Unser Datenschutz-Update im Juni 2023

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Juni 2023.

1. Nachrichten aus der Welt des Datenschutzes

Einwilligungsverwaltung gem. § 25 TTDSG – Neuer Verordnungsentwurf für Dienste (PIMS)

Das Cookie-Banner, so berechtigt seine Existenz ist, stellt nicht nur für Nutzer:innen ein Zeit-Ärgernis dar, vielmehr mehr noch ist es die Quelle des Ärgers für die meisten Webseitenbetreiber:innen. Viele Banner entsprechen noch immer nicht den Anforderungen der DSGVO und selbst wenn sie den gesetzlichen Anforderungen entsprechen, verlieren die Nutzer:innen nur zu oft den Überblick. Außerdem sind die Nutzer:innen genervt, wenn bei jedem Besuch einer neuen Webseite als erstes das Einwilligungsbanner (denn eigentlich geht es nicht mehr nur um Cookies) aufpoppt. 

Nun gibt es einen Verordnungsentwurf, der sich mit den genauen Anforderungen an Dienste zum Einwilligungsmanagement befasst (so genannten PIMS, Personal Information Management Services). Die Idee dahinter ist, dass Nutzer:innen bei diesen Diensten ihre Präferenzen hinterlegen können. Webseitenbetreiber:innen können dann diese Informationen abrufen, wenn die Person die Seite besucht. Das ist zumindest die grobe Erklärung. 

Die Möglichkeit dieser Dienste existiert bereits nach dem TTDSG: Zur Anerkennung derselben enthält § 26 TTDSG Regelungen, die die Anerkennung von solchen Diensten zur Einwilligungsverwaltung regeln. Die genauen Details soll jedoch die zuständige anerkennende Stelle in einer Rechtsverordnung regeln. 

Nach dem TTDSG sind für die Anerkennung folgende Punkte zu erfüllen:

• nutzerfreundliches und wettbewerbskonformes Verfahren zur Einholung und Verwaltung einer Einwilligung 
• kein wirtschaftliches Eigeninteresse der Dienstanbieter:innen an der Erteilung der Einwilligung oder den verwalteten Daten 
• Unabhängigkeit der Diensteanbeiter:innen von Unternehmen, die ein solches Interesse haben können 
• die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen dürfen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten werden 
• ein Sicherheitskonzept, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen an den Datenschutz und die Datensicherheit, insbesondere gem. DSGVO, erfüllt.

Der Verordnungsentwurf regelt nun die Einzelheiten dieser Anforderungen. Konkret geht es hier um folgende Punkte:

• die Benutzeroberfläche des Dienstes zur Einwilligungsverwaltung muss den Nutzer:innen eine freie und informierte Entscheidung ermöglichen und darf diese also nicht behindern
• Nutzer:innen müssen die von ihnen abgegebenen Erklärungen inklusive Zeitstempel jederzeit einsehen können
• die abgegebenen Erklärungen müssen von den Nutzer:innen jederzeit geändert werden können
• bei Änderungen der Zugriffs- und Speichervorgänge müssen die Nutzer:innen zur Überprüfung ihrer Einwilligungseinstellungen aufgefordert werden. Ebenso soll nach einem Jahr erneut eine Überprüfung angefragt werden, da die Einstellungen für ein Jahr Bestand haben sollen
• jede:r Anbieter:in von Telemedien muss die erforderlichen Einwilligungen erfragen können und die hierzu getroffenen Entscheidungen der Nutzer:innen müssen diesen übermittelt werden
• die Anbieter:innen dürfen in der Anzeige nicht bevor- oder benachteiligt werden, was durch ein einheitliches Darstellungsbild und eine alphabetische Reihenfolge gewährleistet werden kann

Im zweiten Teil des Verordnungsentwurfs werden Anbieter:innen dieser Dienste sowie Anbieter:innen von Telemedien – in diesem Fall die Webseitenbetreiber:innen – dahingehend verpflichtet, technische und organisatorische Maßnahmen nach dem Stand der Technik einzuhalten. Das bedeutet für die Anbieter:innen von Telemedien u.a., dass sie die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung bereitstellen und überprüfen, ob die jeweiligen Nutzer:innen bereits Einstellungen gespeichert haben.

Neben der Erfüllung der aufgezählten Anforderungen, müssen Diensteanbieter:innen einen entsprechenden Antrag stellen und ein Sicherheitskonzept vorlegen. Zuständig für die Entscheidung über die Anerkennung ist die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.

Insgesamt gibt der Verordnungsentwurf klare Vorgaben zu den Anerkennungsvoraussetzungen und zum Antrags-/Anerkennungsverfahren. Für Betreiber:innen von Webseiten könnte mit dem Einssatz der Dienste die Pflicht entfallen, Cookie-Banner einzusetzen. Inwieweit der Einsatz der Dienste sich in der Praxis tatsächlich bewährt – und vor allem, ab wann – bleibt abzuwarten. Denn der Entwurf muss noch ein paar Beteiligungen durchlaufen, und es bleibt abzuwarten, inwieweit Änderungen am Entwurf eingefügt werden.

Mehr dazu finden Sie hier: 

TTDSG: Es tut sich etwas!

BMDV – Verordnung über Dienste zur Einwilligungsverwaltung

Kandidatensuche per Google – Rechtsgrundlage für Speicherung der „Bewerberdaten“

Allgemein denken viele Menschen schnell: Was bei Google an personenbezogenen Daten verfügbar ist, kann man verwenden. Doch hier ist Vorsicht geboten. Auch wenn man gefühlt alles im Internet erfahren kann, bevor man personenbezogene Daten einer anderen Person verarbeitet, sollte geprüft werden, welche Rechtsgrundlage dafür zur Verfügung steht. 

Dies trifft insbesondere auf Anbieter:innen von Personaldienstleistungen zu, die über das Internet nach passenden Kandidat:innen für ihre Auftraggeber:innen suchen. Natürlich kann man bei Xing, LinkedIn und Co davon ausgehen, dass Personen, die hier ihre personenbezogenen Daten eingeben, auch von Unternehmen oder Recruiter:innen etc. angesprochen werden wollen. 

Aber wie ist es nun, wenn man die Daten auf anderem Weg über die Google-Suche findet? Hierzu musste sich jetzt der Hessische Beauftragte für Informationsfreiheit und Datenschutz (HBDI) äußern, dem folgende Beschwerde zugegangen war: 

Die Betroffene war von einem Personaldienstleister per E-Mail angeschrieben worden, in der dieser sie darüber informierte, dass ihre personenbezogenen Daten beim Dienstleister in der Bewerberdatenbank gespeichert worden waren zum Zweck des Aufbaus, der Aktualisierung der Datenbank und zur Suche von Kandidat:innen für Auftraggeber:innen. Die Daten habe der Dienstleister über öffentliche Datenbanken und soziale Medien erhalten. 

Die Betroffene wandte sich an den Hessischen Datenschutzbeauftragten mit der Bitte um Prüfung. Auf Nachfrage gab der Dienstleister detailliert Auskunft zur Quelle der Daten. Er war auf die Betroffene über die Google Suche aufmerksam geworden, wodurch er auf eine Webseite gelangte, die von der Betroffenen selbst in einem beruflichen Kontext betrieben wurde. Hier hatte er die Daten entnommen.

Außerdem kam es zur Aufklärung über den Verantwortlichen und dessen Datenschutzbeauftragten, die Rechtsgrundlage der Verarbeitung und das bestehende Widerspruchsrecht. Als Quelle der von ihr erhobenen Daten hatte der Dienstleister soziale Medien oder öffentliche Datenbanken angegeben. Nach Erhalt der E-Mail wandte sich die Betroffene mit Bitte um eine datenschutzrechtliche Prüfung und Bewertung an den HBDI, was zu einer Anhörung des Dienstleisters führte. Der Dienstleister erklärte dabei auf Nachfrage, er habe die Daten der Betroffenen einer durch sie betriebenen Webseite mit beruflichem Kontext entnommen, auf die er per Google Suche nach Qualifikationen für einen Auftraggeber aufmerksam geworden sei.

Der HBDI prüfte daraufhin die Rechtsgrundlage dieser Verarbeitung. Wichtig ist, dass § 26 Abs. 1 S. 1 BDSG, nach dem personenbezogene Daten verarbeitet werden dürfen „für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses“ nicht greift. Denn die Betroffene hatte nicht willentlich an einem Bewerbungsverfahren teilgenommen als ihre Daten gespeichert wurden. 

Art. 6 Abs. 1 lit. f DSGVO hingegen kommt in Betracht: Personenbezogene Daten dürfen „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten“ verarbeitet werden. Voraussetzung ist jedoch, dass eine Interessenabwägung ergibt, dass „nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“. Nach Meinung des HBDI war hier zu berücksichtigen, ob die Betroffene eine mögliche Datenverarbeitung für die verfolgten Zwecke vernünftigerweise erwarten konnte. Da sich die Daten der Betroffenen auf einer von ihr selbst betriebenen, beruflichen Webseite befanden und zudem frei zugänglich waren, hielt der HBDI diesen Punkt für gegeben. 

