Unser Datenschutz-Update im Januar 2022

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Januar 2022.

1. Nachrichten aus der Welt des Datenschutzes

Google mahnt zu schnellem Abschluss eines „Privacy Shield“-Nachfolgeabkommens.

Nachdem die österreichische Datenschutzbehörde bekannt gab, dass sie den Einsatz von Google Analytics nicht für DSGVO-konform hält (mehr dazu lesen Sie weiter unten), drängt Google auf einen raschen Ersatz für das gescheiterte „Privacy Shield“-Abkommen zum Datentransfer zwischen der EU und den USA. Kent Walker, Google’s Chefjustiziar, betont die Bedeutung von verlässlichen Datenströmen im Alltag und in der Geschäftswelt. Er sei überzeugt, dass Google ausreichende Maßnahmen zu Verfügung stelle, um Kundendaten wirksam zu schützen. Google hätte auch noch nie eine Anfrage der NSA erhalten (welche jedoch dafür bekannt ist, sich einfach selbst zu bedienen).

Ob und wie Sie rechtskonform personenbezogene Daten in die USA übertragen können, erfahren Sie in diesem Beitrag.

Mehr dazu finden Sie hier: https://www.heise.de/news/Datenschutzauflagen-Google-mahnt-nachdruecklich-Privacy-Shield-Nachfolger-an-6335231.html

Aus großer Datenmenge folgt große Verantwortung!

Laut Art. 4 Nr. 11 der DSGVO ist eine Einwilligung eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (das brauchen Sie sich nicht zu merken – dafür sind wir zuständig).

Dieses Verständnis bezeichnet man als informationelle Selbstbestimmung – Sie können der Verarbeitung Ihrer persönlichen Daten zustimmen, müssen es aber nicht. Im Falle der Einwilligung einer Kundin oder eines Kunden dürfen deren bzw. dessen Daten so verarbeitet werden, wie sie bzw. er eben zugestimmt haben. Eine Erforderlichkeit der Datenverarbeitung scheint also nicht notwendig zu sein. Doch Vorsicht: Eine Einwilligung ist immer zweckgebunden (Art. 6 Abs. 1 lit. a DSGVO) und die erhobenen Daten müssen auf das notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit. c DSGVO). Auch mit Einwilligung dürfen Sie also nicht wahllos Daten erheben. Das verringert aber auch für Sie selbst das Risiko von Datenpannen, denn große Datenmengen sind schwerer zu verwalten, zu schützen und zu löschen.

Mehr dazu finden Sie hier: https://www.contentmanager.de/nachrichten/ttdsg-dsgvo-cookie-einwilligung-checkliste/

So holen Sie sich DSGVO-konforme Cookie-Einwilligungen.

Aus TMG und TKG ist im Dezember des letzten Jahres das TTDSG geworden. Von nun an verlangt der Einsatz von nicht unbedingt erforderlichen Cookies auch gesetzlich der Einwilligung der Endnutzerin und des Endnutzers – sonst drohen saftige Bußgelder. Technisch unbedingt erforderlich sind beispielsweise Cookies zum Login, zur Authentifizierung und für den Warenkorb. Außerdem benötigen Cookies zum Senden von Nachrichten keine Einwilligung.

Auch hier gilt die Legaldefinition einer Einwilligung nach Art. 4 Nr. 11 der DSGVO. Die Cookie-Einwilligung kann folglich nur durch aktive Zustimmung erfolgen, also durch ein Opt-In. Das erfordert gleichwertige Schaltflächen und macht auch voreingestellte Häkchen unzulässig. Zudem muss Ihr Cookie-Banner leicht verständlich sein, alle relevanten Informationen enthalten und auch auf die Widerrufsmöglichkeit hinweisen. Die Einwilligung müssen Sie beim allerersten Besuch Ihrer Website abfragen, und Sie sollten sie etwa alle 6 Monate erneuern.

Mehr dazu finden Sie hier: https://www.contentmanager.de/nachrichten/ttdsg-dsgvo-cookie-einwilligung-checkliste/

2. Entscheidungen des Monats

Kann Google Analytics DSGVO-konform eingesetzt werden?

Nachdem das Verwaltungsgericht Wiesbaden im Dezember den Einsatz der Consent-Management-Plattform „Cookiebot“ untersagte, geht es nun Google Analytics an den Kragen: Die österreichische Datenschutzbehörde hält Google’s Trackingtool für nicht DSGVO-konform. Die Entscheidung folgte auf eine Musterbeschwerde der Datenschutz-NGO noyb. Problem sei das Fehlen eines angemessenen Datenschutzniveaus bei der Übertragung personenbezogener Daten in die USA. Nach Ansicht der Datenschutzbehörde sind die Anforderungen gem. dem „Schrems II“-Urteil des EuGH nur erfüllt, wenn die zusätzlichen Maßnahmen gewährleisten, dass keine US-Behörde Zugriff auf Daten der EU-Bürger nehmen kann.

Dürfen Sie Google Analytics jetzt also noch einsetzen? Vorerst ja, denn zum einen arbeitete im vorliegenden Fall die IP-Anonymisierung nicht korrekt, was die Entscheidung zu einem Einzelfall macht. Zum anderen ist Google Ireland als Auftragsverarbeiter für die Übertragung der Daten zuständig – als Website-Verantwortliche:r könnten Sie daher nur mittelbar belangt werden. Doch wer weiß, welche Entscheidungen die Zukunft bringt. Wenn Sie auf Nummer sicher gehen möchten, raten wir Ihnen zum Einsatz alternativer Trackingtools für Ihre Website, beispielsweise Matomo. Ob sich die Entscheidung so durchsetzt, bleibt abzuwarten.

