gleichzeitig für Ihre Familie da sein? Dann bewerben Sie sich bei uns als:
Rechtsanwältin im IT-Vertragsrecht (m/w/d) in Teilzeit


1. Nachrichten aus der Datenschutzwelt

Einwilligungspflicht für Cookies: Entwurf des TTDSG veröffentlicht

Das Bundeswirtschaftsministerium hat kürzlich den Referentenentwurf des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien veröffentlicht (TTDSG) veröffentlicht. Dabei handelt es sich um ein Spezialgesetz zum Datenschutz und zum Schutz der Privatsphäre im Bereich der Telekommunikation und der Telemedien (also z.B. Apps und Webseiten). Hauptanliegen des Entwurfs ist, einen einheitlich Rechtsrahmen für Unternehmen zu schaffen, die bislang Regelungen aus der DGSVO, dem TKG, dem TMG und der E-Privacy-Richtlinie beachten müssen.

Besonders hervorzuheben sind die Vorgaben für den Einsatz von Cookies: Hier wird die ohnehin bestehende Pflicht erneuert, Cookies nur mit der expliziten und informierten Einwilligung des Betroffenen zu setzen oder auszulesen. Neu ist aber, dass Ausnahmen von der Einwilligungspflicht nun auch gesetzlich klar definiert werden. Solche Ausnahmen sollen künftig nur noch dann bestehen, wenn es das Setzen oder Abfragen von Cookies entweder zur Erbringung einer Kommunikationsleistung oder zwecks Zurverfügungstellung eines vom Betroffenen ausdrücklich gewünschten Telemediendienstes (also Apps und Webseiten) unbedingt erforderlich ist.

Auch wenn sich an der materiellen Rechtslage nichts Wesentliches ändert, ist der Entwurf zu begrüßen: So schafft er doch zumindest ein wenig mehr Durchblick im Paragraphendschungel. 

Den aktuellen Stand des Entwurfs und weitere Informationen zu dem Thema finden Sie hier: https://www.bmwi.de/Redaktion/DE/Artikel/Service/Gesetzesvorhaben/gesetz-zur-regelung-des-datenschutzes-und-des-schutzes-privatsphaere.html

Das wird teuer: Niedersächsische Landesdatenschutzbeauftragte ahndet Videoüberwachung am Arbeitsplatz mit Bußgeld i.H.v. EUR 10 Mio.

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.

Näheres dazu finden Sie hier: https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/lfd-niedersachsen-verhangt-bussgeld-uber-10-4-millionen-euro-gegen-notebooksbilliger-de-196019.html

Datenleck de luxe: Steuerdaten aller Einwohner Brasilien gestohlen

In Brasilien wurden Datensätze von über 220 Millionen Einwohnern, das dürften angesichts einer aktuellen Einwohnerzahl von 211 Millionen alle sein, von Hackern gestohlen. In den Datensätzen enthalten sind sowohl Namen und Geburtsdaten der Betroffenen als auch deren Steuer-ID, welchen Brasilien ein wesentliches Identifikationsmerkmal ist. Zusätzlich erbeuteten die Hacker noch Daten zu 104 Millionen angemeldeten Autos.

Mehr dazu erfahren Sie hier:

https://www.heise.de/news/220-Millionen-Datensaetze-geklaut-Gefahr-fuer-alle-Steuerzahler-Brasiliens-5035563.html

2. Entscheidungen des Monats:

Nun also doch: Verstöße gegen die Einwilligungs-Pflicht von Cookies könnten abgemahnt werden

Das LG Köln (Beschl. v. 29.10.2020 – 31 O 194/20) hat entschieden, dass es sich beim Setzen von Cookies ohne die erforderliche Einwilligung um einen Wettbewerbsverstoß handelt. Im vorliegenden Fall erwirkte der Antragssteller eine einstweilige Verfügung. Das Gericht untersagte es dem Antragsgegner, Cookies zu setzen, ohne die aktive Einwilligung der Nutzer einzuholen.

Das Besondere an dem Fall ist, dass das LG den Wettbewerbsverstoß dabei in einer Verletzung der E-Privacy-Richtlinie sah und zugleich die Anwendbarkeit der DSGVO verneinte. Damit öffnet sich gleichzeitig der Anwendungsbereich des Gesetzes gegen den unlauteren Wettbewerb (UWG), was wiederum grundsätzlich bedeutet: Verstöße können von Wettbewerbern abgemahnt werden.

Anzumerken und zu betonen ist jedoch, dass es sich hierbei um ein erstinstanzliches Urteil handelt. Ob die höheren Instanzen vor allem die Frage der Unanwendbarkeit der DSGVO ebenfalls bejahen (denn nach weiterhin häufig vertretener Meinung sind Verstöße gegen die DSGVO nicht abmahnbar), bleibt also abzuwarten.

Das Urteil ist abrufbar unter: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG%20K%F6ln&Datum=29.10.2020&Aktenzeichen=31%20O%20194/20

Nicht nur eine, nein zwei Aufsichtsbehörden können zuständig sein. Generalanwalt am EuGH stellt Weichen für Entscheidung zu Facebook

In einem vor dem Europäischen Gerichtshofs (EuGH) anhängigen Verfahren hat der Generalanwalt nun seine Schlussanträge gestellt. Zwar hat der Generalanwalt „nur“ die Aufgabe, nach der mündlichen Verhandlung öffentlich und in völliger Unparteilichkeit und Unabhängigkeit einen Vorschlag für ein Urteil in der Form von begründeten Schlussanträgen zu stellen. Weil ihm das Gericht dabei aber in den allermeisten Fällen folgt, stellen die Schlussanträge de facto oftmals die Weichen für das Urteil.

