Unser Datenschutz-Update im Juli 2023

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Juli 2023.

1. Nachrichten aus der Welt des Datenschutzes

„Pay or okay“ (PUR Abo) -zulässig, aber nicht in jeder Form 

In einem Bescheid des Landesbeauftragten für Datenschutz (LfD) Niedersachsen vom 17.05.2023 fiel die Entscheidung über ein PUR-Abo-Banner des Nachrichtendienstes heise.de negativ hinsichtlich der Rechtmäßigkeit aus. 

Schon die DSK hatte in ihrem Beschluss vom 22.3.2023 festgestellt, dass PUR-Abos – Werbe- und Trackingfreiheit gegen Bezahlung – grundsätzlich dsgvo-konform sein können. Das reichte den meisten Unternehmen als Aussage. Weiter hat sich jedoch die DSK zu den Umständen geäußert, die erfüllt sein müssen, damit das Abo bzw. die Einwilligung der Nicht-Abonnent:innen rechtmäßig sind. Dieses Voraussetzungen wurden von vielen Anbieter:innen – nach deren Abo-Bannern zu schließen – nicht weiter gelesen. So auch bei heise.de. 

Der LfD Niedersachsen ging in seinem Bescheid auf die genauen Voraussetzungen ein und kam zu dem Schluss, dass die über das Banner eingeholten Einwilligungen unwirksam waren. Die Gründe:

• Die Nutzer:innen hatten nur die Wahl, zu bezahlen (PUR-Abo) oder alles zu akzeptieren. Das heißt, ihnen wurde verwehrt, eine detaillierte Auswahl zu treffen, ob und wenn ja, welche Tracking- und Werbetools sie zulassen wollten. 

Schon die DSK hat in Ihrem Beschluss ausgeführt:

„Die Wirksamkeit von Einwilligungen von Nicht-Abonnentinnen und Nicht-Abonnenten ist bei den sogenannten Pur-Abo-Modellen sicherzustellen. Soweit mehrere Verarbeitungszwecke vorliegen, die wesentlich voneinander abweichen, müssen die Anforderungen an die Freiwilligkeit dahingehend erfüllt werden, dass Einwilligungen granular erteilt werden können. Dies bedeutet unter anderem, dass Nutzende die Möglichkeit haben müssen, die einzelnen Zwecke, zu denen eine Einwilligung eingeholt werden soll, selbst und aktiv auswählen zu können (Opt-in). Nur wenn Zwecke in einem sehr engen Zusammenhang stehen, kann eine Bündelung von Zwecken in Betracht kommen. Eine pauschale Gesamteinwilligung in insoweit verschiedene Zwecke kann nicht wirksam erteilt werden.“

Genau das war den Nicht-Abonennt:innen aber nicht möglich. Sie konnten nur allem zustimmen. Somit war ihre Einwilligung nicht als freiwillig anzusehen. 

Die Informationen, die auf der ersten Ebene des Cookie-Banners gezeigt wurden, reichten nicht für eine informierte Einwilligung aus, so befand der LfD Niedersachsen.

„In dem auf der Webseite (…) am 14.7.2021 verfügbaren Einwilligungsbanner und insbesondere auf der zweiten Ebene „Privacy-Manager“ war keine eindeutige Differenzierung dahingehend erkennbar, welche Datenverarbeitungen, die im Zusammenhang mit der Einbindung von Drittdiensten erfolgten, auf eine Einwilligung gestützt werden und welche nicht.“

„Die Auflistung im Privacy Manager stimmte nicht vollständig mit den Ergebnissen der technischen Prüfung beim Erstaufruf der Webseite (…) m 14.7.2021 überein, bei der Verbindungen zu den folgenden Servern von Drittdienstleistern festgestellt worden sind“

Die Cookies und Trackingeinstellungen waren bereits aktiviert, noch bevor die Nutzer:innen über das Banner eine Auswahl getroffen hatten. Der LfD Niedersachsen hierzu:

„Die technische Überprüfung (…) hat ergeben, dass bereits beim erstmaligen Aufruf im Browser und bevor der Nutzer irgendwelche Aktionen auf der Webseite ausgeführt hat, insbesondere bevor im Einwilligungsbanner verfügbare Schaltflächen angeklickt wurden, Cookies sowie lokale Speicherobjekte gesetzt und Nutzerdaten über das für die Nutzung der Webseite erforderliche Maß verarbeitet werden. Es wurden zu diesem Zeitpunkt 7 First-Party-Cookies, 15 Third-Party-Cookies, 16 Objekte im lokalen Speicher des Browsers, 28 Hosts von Drittdienstleistern und 17 Web-Beacons festgestellt.“