Doch es reicht nicht aus, nur eine Rechtsgrundlage zur Verarbeitung zu haben, auch die übrigen Pflichten der Verantwortlichen müssen erfüllt sein. Hierzu zählen auch die Informationspflichten. Diesen war der Personaldienstleister mit seiner E-Mail nachgekommen. In dieser informierte er nicht nur über die Verarbeitung, die Zwecke und die Herkunft der Daten, sondern auch über den eigenen Datenschutzbeauftragten und das der Betroffenen zustehende Widerspruchsrecht. Wobei der HBDI feststellte, dass die Quelle der Daten nicht (ausreichend) dargestellt war, jedoch auf Nachfrage hinreichend konkretisiert wurde.

Fazit: Auch für öffentlich zugängliche personenbezogene Informationen muss eine Rechtsgrundlage gefunden werden. Dabei ist auch zu berücksichtigen, zu welchem Zweck diese Daten öffentlich zur Verfügung gestellt wurden (rein privat oder beruflich). Dies ist in die Interessenabwägung mit einzubeziehen, soweit Art. 6 Abs. 1 Lit. f DSGVO in Betracht kommt.

Außerdem ist die betroffene Person über die Datenverarbeitung transparent und umfassend zu informieren. 

Mehr dazu finden Sie hier: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/2023-04/51-taetigkeitsbericht-des-hbdi_0.pdf

Wieder ein strenges Bußgeld der französischen Datenschutzbehörde CNIL

Die CNIL hat bereits in der Vergangenheit strenge Bußgelder gegen Unternehmen verhängt, die die Vorgaben der DSGVO nicht einhalten. Nun hat die Behörde erneut ein hohes Bußgeld, ganze 40 Millionen Euro, verhängt, diesmal gegen Criteo, ein auf Retargeting und personalisierte Werbung spezialisiertes Unternehmen.

Das Unternehmen analysiert Browsing-Gewohnheiten der Nutzer:innen, um entsprechende Anzeigen für einzelne Nutzer:innen nach ihren Interessen zu ermitteln. Criteo zeigt personalisierte Werbung an, wenn das Unternehmen im Rahmen von Echtzeitgeboten einen Zuschlag erhält. 

Die CNIL warf dem Unternehmen mehrere Verstöße gegen die DSGVO vor:

• Kein Nachweis der Einwilligung der Nutzer:innen. In mehreren Fällen war der Criteo-Tracker von Partnerunternehmen ohne vorherige Einhaltung der Einwilligung bei den Nutzer:innen eingesetzt worden.
• Die Nutzer:innen wurden nur unvollständig und intransparent über die Sammlung der Daten und ihre Verarbeitung informiert. 
• Bei Auskunftsersuchen von Betroffenen, kam Criteo seiner Auskunftspflicht nicht vollumfänglich nach und enthielt Informationen vor. 
• Bei Widerruf der Einwilligung kam Criteo seinen Pflichten nicht vollumfänglich nach. Es blieben Daten gespeichert, die weiterhin einen Bezug zur betroffenen Person und deren Nutzerverhalten herstellten.
• In den vertraglichen Regelungen zwischen Criteo und den Partnerunternehmen fehlten Regelungen zu datenschutzrechtlich wichtigen Punkten, u.a. zum Umgang mit Betroffenenrechten, Benachrichtigung über Datenschutzverletzungem. 

Die Verstöße veranlassten die CNIL, ein Bußgeld von 40 Millionen Euro zu verhängen. Diese Entscheidung wurde allen europäischen Aufsichtsbehörden zur Genehmigung vorgelegt. 

Fazit: Immer wieder zeigt sich, dass mit der Einhaltung der Einwilligung und der Wahrung von Informationspflichten und Betroffenenrechten nicht zu locker umgegangen werden sollte. Denn hier reagieren Aufsichtsbehörden (zu Recht) besonders sensibel, wenn sie bewusste Verstöße aufdecken.

Mehr dazu finden Sie hier: 

Personalised advertising: CRITEO fined EUR 40 million

CNIL verhängt 40 Millionen Euro Strafe gegen Criteo für DSGVO-Verstöße

2. Entscheidungen des Monats

Keine unzulässige Werbung durch Angabe der Webseitenpräsenz in einer Abwesenheitsnotiz

Das AG Augsburg hatte darüber zu entscheiden, ob die Angabe der URL der Unternehmenswebseite sowie der Social-Media-Profile in der E-Mail Signatur einer Urlaubsabwesenheitsnotiz eine unzulässige Werbung darstelle.

Das Gericht stellte zwar klar, dass „die Verwendung von unaufgeforderter elektronischer Post für die Zwecke der Werbung kann zwar grundsätzlich einen Eingriff in das allgemeine Persönlichkeitsrecht bzw. das Recht am eingerichteten und ausgeübten Gewerbebetrieb des Klägers darstellen.“

Unzulässige Werbung verneinte das Gericht in diesem Fall jedoch mit unter folgenden Argumenten:

„Die streitgegenständliche E-Mail der Beklagten hatte keinen werblichen Inhalt. Der Verweis auf die Internetpräsenzen der Beklagten durch die Angabe der URL stellt schon keine Werbung dar. (…) Denn dieser Verweis ist gerade nicht unmittelbar darauf gerichtet, die Förderung des Absatzes seiner Produkte oder Dienstleistungen zu erreichen. Er dient vielmehr Informationszwecken, ebenso wie die Angabe der weiteren Kontaktdaten, in deren Zusammenhang die Nennung der Internetpräsenzen als Teil der Signatur des Mitarbeiters zu sehen ist. Auch eine mittelbare Absatzförderung durch Imagewerbung kann das Gericht hierin gerade nicht erkennen.“

Außderm liege keine Rechtswidrigkeit der Beeinträchtigung vor, soweit überhaupt eine anzunehmen sei:

„(…) Der Kläger erhielt die Abwesenheitsnachricht im Rahmen einer laufenden Produktberatung, zu welcher er selbst mehrfach mit dem Mitarbeiter der Beklagten Kontakt aufgenommen und bereits kommuniziert hat.(…) Unterstellt, der Verweis auf die Internetauftritte der Beklagten würde eine Werbung darstellen, wäre in diesem Zusammenhang zu berücksichtigen, dass die unerwünschte Werbung durch Nennung der Mailadressen die Interessen des Klägers nur vergleichsweise geringfügig beeinträchtigt, zumal er diese einfach ignorieren konnte. (…) Vielmehr kann der Kläger es ohne jeden zeitlichen Aufwand unterlassen, die weiteren Internetpräsenzen der Beklagten anzuklicken. Ein Aussortieren eines werbenden Teils der E-Mail ist hierfür gerade nicht erforderlich. Die schutzwürdigen Belange des Klägers überwiegen vorliegend somit gerade nicht.“

Die Klage wurde entsprechend abgewiesen. 

Mehr dazu finden Sie hier:

AG Augsburg, Endurteil v. 09.06.2023 – 12 C 11/23 – Bürgerservice

3. Unser Tipp: 

Datenschutz und Nutzung der Verbindung mit dem Smartphone in Mietwagen

Die Sommerferien haben begonnen bzw. stehen vor der Tür. Viele sind auf Reisen nicht mit dem eigenen, sondern mit Mietwagen unterwegs. Und wer sich in der fremden Umgebung nicht auskennt, ist froh, wenn der Mietwagen über ein Navigationssystem verfügt. Die Autos bieten oft aber noch mehr „smarte“ Services. 

Natürlich kann man diese nutzen, aber vergessen sollte man nicht, am Ende der Reise alle selbst eingegebenen Daten zu löschen. Ansonsten kann die Vermieterin oder der nächste Mieter sämtliche Reisepunkte nachverfolgen. Besonders achtgeben sollte man, wenn man sein Smartphone mit dem Mietwagen verbindet, z.B. um seine Musiklisten zu hören. Denn dabei können auch weitere Daten übertragen werden, unter anderem sämtliche Kontakte. Das ist normalerweise nicht gewollt. In vielen Fällen bleiben diese Daten gespeichert, auch wenn man die Verknüpfung beendet. Deshalb sollten auch diese Daten vor Abgabe des Mietwagens am Ende der Reise unbedingt gelöscht werden. 

4. Das schreiben die Anderen zum Datenschutz

• Erhebung und Schutzwürdigkeit personenbezogener Daten in Rechnungen
• Was umfasst ein Identitätsmanagement (IdM)?
• Keine Angst vor dem Smartphone-Wechsel: Tipps für den Umzug

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.