Mehr dazu finden Sie hier: https://www.datenschutz-notizen.de/oesterreichische-dsb-haelt-einsatz-von-google-analytics-fuer-nicht-dsgvo-konform-4833535/

Der Digital Services Act kommt!

Im Kampf gegen Hasskommentare, Kindesmissbrauch und Urheberrechtsverletzungen sollen Behörden künftig ohne richterlichen Vorbehalt Anordnungen an Host-Provider stellen können – so will es der vom EU-Parlament mit großer Mehrheit beschlossene Digital Services Act (DSA). Dabei soll auch die Möglichkeit zur Wiederherstellung von fälschlicherweise gelöschten Inhalten sichergestellt werden. Auch die Meinungsfreiheit muss geachtet werden – denn die Bestimmungen beziehen sich auch auf Desinformation. Behördlich eingebunden werden können soziale Netzwerke, Cloud- und Webhoster, sowie Anbieter:innen von E-Commerce. Für kleine Unternehmen sollen Ausnahmen beschlossen werden.

Mehr dazu finden Sie hier: https://www.heise.de/news/Digital-Services-Act-EU-Parlament-stimmt-fuer-Plattform-Grundgesetz-6333752.html

Nachlässigkeit bei der Datenlöschung kann zu Schadensersatzpflicht führen.

LG München I: 31 O 16606/20 vom 09.12.2021

Ein Finanzdienstleister versäumte die Beantragung der Löschung von Kundendaten bei seiner früheren Geschäftspartnerin CS Inc. – welche daraufhin bei einem Cyberangriff an der Geschäftspartnerin erbeutet wurden. Der Kunde verklagte seinen Finanzdienstleister und erhielt den Zuspruch des LG München. Die Nachlässigkeit des Finanzdienstleisters kostet diesen nun ein Schmerzensgeld in Höhe von 2.500 Euro. Weder die Zertifizierung des Dokumentenarchivs, noch die Rechtswidrigkeit des Cyberangriffs rechtfertigen demnach den Datenschutzverstoß nach Art. 32 der DSGVO. Sorgen Sie daher nach jeder Geschäftsbeziehung für die Herausgabe oder Löschung Ihrer Kund:innendaten!

Mehr dazu finden Sie hier: https://www.datenschutz-notizen.de/schadensersatzpflicht-wegen-nachlaessigkeit-5133318/

Bei unrechtmäßig gespeicherten Daten gilt keine Aufbewahrungspflicht.

OLG Dresden, Urt. v. 14.12.2021 – 4 U 1278/21

Hat ein:e Verantwortliche:r zu Unrecht personenbezogenen Daten gespeichert, darf bzw. muss er oder sie diese auch dann löschen, wenn sie Aufbewahrungspflichten unterliegen würden. Gesetzliche Aufbewahrungspflichten berechtigen nicht dazu, unrechtmäßig erhobene personenbezogene Daten aufzubewahren/zu speichern. Dem Löschungsbegehren einer oder eines Betroffenen muss also nachgekommen werden.

Der Beklagte war ein Inkassounternehmen. Irrtümlich waren die Daten des Betroffenen erhoben worden als Schuldner der Forderung – es handelte sich aber um eine Namensidentität mit dem tatsächlichen Schuldner. Der Betroffenen forderte die Löschung und Unterlassung der Verarbeitung seiner Daten. Das Gericht entschied:

1. Der Name einer Person ist auch bei Namensidentität mit Dritten ein personenbezogenes Datum, wenn die Identität durch Zusatzinformationen gesichert ist.
2. Gesetzliche Aufbewahrungspflichten stellen keine Rechtfertigung dar, um nicht rechtmäßig erhobene Daten dauerhaft speichern zu dürfen; es ist Aufgabe des Aufbewahrungspflichtigen, seinen Datenbestand so zu organisieren, dass der Zugriff auf rechtswidrig erlangte Daten des Betroffenen nicht möglich ist.

3. Unser Tipp: Nutzen Sie Android 12 für besseren Datenschutz!

Falls Sie Android nutzen und bereits ein Update auf Version 12 durchgeführt haben, dürfen Sie sich über einen stärkeren Fokus auf den Schutz Ihrer Daten freuen. Durch den Private Compute Core (PCC) und das Privatsphärendashboard muss Google keine privaten Daten mehr exportieren, um KI-Funktionen zugänglich zu machen. Im Privatsphärendashboard sehen Sie zudem, welche Berechtigungen durch welche Apps in Anspruch genommen werden.

Mehr dazu finden Sie hier: https://www.heise.de/tipps-tricks/Android-12-das-ist-neu-6336302.html

4. Das schreiben die Anderen zum Datenschutz

• Dürfen Arbeitgeber den Impfausweis kopieren? (datenschutz-notizen, 27.01.2022)
• Scoring: Mobilfunkbetreiber geben weiter Handy-Daten ungefragt an Schufa & Co. (heise online, 25.01.2022)
• Cookie-Nachfolge für Online-Werbung: Google beerdigt FLoC für User-Tracking (heise online, 25.01.2022)
• Politiker und Datenschutz: Scheinheiligkeit ohne Ende (Dr. Datenschutz, 19.01.2022)

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.