Unser Datenschutz-Update im Mai 2022

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Mai 2022.

1. Nachrichten aus der Welt des Datenschutzes

Der „Reject All“-Button – da lenkt selbst Google ein!

Google hat für Europa einen „Reject All“-Button für die Google–Suche und YouTube eingeführt. Damit können Nutzerinnen und Nutzer alle Cookies ablehnen, die angezeigte Inhalte personalisieren, Reichweite von Werbemaßnahmen messen oder in sonstiger Weise den Dienst verbessern.

Bisher gab es nur die Auswahlmöglichkeiten, alle Cookies zu akzeptieren oder „Einstellungen anzupassen“. Google passt sich jetzt den Anforderungen der EU zur Gestaltung des Cookie-Banners an, nach denen es für Nutzerinnen und Nutzer ebenso leicht sein muss, alle nicht erforderlichen Cookies abzulehnen wie sie alle zu akzeptieren. 

Was hat Google dazu bewogen? Ein Bußgeld in Höhe von 150 Millionen Euro, welches die französische Datenschutzbehörde (Cnil) gegen Google verhängte, dürfte daran nicht unbeteiligt sein. Google bekam 3 Monate Zeit, um die Mängel des Cookie-Banners zu beheben. Jetzt ist es soweit.

Was bedeutet das für die europäischen Webseitenbetreibenden? Nun, an sich gilt natürlich längst, dass ein Cookie-Banner klar und einfach Nutzerinnen und Nutzer über sämtliche verwendeten Cookies informieren muss und ihnen die Möglichkeit bieten muss, alle abzulehnen, zu akzeptieren oder eine differenzierte Auswahl zu treffen. Doch bedeutet das einen nicht unerheblichen Aufwand, den viele Webseitenbetreibenden scheuen. Gern orientiert man sich an „den Großen“, inwiefern die sich an die Forderungen anpassen. 

Wenn jetzt Google einlenkt und den Nutzerinnen und Nutzern eine einfache Möglichkeit bietet, alle Cookies abzulehnen und damit abzuschalten, die der Analyse, dem Tracking und der Dienstverbesserung insgesamt dienen sollen, dann sollten auch kleinere europäische Unternehmen sich den EU-Vorgaben anpassen. 

Ein DSGVO-konformes Cookie-Banner selbst zu erstellen, ist mittlerweile gar nicht mehr so einfach. Zwar gibt es diverse Anbieterinnen und Anbieter von vorgefertigten Cookie-Box-Tools, doch viele entsprechen bisher nicht den Vorgaben und sind nicht wirklich DSGVO-konform. 

Wichtig ist vor allem:

• Die Ablehnung aller (nicht erforderlichen) Cookies muss ebenso einfach sein, wie alle anzunehmen.
• Es darf keine unterschwellige Beeinflussung erfolgen – zum Beispiel „alle ablehnen“ ist kleiner und schwächer gedruckt als „alle annehmen“.
• Den Nutzerinnen und Nutzern muss eine klare und ausreichende Information über die einzelnen Cookies zur Verfügung gestellt werden. Sie müssen wissen, welche Daten von wem wofür gesammelt werden.
• Die Nutzerinnen und Nutzer müssen eine individuelle Auswahl treffen können, welche Cookies sie zulassen.

Es empfiehlt sich, wenn man nicht allzu viel Zeit und Geld in individuelle Gestaltung eines Cookie-Banners investieren möchte, ein fertiges Consentmanagement-Tool zu kaufen. Doch auch hier muss man vergleichen. Vorsicht ist leider auch bei Anbieterinnen und Anbietern solcher Tools aus den USA geboten. Zwar bieten sie teilweise die notwendigen Gestaltungsmöglichkeiten, doch bleibt der Fakt, dass die Anbieterin oder der Anbieter den Sitz in den USA hat. Eine Datenübermittlung in die USA ist damit normalerweise nicht auszuschließen. Das Datenschutzniveau in den USA ist nach Ansicht des EuGH derzeit jedoch nicht DSGVO-konform. Zudem ändert sich viel bei den Anbieterinnen und Anbietern von Cookie-Consent-Tools und man sollte nach aktuellen Tests suchen.