Wichtig – für sämtliche Einwilligungsbanner – ist auch die ausdrückliche Klarstellung des LfD Niedersachsens zu den Informationen auf den verschiedenen Ebenen:

„Beim Einsatz eines Einwilligungsbanners müssen auf erster Ebene zwar nicht alle Informationen umfassend angezeigt werden. Dem Betroffenen sind aber auf erster Ebene, ohne dass er weitere Fenster öffnen muss, die folgenden Informationen zu geben: 

konkrete Zwecke der Verarbeitung,

• sofern zutreffend, dass individuelle Profile angelegt und mit Daten von anderen Webseiten zu umfassenden Nutzungsprofilen angereichert werden,
• sofern zutreffend, dass Daten auch außerhalb des EWR verarbeitet werden und 
• an wie viele Verantwortliche die Daten offengelegt werden. 
• Aus Art. 7 Abs. 3 S. 3 DS-GVO ergibt sich zusätzlich die Pflicht des Betreibers der Webseite, Betroffene vor der Abgabe der Einwilligung auf ihr Widerrufsrecht hinzuweisen.“

In Konsequenz dieser Feststellungen sprach der LfD Niedersachsen eine Verwarnung aus. 

Heise reagierte bereits und änderte das PUR-Abo-Banner. Allerdings können die Nicht-Abonnent:innen erst auf zweiter Ebene die differenzierte Einwilligung geben bzw. verweigern. 

Fazit: Bei Einwilligungsbannern ist besonders darauf zu achten, dass die einwilligungsbedürftigen Einstellungen erst aktiviert werden, wenn die Nutzer:innen aktiv geworden sind und eine entsprechende Schaltfläche angeklickt haben. 

Unterschiedliche Zwecke, die sich voneinander unterscheiden, können nicht mit einer einzigen Einwilligung zusammengefasst werden.

Mehr dazu finden Sie hier: https://noyb.eu/sites/default/files/2023-07/11VerwarnungPurAboModellfinalgeschwrztp_Redacted.pdf

Angemessenheitsbeschluss für die USA – was bedeutet das konkret für Datenübermittlung in die Vereinigten Staaten?

Am 10.7.2023 hat die EU-Kommission den lang erwarteten Angemessenheitsbeschluss für den Datenschutzrahmen EU/USA – EU/US Data Privacy Framework angenommen. 

Heißt das nun, dass man sich keine Gedanken mehr über Standardvertragsklauseln und zusätzliche Sicherungsmaßnahmen machen muss, sondern alle US-Anbieter:innen sorgenfrei verwenden kann? Leider nicht ganz.

Der Angemessenheitsbeschluss gilt für US-Unternehmen, die sich dem Data Privacy Framework ausdrücklich anschließen und zertifizieren lassen. Ähnlich dem ehemaligen Privacy Shield also. Die Zertifizierung kann Zeit in Anspruch nehmen und nicht jedes US-Unternehmen hat Interesse daran, sich den Voraussetzungen aus dem Framework anzupassen. Gefordert sind unter anderem Datenminimierung und die Verpflichtung zur Datenlöschung. Für alle Unternehmen, die sich nicht zertifizieren lassen, bleibt es dabei, dass das Sicherheitsniveau als nicht angemessen gilt und die Datenübermittlung der Vereinbarung von Standardvertragsklauseln, der Durchführung eines Transfer Impact Assessments (TIA) und weiterer Sicherheitsmaßnahmen bedarf. 

Was ist jetzt zu tun?

• Regelmäßig überprüfen, ob die genutzten US-Anbieter:innen (oder geplante Nutzung) nach dem Data Privacy Framework zertifiziert sind. Dies findet man entweder auf deren Webseiten heraus, meist in den Datenschutzhinweisen/Privacy Policy, oder auch über die Webeite https://www.dataprivacyframework.gov/s/participant-search.
• Ist das Unternehmen zertifiziert, müssen Sie Ihre Datenschutzhinweise entsprechend anpassen. Grundlage der Übermittlung sind nicht mehr die Standardvertragsklauseln, sondern der Angemessenheitsbeschluss in Verbindung mit der Zertifizierung nach dem Data Privacy Framework.
• Ist das Unternehmen nicht zertifiziert, bleibt alles „beim Alten“ s.o. TIA, Standardvertragsklauseln, weitere Sicherheitsmaßnahmen.