Im vorliegenden Fall geht es um die Frage, welche Datenschutzaufsichtsbehörde für die Ahndung von Datenschutzverstößen gegen Facebook zuständig ist. Im September 2015 leitete die belgische Datenschutzbehörde vor belgischen Gerichten ein Verfahren gegen mehrere Unternehmen der Facebook-Gruppe ein, nämlich gegen Facebook Inc., Facebook Ireland Ltd, das die Hauptniederlassung der Gruppe in der EU ist, und gegen Facebook Belgium BVBA. Weil sich die EU-Niederlassung von Facebook aber in Irland befindet und die DSGVO eine Zuständigkeit der dortigen Datenschutzaufsicht statuiert, argumentierte Facebook, dass die belgische Datenschutzaufsichtsbehörde mit der Einführung der DSGVO im Jahr 2018 rückwirkend ihre Zuständigkeit verloren haben. Anzumerken ist, dass die irische Datenschutzaufsichtsbehörde eher für ihre „laxe“ Ahndung von Datenschutzverstößen bekannt ist. 

Der Generalanwalt beim EuGH Datenschutzaufsichtsbehörde Bobek hingegen sieht beide Aufsichtsbehörden als zuständig an: Die Datenschutzbehörde des Staates, in dem sich die Hauptniederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU befindet, hat eine allgemeine Zuständigkeit, um gerichtliche Verfahren wegen Verstößen gegen die Datenschutz-Grundverordnung in Bezug auf grenzüberschreitende Datenverarbeitung einzuleiten. Die anderen betroffenen nationalen Datenschutzbehörden seien jedoch zuständig für Datenschutzverstöße, die gerade keinen grenzüberschreitenden Bezug haben, sondern im Wesentlichen in einem Mitgliedsstaat auswirken.

Folgt der EuGH dieser Auffassung, dürften künftig potenziell alle Datenschutzbehörden in Europa für die Ahnung der in ihrem Mitgliedsstaat vorgefallenen Datenschutzverstöße zuständig sein. 

Die Schlussanträge sind abrufbar unter: http://curia.europa.eu/juris/documents.jsf?oqp=&for=&mat=or&lgrec=de&jge=&td=%3BALL&jur=C%2CT%2CF&num=C-645%252F19

3. Blog-Beiträge der anderen

Viele IT-Unternehmen vernachlässigen ihren Datenschutz. Wie es rechtlich um Ihr Unternehmen steht, können Sie mit unserer DSGVO-Checkliste ganz einfach selbst überprüfen – damit Sie sich entspannt auf Ihre Geschäfte konzentrieren können:

4. Best Of comp/lex Datenschutz-Updates 2020

Das ereignisreiche Jahr 2020 haben wir (zum Glück) hinter uns gebracht und hoffen, dass das Jahr 2021 nicht nur in Sachen Corona, sondern auch im Bereich des Datenschutzes besser wird. Zunächst aber möchten wir uns an dieser Stelle mit den in unseren Augen wichtigsten Themen unserer Datenschutz-Updates des vergangenen Jahres 2020 beschäftigen.

Schrems-II-Urteil des EuGH

2020 fällte der EuGH das Schrems-II-Urteil zu internationalen Datentransfers. Es war das mit Abstand wichtigste und weitreichendste Thema des Jahres 2020 und darüber hinaus jedenfalls seit Einführung der DSGVO. Darüber haben wir in unserer Sonderaufgabe des Datenschutz-Updates berichtet (abrufbar hier: https://comp-lex.de/datenschutz-update-sonderausgabe-schrems-ii/).

Nun, ein gutes halbes Jahr später, besteht die Unsicherheit auf Seiten der Unternehmen fort. Es gibt jedoch mit den angekündigten neuen Standardvertragsklauseln (wir berichteten hier: https://comp-lex.de/datenschutz-update-november-2020/) hoffentlich in den nächsten Wochen endlich ein vernünftiges Instrument, um Datentransfers (wieder) auf rechtssichere Füße zu stellen.

Lesson learned in 2020: Aufsichtsbehörden ziehen die Zügel enger

Beim nächsten wichtigen Thema des Jahres 2020 handelt es sich eher um eine allgemeine Tendenz: Nach unserem Eindruck hat sich im letzten Jahr besonders gezeigt, dass die Datenschutzaufsichtsbehörden die „Sanktions–Zügel“ spürbar anziehen. Die Fälle, in denen Datenschutzbehörden die Vorgaben der DSGVO konsequent durchsetzen, häufen sich. Zugleich verlieren die Datenschutzaufsichtsbehörden die in der Vergangenheit offensichtlich noch bestehenden Hemmungen, vom Bußgeldrahmen der DSGVO Gebrauch zu machen. In einem Satz zusammengefasst können wir für die Entwicklung des Datenschutzrechts im Jahr 2020 festhalten: Die Bußgelder werden häufiger und sie werden höher. Datenschutz-Compliance wird also immer wichtiger. 

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Wie steht Ihr IT-Unternehmen datenschutzrechtlich da? Überprüfen Sie es mit unserer DSGVO-Checkliste für IT-Unternehmen.


Ihr Ansprechpartner


Themen:

Ähnliche Artikel: