Unser Datenschutz-Update im März 2022
In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den März 2022.
1. Nachrichten aus der Welt des Datenschutzes
Endlich DSGVO-konform Daten in die USA übermitteln?
Manch einer dürfte hoffnungsvoll aufgehorcht haben, als EU-Kommission und US-Regierung Details zu ihrem dritten Versuch preisgaben, einen sicheren Datenverkehr zwischen EU und USA zu ermöglichen. „Eine nie dagewesene Verpflichtung der USA“ bringe der geplante Transatlantische Datenschutzrahmen mit sich, so heißt es.
Ein Silberstreifen am Horizont für viele Unternehmen in Europa, die Clouddienste, Videokonferenzsysteme oder Software von US-Anbietern nutzen. Doch leider wird es noch eine ganze Weile dauern, bis eine dsgvo-konforme, risikofreie Nutzung dieser Dienste für EU-Nutzer möglich ist.
Zwar sollen in den geplanten Maßnahmen viele Kritikpunkte aus dem EuGH-Urteil (Schrems II vom 16. Juli 2020 ) berücksichtigt werden, wie man in dem von der EU-Kommission veröffentlichten PDF-Dokument „Trans-Atlantic Daten Privacy Framework“ lesen kann. Der Zugriff durch US-Geheimdienste soll beschränkt werden, es soll eine wirksame Kontrolle der neuen Datenschutz- und Bürgerrechtsstandards eingeführt werden, u.a. auch ein neues unabhängiges Rechtsbehelfssystem für Beschwerden betroffener Europäer.
Allerdings handelt es sich bisher nur um Ankündigungen. Ein neues Abkommen muss erst einmal ausgearbeitet und verabschiedet werden. Die Zusagen der USA werden weiterhin nur in einer „Executive Order“ aufgenommen. Diese Zusagen sind für Betroffene nicht einklagbar, sondern eben nur „Zusicherungen“ der Exekutive. Wird das neue Abkommen verabschiedet, wird es vom Europäischen Datenschutzausschuss geprüft, ob ein Angemessenheitsbeschluss ergehen kann.
Es wird also noch einige Zeit ins Land gehen, bis das neues Abkommen kommt. Dann bleibt zu hoffen, dass der neue Datenschutzrahmen schlussendlich die Anforderungen des Europäischen Gerichtshofs erfüllt und nicht erneut gekippt wird.
Mehr dazu finden Sie hier: Privacy Shield 2.0: USA geloben „beispiellose“ Überwachungsreform
1,9 Mio Euro Geldbuße wegen Verarbeitung personenbezogener Daten ohne Rechtsgrundlage
Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) als datenschutzrechtliche Aufsichtsbehörde verhängte gegen die BREBAU GmbH eine Geldbuße nach Artikel 83 Datenschutzgrundverordnung (DSGVO).
Grund für das Bußgeld war die Verarbeitung von Daten über Mietinteressent:innen, die für den Abschluss eines Mietverhältnisses nicht notwendig waren. Bei den Daten handelte es sich unter anderem über Angaben zu persönlichem Auftreten oder Körpergeruch bis hin zu besonders geschützte Daten gem. Art 9 DSGVO wie Religionszugehörigkeit oder ethnische Herkunft oder sexueller Orientierung.
Anlässlich dieses Aufsichtsverfahrens äußerte die Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Imke Sommer, auch zum Thema des Schutzes vor Diskriminierung durch die DSGVO: „Nach der DSGVO ist es nur in wenigen Ausnahmefällen überhaupt erlaubt, Daten über Hautfarbe, ethnische Herkunft, Religionszugehörigkeit, sexuelle Orientierung und über den Gesundheitszustand zu verarbeiten. Damit sorgt die DSGVO dafür, dass diese besonders geschützten Daten in den allermeisten Fällen gar nicht erst erhoben und gespeichert werden dürfen. Nicht erhobene Daten können nicht missbraucht werden. In diesem Sinne schützt die DSGVO auch vor Diskriminierungen.“
Anlässlich der Schwere der Verletzung des Grundrechts auf Datenschutz hätte die Geldbuße noch höher ausfallen können, so heißt es in der Pressemitteilung des LfDI, doch habe das Unternehmen im datenschutzrechtlichen Aufsichtsverfahren umfassend kooperiert.
Mehr dazu finden Sie hier: Aktuelles – Die Landesbeauftragte für Datenschutz
2. Entscheidungen des Monats
Hessischer VGH kippt Eilentscheidung zu Cookiebot-Verwendung
Nachdem das Verwaltungsgericht (VG) Wiesbaden in einem Eilverfahren am 01.12.2021 (Az. 6 L 738/21.WI) beschlossen hatte, dass der Einsatz von Cookiebot datenschutzrechtlich unzulässig sein soll, hat der Hessische Verwaltungsgerichtshof (VGH) dieses Urteil nun aufgehoben. Begründung: Das Verfahren sei zu komplex, als dass es in einem Eilverfahren entschieden werden könne.
Ein Betroffener, ein Rechtsanwalt, klagte gegen einen Webseitenbetreiber, der Cookiebot für das Einholen der Einwilligung zur Nutzung von Cookies durch die Webseitenbenutzer einsetzte. Cookiebot ist ein Dienst des dänischen Consent Management Providers Cybot. Beim Einsatz von Cookiebot würden jedoch die IP-Adressen ungekürzt zu Servern des US-amerikanischen Content-Delivery-Network-Anbieters (CDN) Akamai Technologiesan gesendet das. Damit dürfte die Übermittlung der Daten gemäß dem Schrems II Urteil des EuGH nicht ohne Einwilligung des Webseitenbesuchers übermittelt werden und sei somit unzulässig. Im Eilverfahren war die Nutzung von Cookiebot vom Verwaltungsgericht Wiesbaden für unzulässig erklärt worden.
Leider bedeutet die Entscheidung des VGH nicht, dass die Verwendung von Cookiebot nun zulässig ist, sondern dass über diese Frage erst in einem Hauptsacheverfahren entschieden wird. Bis dahin sollte im Zweifel lieber ein anderer Anbieter zur Verwaltung der Cookie-Einwilligungen verwendet werden.
Mehr dazu finden Sie hier: Hessischer VGH hebt einstweilige Anordnung gegen Hochschule auf
LG Frankfurt: Einhaltung einer Sammelerlaubnis für Telefonwerbung ist unzulässig
Der Anbieter eines Online-Gewinnspiels holte sich von den Teilnehmern im Rahmen der Registrierung die Einwilligung zur individuellen Telefonwerbung. Diese Einwilligung bezog sich auf 31 Unternehmen. Die Teilnehmer erklärten sich mit der Einwilligung mit dem Erhalt von Werbung „per E-Mail, Push-Notification, postalisch und/oder telefonisch“ durch die aufgelisteten Sponsoren einverstanden.
Zwar wurde den Teilnehmern die Möglichkeit geboten, die Weitergabe abzulehnen bzw. einzelne Unternehmen abzuwählen, dies war jedoch erst über zwei Links möglich. Erst über diese zwei Verlinkungen konnten die Teilnehmer die Listen der Sponsoren einsehen. Hiergegen klage der Bundesverband der Verbraucherzentrale.
Das Gericht sah einen Verstoß gegen Art 4 Nr. 11 DSGVO mit der Begründung, dass dem Verbraucher keine ausreichende und angemessene Information bei Abgabe der Einwilligung zur Verfügung stand. Ohne die wirksame Einwilligung handelt es sich damit bei der Telefonwerbung um eine unzumutbare Belästigung gem. § 7 Abs. 2 Nr. 2 UWG.
Mehr dazu finden Sie hier: Telefonwerbung: Urteil zu den Anforderungen an die Einwilligung
3. Unser Tipp: 4 Gewohnheiten, um im Internet die Privatsphäre schützen
Wenn Sie vermeiden wollen, dass Ihre Daten unnötig gesammelt und gespeichert werden, sollten Sie sich zum Besipiel diese 4 Tipps zur Gewohnheit machen:
- Wechseln Sie öfter den Browser
Wechseln Sie regelmäßig den Browser und nutzen Sie den icognito-Modus, oder – wenn Sie auf Google Chrome und andere US-Anbieter ganz verzichten wollen – nutzen Sie Browser aus Deutschland und der EU wie DuckDuckGo und Ecosia - Lesen Sie die Cookie-Einstellungen
Klicken Sie nicht einfach auf „Alle akzeptieren“, sondern nehmen Sie sich die Zeit, die Cookie-Einstellungen anzupassen, so dass Sie entweder eine individuelle Auswahl treffen, oder nur notwendige Cookies zulassen. - Verwalten Sie Ihre Berechtigungen sorgfältig
Nach dem Installieren von Apps sollten Sie die Berechtigungen überprüfen und nur die Einstellungen auswählen, die Sie wirklich zulassen wollen. Zum Beispiel sollten Sie entscheiden, ob die App wirklich Zugriff auf Ihre Kontakte, Ihre Kamera oder Ihren Standort braucht, damit Sie sie nutzen können. - Passwortsicherheit
Legen Sie Wert auf Passwortsicherheit. Dazu zählt nicht nur, dass Sie ein nicht leicht zu erratendes Passwort wählen, sondern auch, dass Sie nicht für alle Registrierungen dasselbe Passwort verwenden und dass Sie Ihre Passwörter sicher verwahren, wenn Sie sie sich nicht merken können. Auch sollten Sie Passwörter in regelmäßigen Abständen wechseln. Selbst dann, wenn Sie einen Passwort-Manager verwenden.
Mehr dazu finden Sie hier: Passwort-Manager im Test: Von 14 schneiden 3 gut ab
4. Das schreiben die Anderen zum Datenschutz
- Was muss man bei der Wahl von Cloud-Dienstleistern beachten? (Dr. Datenschutz, 21.03.2022)
- Belgische Datenschutzaufsicht: Zentraler Standard für Cookie-Banner rechtswidrig (heise online, 02.02.2022)
Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.
Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:
- Abonnieren Sie unsere Tipps und Tricks.
- Lesen Sie unsere kostenlosen E-Books.
- Informieren Sie sich über unsere Leistungen.
- Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.
- Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.
Ihre Ansprechperson
Dr. Sonja Detlefsen
Lesen Sie hier weiter:
Unsere DSGVO-Checkliste für IT-Unternehmen
Was muss Ihr IT-Unternehmen tun, um DSGVO-konform aufgestellt zu sein? Wir erklären es Ihnen!
E-Book: Der richtige Datenschutzbeauftragte für Ihr IT-Unternehmen
Viele IT-Unternehmen wissen nicht, welcher der richtige Datenschutzbeauftragte für sie ist. In diesem E-Book stellen wir alle Vor- und Nachteile bei der Wahl Ihres Datenschutzbeauftragten übersichtlich gegenüber. So finden Sie den richtigen Datenschutzbeauftragten für Ihr IT-Unternehmen.
Unsere Top-Artikel:
- Preisanpassungsklauseln wirksam vereinbaren
- Konfliktsituationen: Fünf Tipps zum richtigen Verhalten
- Regelungen zur Freistellung bei Verletzung von Rechten Dritter in IT-Verträgen – was soll das?
- IT-Verträge in der Krise, Teil 2: Was tun, wenn der Kunde den Vertrag beenden will?
- AGB oder Nutzungsbedingungen – das brauchen Sie wirklich