Unser Datenschutz-Update im November 2022

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den November 2022.

1. Nachrichten aus der Welt des Datenschutzes

Umsetzungsfrist für die Standardvertragsklauseln (SCC) beachten zum 27.12.2022!

Erinnern Sie sich noch? Im Juni 2021 wurden von der EU-Kommission neue Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer verabschiedet. Diese sind verpflichtend für Unternehmen, die Daten an Drittländer, z.B. die USA, übermitteln. (Nicht zu verwechseln mit den gleichzeitig veröffentlichten Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeiter:innen gem. Art 28 (7) DSGVO, die als unverbindliches Muster für Auftragsverarbeitungsverträge innerhalb der EU herangezogen werden können!).

Anlass für die Überarbeitung war das Schrems II – Urteil des EuGH, in dem der für die USA existierende Angemessenheitsbeschluss „EU-US Privacy Shield“ für ungültig erklärt wurde. Darüberhinaus wurden die Anforderungen für die Datenübermittlung an alle Drittländer verschärft. Die neuen Standardvertragsklauseln decken mit vier Modulen verschiedene Konstellationen der Datenübermittlung ab, die gewählt werden können: Verantwortliche zu Verantwortlichen in Drittland (C2C), Verantwortliche zu Auftragsverarbeiter:innen in Drittland (C2P), Auftragsverarbeiter:innen zu Unterauftragsverarbeiter:innen in Drittland (P2P), Auftragsverarbeiter:innen zu Verantwortliche in Drittland (P2C).

Die neuen SCC gelten bereits seit dem 27.09.2021 für alle ab diesem Zeitpunkt abgeschlossenen Verträge. 

Was viele Unternehmen jedoch aus dem Blick verloren haben, ist die zweite Frist. Bis zum 27.12.2022 müssen Altverträge ebenfalls auf die neuen SCC umgestellt werden. Dies bedeutet für viele einen nicht unbeträchtlichen Aufwand.

Alte Verträge müssen geprüft werden, ob sie einen Datentransfer in Drittländer beinhalten, für die kein Angemessenheitsbeschluss besteht. Für Unternehmen, die kein Verarbeitungsverzeichnis pflegen, stellt dies eine noch größere Aufgabe dar. Bei Datentransfer in Drittländer muss nun geprüft werden, für welche Drittländer kein Angemessenheitsbeschluss besteht. Für diese Verträge sind dann die neuen SCC abzuschließen. Weiterhin muss festgestellt werden, welches Modul der neuen SCC zur Anwendung kommt. Bevor nun die neuen SCC mit den Vertragspartner:innen abgeschlossen werden können, muss gegebenenfalls noch ein Transfer Impact Assessment durchgeführt und dokumentiert werden. Die neu abgeschlossenen Verträge müssen anschließend in das Verarbeitungsverzeichnis aufgenommen werden (das hoffentlich schon längst besteht).

In den meisten Fällen wird es sich lohnen, die Verträge neu aufzusetzen, anstatt die alten zu überarbeiten und an die neuen Module anzupassen. 

So lästig die Prüfung und Überarbeitung auch sein mag, die Frist sollte kein Unternehmen, das von der Pflicht betroffen ist, ignorieren. Denn kommt einer Aufsichtsbehörde zu Ohren, dass eine Datenübermittlung in Drittländer ohne Angemessenheitsbeschluss geschieht, ohne dass die neuen SCC zugrundeliegen, kann sie sogar die weitere Datenübermittlung aussetzen und/oder ein Bußgeld verhängen.

Tipp am Rand: Unternehmen sollten in dem Zuge auch ihre Datenschutzerklärungen auf ihren Webseiten überprüfen. Immer wieder stolpert man hier über Verweise auf das längst ungültige „Privacy Shield“.

Mehr dazu finden Sie hier: Neue Standardvertragsklauseln – Frist für die Umstellung

Aktuelles Google-Fonts Abmahnwelle – mal wieder ein Update 

Die Abmahnwelle wegen DSGVO-widriger Nutzung von Google Fonts scheint noch immer nicht zu versiegen und darüber kann man nur den Kopf schütteln.

Worum geht es? Seit Wochen regnet es Abmahnschreiben gegen Webseitenbetreiber:innen, die Google Fonts, also die Schriftarten, die Google anbietet, noch auf die bisher herkömmliche Weise nutzen. Das bedeutet, so untechnisch wie möglich: Man wählt seine Schriftart für die Webseite aus und schreibt drauflos. Wenn Nutzer:innen die Seite aufrufen, wird die Schrift über Google geladen und dabei werden Informationen über die Nutzer:innen bzw. den Besuch an Google übermittelt, ohne dass den Nutzer:innen dies bewusst ist.

Die Datenübermittlung in die USA ist spätestens seit dem Schrems II Urteil ein rotes Tuch für viele Internetnutzer:innen und Datenschützer:innen. Nun hatte in diesem Jahr das LG München (Az. 3 O 17493/20) auch noch diese Art der Nutzung von Google Fonts als Datenschutzverstoß gewertet und einen Schadensersatz i.H.v. 100,00 € bewilligt.

Das scheint ein paar Menschen auf die Idee gebracht zu haben, dass hier schnelles Geld zu machen ist, und so tauchten Abmahnschreiben auf, in denen man Webseitenbetreiber:innen mit Klage wegen DSGVO-widriger Nutzung der Google Fonts droht und – um sich größeren Ärger zu ersparen – ihnen angeboten wird, die Angelegenheit gegen Zahlung einer Summe rund um 200,00 € auf sich beruhen zu lassen. Dabei wird fleißig weitere Rechtsprechung zitiert, nach denen für Schmerzensgeld bewilligt wurde.

Interessanterweise sind es immer die gleichen zwei Abmahnschreiben, die Webseitenbetreiber:innen erhalten. Immer geht es um dieselbe Person, einmal ein Mann, einmal eine Frau, teilweise noch vertreten durch eine angebliche Interessengemeinschaft. Diese Interessengemeinschaft hat auch eine Webseite, auf der sie sich dem Datenschutz verschreibt, bei der jedoch interessanterweise ein paar datenschutzrechtlich relevante Verlinkungen (Stand November 2022) bereitgehalten werden, die jedoch ins Leere führen. Letztlich ist es nicht relevant, ob es diese Interessengemeinschaft gibt, oder nicht. Verdächtig erscheint bereits, dass die zwei Betroffenen jeweils all diese Unmengen an Internetseiten besucht haben sollen.

Eine anwaltliche Vollmacht liegt den Schreiben teilweise bei, teilweise nicht. Auch weisen die Schreiben den einen oder anderen formalen oder argumentativen Fehler auf. Mittlerweile stehen im Netz auch Antwortmuster von Kanzleien zur Verfügung, teilweise kostenfrei. Allerdings ist darauf zu achten, das zum jeweiligen Abmahnschreiben passende Antwortmuster herauszusuchen.

Erstaunlich ist, dass auch jetzt noch der Versand der Abmahnschreiben nicht versiegt. Dabei wäre interessant, wie ein Gericht die Glaubwürdigkeit der Situation bewerten würde, käme einer dieser Fälle doch einmal vor Gericht. Leider rücken diese beiden Abmahnschreiben wieder einmal sowohl Rechtsanwält:innen als auch den Datenschutz in ein schlechtes Licht. Es bleibt zu hoffen, dass sich die Welle endlich in naher Zukunft erschöpft.

Auch wenn sich die Aufregung beim Erhalt dieser Schreiben aktuell sehr in Grenzen halten dürfte, sollte man die Thematik selbst nicht ignorieren. Wer noch nicht Google Fonts lokal installiert hat, sollte das umgehend tun, unabhängig von einem Abmahnschreiben. Denn ansonsten wäre für die Verwendung die Einwilligung der Nutzer:innen einzuholen, und zwar, bevor die Schriften geladen werden, was in diesem Fall aber zu weiteren rechtlichen und technischen Problemen führt.

2. Entscheidungen des Monats

Beim gesetzlich vorgeschriebenen Kündigungsbutton stellt die verpflichtende Angabe des Passworts eine unzulässige Hürde dar und sogar einen Wettbewerbsverstoß

Seit dem 1. Juli 2022 müssen in Deutschland tätige Unternehmen den sogenannten Kündigungsbutton auf ihren Webseiten anbieten (Gesetz für faire Verbraucherverträge). Wichtig ist, dass Kunden und Kundinnen die Kündigung von Verträgen ohne große Schwierigkeiten online möglich ist. 

Das Landgericht Köln stellte nun in einem Beschluss vom 29. Juli 2022 – 33 O 355/22 fest, dass die Kündigung nicht dadurch erschwert werden dürfe, dass Kundinnen oder Kunden erst ihr Kundenpasswort eingeben müssen, um über den Kündigungsbutton online kündigen zu können. Ist der Person das Kündigungspasswort gerade nicht im Gedächtnis oder zugänglich, stellt dies ein geeignetes Mittel dar, sie von der Kündigung abzuhalten. 

Wenn derartige Identifizierungsmöglichkeiten angeboten werden, müsse „zugleich eine Möglichkeit bestehen, durch Angabe von Namen und weiteren gängigen Identifizierungsmerkmalen (Wohnanschrift, E-Mail-Adresse und dergl.) eine Kündigung zu erklären (…).“, so das Gericht.

Bei der Pflicht zum Vorhalten eines Kündigungsbuttons sollte also nicht mehr als der Name, Emailadresse und Anschrift, soweit erforderlich, abgefragt werden. Die Entscheidung des Gerichts hat weiterhin die Konsequenz, dass es nicht zulässig ist, die Kündigung nur über einen Mitgliederbereich/Kundenbereich zu ermöglichen, in den man sich erst mit einem Passwort einloggen muss.

Nach Ansicht des Landgerichts Köln stellt das Erschwernis der Kündigung durch Abfrage eines Passwortes auch einen Wettbewerbsverstoß dar. Um Abmahnungen zuvorzukommen, sollte also darauf geachtet werden, Kundinnen und Kunden einen hürdenlos zugänglichen Kündigungsbutton auf seiner Webseite zur Verfügung zu stellen. 

3. Das schreiben die Anderen zum Datenschutz

• Festplattenverschlüsselung als Schutz vor fremdem Datenzugriff
• Speicherung von Passwörtern im Browser
• Falschparker und Fotografen: Entsteht hier eine neue Hassliebe?