Mehr dazu finden Sie hier: https://www.datenschutz-notizen.de/reject-all-by-google-1034962/

Mitarbeiterschulung zur DSGVO – sinnvoll oder nur lästiger Aufwand?

Es gibt täglich so viel zu tun, da soll man noch Zeit erübrigen, die eigenen Mitarbeiterinnen und Mitarbeiter in Schulungen zum Datenschutz zu setzen? Eine Pflicht, die Mitarbeiterinnen und Mitarbeiter im Datenschutz zu schulen, steht in der DSGVO nirgends. Also kann man sich das doch sparen, oder? Jeder weiß doch, dass man mit Daten vorsichtig umgehen muss.

Leider sollte man hier nicht an der falschen Stelle sparen. Viele erinnern sich noch an die Zeit im letzten Jahr, wo man bei jedem Restaurantbesuch noch seine Daten aufschreiben musste. Die Zettel stapelten sich in vielen Lokalen irgendwo auf der Theke, blieben auf dem Tisch liegen, nachdem die Gäste gegangen waren und ähnliche erstaunliche Szenen waren zu beobachten. Die Verantwortung dafür, wenn nachweislich Daten missbraucht werden, hätte letztlich nicht bei den Mitarbeiterinnen und Mitarbeitern gelegen, sondern bei den Arbeitgeberinnen und Arbeitgebern. 

Ebenso sind viele Mitarbeiterinnen und Mitarbeiter nicht auf den Umgang mit Phishing Emails sensibilisiert oder wie sie mit Daten von Kundinnen und Kunden umgehen sollen, wo sie sie abspeichern dürfen und wo nicht (zum Beispiel im privat genutzten Handy) und welche personenbezogenen Daten der Kolleginnen und Kollegen nicht über den Korridor-Klatsch verbreitet werden dürfen.

Kommt es hier zu einer Beschwerde einer Betroffenen oder eines Betroffenen bei der Aufsichtsbehörde, fragt diese unter anderem nach, wie es zu der Datenpanne kam. Hier muss die oder der Verantwortliche nun angeben, dass ein Verhalten einer Mitarbeiterin oder eines Mitarbeiters der Auslöser war. Und dann möchte die Aufsichtsbehörde natürlich wissen, ob denn die Mitarbeiterinnen und Mitarbeiter für den Datenschutz sensibilisiert wurden. Hier macht es einen schlechten Eindruck, wenn man dies nicht nachweisen kann. 

Je nach Datenpanne muss es nicht zu einem Bußgeld kommen, jedoch kann man sich eine Menge Ärger ersparen, wenn die Mitarbeiterinnen und Mitarbeiter wissen, wie sie mit personenbezogenen Daten umgehen müssen. Diese Schulungen kann man auch online machen lassen, und tatsächlich ist der Aufwand nicht so hoch, gemessen an dem Aufwand und den Nerven, die es kostet, wenn es wirklich zu einer Datenpanne kommt, die durch unbedarfte Mitarbeiterinnen und Mitarbeiter versehentlich losgetreten wird. 

Löschkonzept und immaterieller Schadensersatz für ehemalige Arbeitnehmerinnen und Arbeitnehmer – das müssen Sie beachten.

Warum ein geordnetes Löschkonzept für Arbeitgeberinnen und Arbeitgeber nicht nur datenschutzrechtlich vorgeschrieben, sondern tatsächlich erforderlich ist, zeigt ein Urteil des Arbeitsgerichts Neuruppin aus dem Dezember letzten Jahres.

Die Klägerin war Mitarbeiterin der Beklagten. Nach Verlassen des Unternehmens stand die Klägerin weiterhin als Mitarbeiterin auf der Webseite. Noch dazu als zuständig für eine Tätigkeit, die sie nicht einmal während Ihres Arbeitsverhältnisses dort ausgeübt hatte.