Es bleibt zu hoffen, dass möglichst schnell möglichst viele US-Unternehmen sich dem Data Privacy Framework anpassen und zertifizieren lassen.

Mehr dazu finden Sie hier: Trans-Atlantic Data Privacy Framework (TADPF) ist da – Endlich Rettung für Facebook, Google & Co?

2. Entscheidungen des Monats

Videoüberwachung und Datenspeicherung nach § 26 Abs. 1 BDSG – Verwertbarkeit im Arbeitsgerichtsprozess

Das BAG hat in seinem Urteil vom 29. Juni 2023 – 2 AZR 296/22 über die Verwertbarkeit von Videoüberwachungsaufnahmen zu entscheiden, die nicht alle Anforderungen der DSGVO erfüllen und kam zu dem Ergebnis: 

In einem Kündigungsschutzprozess gibt es kein grundsätzliches Verwertungsverbot für Aufzeichnungen aus einer offenen Videoüberwachung, selbst wenn die Überwachungsmaßnahme nicht vollumfänglich den Datenschutzbestimmungen entspricht. Die Aufnahmen dürfen im Prozess verwendet werden, wenn diese die vorsätzliche Vertragsverletzung einer Arbeitnehmerin oder eines Arbeitnehmers belegen sollen. 

Im vorliegenden Fall ging es um einen Teamsprecher in einer Gießerei, dem vorgeworfen wurde, eine bezahlte Mehrarbeitsschicht nicht geleistet zu haben. Der Arbeitgeber stützte sich auf Videoaufnahmen, die zeigten, wie der Kläger das Werksgelände vor Schichtbeginn verlassen hatte, trotz seiner Behauptung, gearbeitet zu haben.

Die Klage des Arbeitnehmers wurde zunächst in den Vorinstanzen stattgegeben, zuletzt vom Landesarbeitsgericht (LAG) mit der Begründung:

• Nach einer dazu bestehenden Betriebsvereinbarung durften die elektronischen Anwesenheitsdaten nur zur frühzeitigen Information der Vorgesetzten über das Betreten des Werksgeländes genutzt werden. Darüber hinaus sollte laut Betriebsvereinbarung keine personenbezogene Auswertung dieser Daten erfolgen.
• Auch auf die Videoaufzeichnungen über das Passieren der Werktore durch den Kläger durfte sich der Arbeitgeber nicht berufen. Denn nach einem bei den Kameras angebrachten Hinweistext sollten die Videoaufzeichnungen nur 96 Stunden vorgehalten werden. Im Streitfall hatte der Arbeitgeber aber erst im Jahr 2019 damit begonnen, die bereits im Jahr 2018 angefertigten Videoaufzeichnungen auszuwerten (LAG-Urteil, Rn.61). 

Das BAG gab der Revision des Arbeitgebers statt und verwies die Sache zurück ans LAG, um das Vorbringen des Arbeitgebers und die betreffende Bildsequenz zu prüfen.

Das Gericht stellte fest, dass es unerheblich ist, ob die Videoüberwachung den Datenschutzbestimmungen entsprochen hat, solange sie offen durchgeführt wurde und es um vorsätzliches vertragswidriges Verhalten des Arbeitnehmers geht. In einem solchen Fall können die Aufnahmen grundsätzlich im Prozess verwendet werden.

Ein prozessuales Verwertungsverbot ergibt sich auch nicht daraus, dass die Videoüberwachung mit den Vorgaben des Datenschutzrechts nicht im Einklang steht. Nur wenn eine Überwachungsmaßnahme eine schwerwiegende Grundrechtsverletzung darstellt, kann im Ausnahmefall aus Gründen der Generalprävention ein Verwertungsverbot in Betracht kommen. Eine solche schwerwiegende Grundrechtsverletzung lag im Streitfall aber nicht vor.

Fazit: Steht in einem Arbeitsgerichtsprozess die Auswertung von nicht ganz datenschutzkonformen Überwachungsmaßnahmen im Raum, müssen Gerichte eine Abwägung treffen zwischen den Rechten von Arbeitnehmer:innen, der Schwere des Vorwurfs gegen sie und der Schwere des Verstoßes gegen Datenschutzbestimmungen. 

Handelt es sich um eher formale Fehler bei den Aufzeichnungen und um gleichzeitig schwerwiegende Pflichtverstöße der Arbeitnehmer:innen, wird danach wohl die Abwägung zugunsten der Arbeitgeberinteressen ausfallen und eine Verwendung der Nachweise zulässig sein.

Mehr dazu finden Sie hier: Offene Videoüberwachung – Verwertungsverbot – Das Bundesarbeitsgericht

Rechtsmissbrauch bei sachfremdem Grund für einen Auskunftsanspruch

Der Auskunftsanspruch von Betroffenen ist bei Unternehmen gefürchtet. Bedeuten Sie doch meist einen erheblichen Aufwand und umfassen – wie schon einmal dargestellt – wirklich sämtliche Unterlagen, die personenbezogene Daten des Betroffenen beinhalten. 

Umso wichtiger ist es, vorab einen geltend gemachten Auskunftsanspruch genau zu prüfen, ob die- oder derjenige, die/der ihn geltend macht, auch wirklich Betroffene:r ist. Weiterhin ist jedoch auch der Zweck relevant, für den Betroffene den Auskunftsanspruch geltend machen.

Das OLG Brandenburg hat in einem solchen Fall ( Urt. v. 16.06.2023 – Az.: 11 U 9/23) entschieden: Begehren Kund:innen gegen ihre Versicherung eine DSGVO-Auskunft, um überprüfen zu können, ob die erfolgten Beitragserhöhungen rechtmäßig sind, ist dies rechtsmissbräuchlich.

Der Kläger war bei der Beklagten privat krankenversichert und begehrte Auskunft nach Art. 15 DSGVO, um überprüfen zu können, ob die erfolgten Prämienanpassungen rechtmäßig erfolgten.

Dies hielt das OLG für rechtsmissbräuchlich, denn:

„(…) Dieses Auskunftsrecht ist nach Auffassung des EuGH erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihr Recht auf Berichtigung, ihr Recht auf Löschung („Recht auf Vergessenwerden“) und ihr Recht auf Einschränkung der Verarbeitung, die ihr nach den Art. 16, 17 bzw. 18 DSGVO zukommen, sowie ihr in Art. 21 DSGVO vorgesehenes Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten oder im Schadensfall ihr in den Art. 79 und 82 DSGVO vorgesehenes Recht auf Einlegung eines gerichtlichen Rechtsbehelfs auszuüben (…).“

Als rechtsmissbräuchlich wird in Art. 12 Abs. 5 S. 2 DSGVO zwar lediglich die häufige Wiederholung als Beispiel für einen „exzessiven“ Antrag aufgeführt. Doch, so das OLG: 

„Die Verwendung des Wortes „insbesondere“ macht aber deutlich, dass die Vorschrift auch andere rechtsmissbräuchliche Anträge erfassen will und insoweit nicht abschließend ist (….).“

Ein Auskunftsanspruch sei im vorliegenden Fall grundsätzlich nicht ausgeschlossen, aber aufgrund des sachfremden Zwecks vom Kläger nicht verfolgt. Um eine Überprüfung der Daten, um die oben genannten Rechte ausüben zu können, ging es dem Kläger gerade nicht. 

„Der Senat verkennt nicht, dass die Kenntnis der Klagepartei von den Unterlagen, auf welche sich der geltend gemachte Anspruch bezieht, für sich genommen den datenschutzrechtlichen Auskunftsanspruch nicht ausschließt, da dieser dem Betroffenen eine Überprüfung der Rechtmäßigkeit der Datenverarbeitung, etwa eine Prüfung der Richtigkeit der Daten, ermöglichen soll (…).

Eine derartige datenschutzrechtliche Zielsetzung verfolgt der Kläger mit seinem streitgegenständlichen Auskunftsantrag indes – wie ausgeführt – aber nicht. Insbesondere richtet sich sein Begehren gerade nicht auf eine Auskunft darüber, ob die Beklagte die in den ihm bekannten Schreiben enthaltenen Informationen aktuell verarbeitet, insbesondere speichert (vgl. BGH, aaO); vielmehr geht sein Begehren allein dahin, Auskunft über den Inhalt dieser ihm bereits vorliegenden Schreiben zu erhalten, um etwaige Zahlungsansprüche gegen die Beklagte durchzusetzen (…).“

Fazit: Ein Auskunftsanspruch kann rechtsmissbräuchlich sein, wenn er zu anderen Zwecken geltend gemacht wird, als zu Überprüfungszweck der Richtigkeit und Vollständigkeit der bei einem Verantwortlichen gespeicherten Daten.

Haftungsrisiken des Verantwortlichen bei der Auftragsverarbeitung

In der Rechtssache C-683/21 bezog der Generalbundesanwalt in seinen Schlussanträgen Stellung zu der Frage, ob Bußgelder gemäß Art. 83 DSGVO gegen Verantwortliche (Art. 4 Nr. 7 DSGVO) verhängt werden können, wenn ihre Auftragsverarbeiter (Art. 28 DSGVO) personenbezogene Daten rechtswidrig verarbeiten.

Die Meinung des Generalbundesanwalts ist nicht überraschend, zeigt aber Konsequenzen für die Praxis auf. Der Generalbundesanwalt äußerte sich folgendermaßen:

Steht fest, dass die rechtswidrige Datenverarbeitung der Auftragsverarbeiter:innen im Rahmen des Auftrags für die Verantwortlichen erfolgte, ist eine Haftung und ein Bußgeld für den Verantwortlichen möglich

Bei eigenmächtigen Verarbeitungen der Auftragsverarbeiter:innen könne kein Bußgeld gegen Verantwortliche verhängt werden. Eigenmächtig bedeutet ohne Anweisung der Verantwortlichen, sondern die Auftragsverarbeiter:innen verarbeiten die Daten zu eigenen Zwecken. Eine weitere Ausnahme liegt vor, wenn eine gemeinsame Verantwortlichkeit vorliegt. 

Ausdrücklich ging der Generalbundesanwalt auch auf die Haftung für Übermittlung in unsichere Drittstaaten ein, ohne dass geeignete Sicherungsgarantien getroffen wurden. Dies gelte sowohl für den Einsatz von Auftragsverarbeiter:innen in diesen Drittländern, als auch für den Einsatz von Subunterauftragsverarbeiter:innen.

Was bedeutet das für die Praxis:

Es sollte sorgfältig darauf geachtet werden, die Weisungsbefugnis und Dokumentationspflicht im Auftragsverarbeitungsvertrag klar zu regeln. 

Ebenso ist auf die Regelungen zur Auslagerung der Datenverarbeitung zu achten. Denn grundsätzlich haben Verantwortliche für die Sicherheit der Daten bei den Verarbeitungen zu sorgen und müssen sich darüber informieren. Auch hier ist wichtig, dass die Verantwortlichen in einem Haftungsfall nachweisen können, dass Auftragsverarbeiter:innen ohne oder gegen die ausdrücklichen Weisungen der Verantwortlichen gehandelt haben. 

Ist die Verarbeitung durch die Auftragsverarbeiter:innen eher weit oder auslegungsfähig gefasst, ist darauf zu achten, ob eventuell von einer gemeinsamen Verantwortlichkeit ausgegangen werden kann, wenn Auftragsverarbeiter:innen ohne ausdrückliche Weisung der Verantwortlichen eine Verarbeitung vornehmen. So zum Beispiel, wenn die Verarbeitung auch einem Zweck des Verantwortlichen/der Auftraggeberin dient. In diesem Fall wäre eine vertragliche Regelung zur gemeinsamen Verantwortlichkeit wichtig. Denn fehlt diese, stellt allein das einen Verstoß gegen die DSGVO dar. 

Fazit: Unabhängig, wie sich der EuGH dazu äußert, sollte man seine Auftragsverarbeitungsverträge als Verantwortliche/Auftraggeber sehr genau auf Klarheit und Abgrenzung prüfen. Ebenfalls sollte man prüfen, in welchen Bereichen eine gemeinsame Verantwortlichkeit (Joint Controllership) in Betracht kommt, da hier die Verpflichtung zu einer eigenen vertraglichen Regelung beseht. 

3. Das schreiben die Anderen zum Datenschutz

• Microsofts gestohlener Schlüssel mächtiger als vermutet
• Ade Onlinemarketing?
• Das Recht auf Einschränkung der Verarbeitung

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.