Die Klägerin forderte den ehemaligen Arbeitgeber auf, ihre Daten von der Webseite umgehend zu löschen. Diesem Hinweis und der Aufforderung kam der Arbeitgeber nicht nach. Daraufhin forderte die ehemalige Mitarbeiterin Unterlassung und Schadensersatz in Höhe von 8.000 €. Der ehemalige Arbeitgeber unterschrieb die Unterlassungserklärung und zahlte 150 €. Daraufhin wurde Klage erhoben auf Schadensersatz in Höhe von 5.000 € abzüglich der 150 €. Das Arbeitsgericht Neuruppin sprach einen Schadensersatz in Höhe von 1.000 € abzüglich der gezahlten 150 € in seinem Urteil zu (Urteil vom 14.12.2021, Az. 2 Ca 554/21).

Das Gericht stellt noch einmal klar, dass sowohl ein materieller als auch ein immaterieller Schaden einen Anspruch auf Schadensersatz gem. Art 82 DSGVO begründen kann, wenn die Verletzung von den Verantwortlichen vorsätzlich oder fahrlässig verschuldet wurde. In vorliegendem Fall wirkte sich zudem negativ aus, dass die Angaben auf der Webseite falsch waren, als auch die Tatsache, dass der ehemalige Arbeitgeber der ersten Aufforderung der Klägerin nicht nachgekommen war.

Auch stellte das Gericht klar, dass es dieser Aufforderung gar nicht bedurfte, sondern der Beklagte von sich aus für die Löschung der nicht mehr aktuellen Daten Sorge tragen muss, wenn die Rechtsgrundlage für die Speicherung entfallen ist.

Es ist also sehr wichtig für ein Unternehmen, ein Löschkonzept nicht nur auf dem Papier zu haben, sondern es aktiv umzusetzen. Zu einem Löschkonzept gehört unter anderem auch der Prozess, der bei Beendigung eines Arbeitsverhältnisses ablaufen muss. Hier ist unbedingt zu prüfen und entsprechend festzulegen, welche Daten von Mitarbeiterinnen und Mitarbeitern umgehend gelöscht werden müssen (Benutzerkonten, Informationen auf der Webseite, Intranet etc.), welche archiviert werden und für welche gesetzliche Aufbewahrungsfristen gelten.

In Fällen wie dem oben geschilderten ist es oft mit dem Schadensersatz noch nicht getan. Davon unabhängig kann es zum Bußgeldverfahren bei der Aufsichtsbehörde kommen wegen der Verstöße gegen die DSGVO. Diese Bußgeld kann weit höher ausfallen.

2. Entscheidungen des Monats

Immaterielle Schäden können Schmerzensgeld nach sich ziehen – auch bei der DSGVO!

Passend zum Thema Löschkonzept, findet sich ein weiteres noch recht frisches Urteil aus dem letzten Jahr, das für einen immateriellen Schaden Schmerzensgeld verhängt (LG München I, Endurteil vom 09.12.2021 – 31 O 16606/20) hat: Einem Finanzdienstleister wurden rund 400.000 Datensätze gestohlen von 33.200 Personen. Wie konnte es dazu kommen? 

Der Finanzdienstleister hatte mit einem IT-Dienstleister zusammengearbeitet, diese Zusammenarbeit jedoch nach einigen Jahren beendet. Dabei hatte er vergessen, die Zugangsdaten im Anschluss zu ändern. Bei diesem IT-Dienstleister verschafften sich nun die Angreifenden den Zugang zum Finanzdienstleister und konnten auf die Datensätze zugreifen. Nachdem es zu diesen Zugriffen im April 2020 kam, änderte der Finanzdienstleister im Oktober 2020 die Zugangsdaten. Zu einem materiellen Schaden ist es bisher nicht gekommen. Dennoch klagte ein Betroffener, da er in Angst leben muss, dass seine Daten missbraucht werden. Immerhin besitzen die Angreifer alle Daten, die man für einen Identitätsdiebstahl und damit mögliche Betrügereien braucht. 

Der Kläger verlangte die Feststellung, dass der Beklagte verpflichtet sei „dem Kläger alle materiellen künftigen Schäden zu ersetzen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv des Beklagten im Zeitraum von April bis Oktober 2020 entstanden sind.“

Das Gericht hielt diesen Antrag für begründet. Auch wenn noch kein materieller Schaden eingetreten sei, so sah das Gericht das begründete Interesse des Klägers an dieser Feststellung darin, dass eine Verjährung droht, bis ein – durchaus naheliegender – Schaden eintritt. Ebenso gestand es ein ebenfalls beantragtes Schmerzensgeld zu. 

Der Finanzdienstleister hätte für die Sicherheit der Verarbeitung sorgen müssen, indem er die Zugangsdaten unverzüglich hätte ändern müssen. Indem er dies nicht tat, verstieß er gegen Art. 32 DSGVO. Das Gericht wirft dem Finanzdienstleister Fahrlässigkeit vor und hält ein Schmerzensgeld von 2.500 € für angemessen.

Für den Beklagten bleibt das Risiko, durch Identitätsdiebstahl Schäden zu erleiden, bei denen es ihm nicht gelingt, nachzuweisen, dass sie auf dem konkreten „Datenklau“ beim Finanzdienstleister beruhen. Dem Finanzdienstleister droht, dass weitere Betroffene Schmerzensgeld verlangen. Bei 33.200 Betroffenen kann hier eine ruinöse Summe zusammenkommen. 

Fazit: Ein Unternehmen sollte sicherstellen, dass es über technische und organisatorische Maßnahmen verfügt – in diesem Zusammenhang vor allem organisatorische – die eine regelmäßige Überprüfung und Sicherstellung des Datenschutzniveaus gewährleistet. Diese Maßnahmen sollten nicht nur auf einem Dokument aufgelistet sein, sondern regelmäßig praktisch ein- und umgesetzt werden. Dies gilt nicht nur aber umso mehr, je größer die Anzahl der Personen, deren personenbezogene Daten das Unternehmen speichert. 

3. Unser Tipp: Sorgen Sie für Datenschutz in Ihren Zoom-Meetings.

Zoom-Meetings sind kaum noch aus unserem Büro-Alltag wegzudenken. Leider steht dieses Tool wie so manche Konkurrentinnen und Konkurrenten sicherheitstechnisch immer wieder in der Kritik. 

Zumindest sollten Sie versuchen, die Sicherheit zu optimieren – zum Beispiel so:

• Wählen Sie ein Kennwort beim Erstellen des Meetings.
• Aktivieren Sie den Warteraum.
• Wählen Sie aus, wem die Bildschirmfreigabe erlaubt wird.

Noch sicherer ist die Pro-Version, die eine Ende-zu-Ende-Verschlüsselung erlaubt und eine 2-Faktor-Autentifizierung ermöglicht. 

In jedem Fall sollten Sie nie eine Aufzeichnung starten, ohne sich die Einwilligung der Teilnehmerinnen und Teilnehmer vorab einzuholen. Am besten schriftlich. Dies gilt, obwohl Teilnehmerinnen und Teilnehmer beim Starten einer Aufnahme darüber informiert werden und „einverstanden“ wählen können. 

Mehr dazu finden Sie hier: https://it-service.network/blog/2022/04/20/zoom-datenschutz-sicherheit/

4. Das schreiben die Anderen zum Datenschutz

• TrustPid – Die neue Datenkrake von Vodafone und Telekom (Dr. Datenschutz, 30.05.2022)
• Das European Data Protection Board zum Recht auf Auskunft (Datenschutz Notizen, 30.05.2022)
• Die freiwillige Benennung eines Datenschutzbeauftragen (Datenschutz Notizen, 13.05.2022)

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.