Nun sind seit dem 25. Mai 2018 also dem Inkrafttreten (oder besser der Anwendbarkeit) der DSGVO knapp 150 Tage verstrichen. In diesem immer aktuell gehaltenen Beitrag berichten wir täglich über Fragen und Diskussionen zum Thema Datenschutz und DSGVO. Wenn Sie sich also up-to-date halten wollen, schauen Sie  regelmäßig in diesen Beitrag.

Stell Dir vor, es ist Datenschutz und Facebook macht nicht mit

Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen äußert Kritik an Konzernen wie Facebook Ignoranz bei der Umsetzung der DSGVO vor: „Am wenigsten Änderungsbereitschaft sehe ich bei denjenigen Unternehmen, deren Geschäftsmodell auf der Auswertung personenbezogener Daten basiert – also mit Tracking oder Erstellung von Persönlichkeitsprofilen“. Ferner äußert Sie gegenüber dem Handelsblatt: „Es zeigt sich, dass alle Appelle an Rechtskonformität gerade bei den globalen Playern ungehört verhallen.“ Die DSGVO sehe in solchen Fällen zwar hohe Bußgelder oder Anordnungen zur Änderung oder sogar zum Stopp der Datenverarbeitung vor. Frau Hansen beklagte die eigene dünne Personaldecke und die enormen Resourcen von Facebook.

Ist das Überraschend?

Natürlich ignoriert Facebook die Datenschutzvorschriften, was dazu führen wird, dass die Datenschützer sich an die Nutzer halten und diese in die Haftung nehmen, wenn sie Facebook entsprechend nutzen. Die haben keine Großkanzlei mit entsprechenden Mitteln und fechten nicht alles durch jede Instanz durch.

Ist das fair?

Wenn die Datenschützer die Unternehmen in Anspruch nehmen, welche Services von Facebook nutzen, ist das ein Einschlagen auf die kleinen. Das muss aber nicht der einzige Weg sein. Wenn die DSGVO Privatverbrauchern ermöglichen würde, Unterlassungsansprüche und schematisierte immaterielle Schäden (500,00 EUR pro Verletzung) geltend zu machen, wären die Kosten und der Aufwand für Facebook beachtenswerter. 30.000 Klagen mit entsprechenden Kostenerstattungsansprüchen, würde zumindest in Deutschland eine erhebliche Lästigkeit bedeuten.

Wenn dann noch der Irische Datenschutzbeauftragte seiner Arbeit nachgehen würde, hätte der Datenschutz bei Facebook sicher eine deutlich größere Bedeutung.

Whistleblower EU: Hinweisgeber Schutz

Die Richtlinie (EU) 2019/1937 zum Schutz von Hinweisgebern, die Verstöße gegen das Unionsrecht melden wurde nun im EU-Amtsblatt vom 26. November 2019 

Nach der Richtlinie, die von unserem Gesetzgeber bis zum 17. Dezember 2021 umgesetzt werden muss, müssen Unternehmen mit mehr als 50 Mitarbeitern und  Gemeinden mit mehr als 10.000  Einwohnern, sichere Kanäle einrichten, damit Hinweisgeber Misstände melden können ohne Gefahr vor Repressalien zu haben.

Die Richtlinie verbietet ausdrücklich Repressalien und führt Schutzmaßnahmen ein, damit Hinweisgeber nicht entlassen, degradiert, eingeschüchtert oder in anderer Weise angegriffen werden. Der Schutz erstreckt sich auch auf Personen, die Hinweisgeber unterstützen, wie zum Beispiel Mittelsmänner, Kollegen oder Verwandte.

Whistleblower wohin man sieht?

Nachdem auch der Datenschutz zu den Schutzobjekten gehört, wird es interessant, ob wir in den nächsten Jahren - die Richtlinie muss ja zunächst noch vom Gesetzgeber umgesetzt werden - im großen Umfang Verstöße gegen das Datenschutzrecht gemeldet werden.

Die bekanntesten Hinweisgeber (whistleblower) waren wohl aus Überzeugung oder Gründen der Selbstdarstellung oder beidem tätig. Bei anderen standen wirtschaftliche Vorteile im Vordergrund. Ob bürokratischer Schutz auch Personen außerhalb dieses doch eher engen Kreises auch dazu bewegen wird, Missststände anzuprangern darf bezweifelt werden, bleibt aber abzuwarten. 

Keine Haftung eines Elektronikmarkts für Sicherungslücken bei Smartphones

Das Thema Datenschutz trifft uns in den unterschiedlichsten Formen und Farben. Interessant ist die Frage, wer eigentlich alles auf mögliche Sicherheitslücken hinweisen muss. Was ist zum Beispiel mit einem Internethändler oder einem großen Elektromarkt. Dazu hatte sich zuletzt das OLG Köln  Urteil vom 30.10.2019 - 6 U 100/19 geäußert.

Wie kam es dazu?

Der  klagende  Verbraucherverband  hatte  bei  dem  beklagten  Elektronikmarkt Testkäufe durchgeführt und die erworbenen Smartphones von Ex-perten des Bundesamtsfür Sicherheit in der Informationstechnik (BSI) auf Sicherheitslücken untersuchen lassen. Eines der Geräte wies 15 von 28 getesteten Sicherheitslücken auf, ein anderes nur eine Sicherheitslücke, obwohl bei beiden Geräten nominell dieselbe ältere Version des Betriebs-systems Androidwerksseitig  aufgespielt  war. Hintergrund  ist,  dass  das Betriebssystemvom jeweiligen Hersteller auf das jeweilige Smartphone-Modell  angepasst wird  und  auch  neue  Versionen  des  Betriebssystems erst genutzt werden können, wenn die neue Version des Betriebssystems zuvor für das jeweilige Modell des Smartphones angepasst wurde.

Wie wurde entschieden?

Das OLG Köln hielt - wie auch die Vorinstanz den Elektronikmarkt nicht verantwortlich. Der Händler könnte die Informationen oft nicht vorhalten, weil sie ihm zum Verkaufszeitpunkt nicht bekannt seien. Ferner sei der Händler auf Recherhe bei Hersteller angewiesen und all dies sei unverhältnismäßig und nicht mehr dem Händler zumutbar.

Konsequenz?

Die Verbraucher müssen sich weiter selber informieren, nicht ganz uninteressant könnte es aber für Händler sein - sozusagen als Mehrwert Informationen zu dem Thema bereitzuhalten, oder Produkte besonders hervorzuheben, welche aktuellen Sicherheitsanforderungen genügt. Der Rest liegt dann beim Verbraucher.

16. Oktober 2019

Cookie-Grundsatzurteil des EuGH bringt neue Pflichten – Was gilt es künftig zu beachten?

Mit Urteil vom 01. Oktober 2019 (Az. C-673/17) hat der EuGH entschieden, dass Datenverarbeitungen durch Cookies oder vergleichbare Technologien nur nach aktiver vorheriger Einwilligung des Betroffenen zulässig sind. Dies gilt laut EuGH sogar auch dann, wenn hierbei überhaupt keine personenbezogenen Daten verarbeitet werden. Ausgenommen von diesem Einwilligungserfordernis sind laut EuGH lediglich Cookies, die für den Betrieb einer Webseite technisch notwendig sind.

Das bloße Einblenden eines Cookie-Banner, das sich durch Bestätigung eines „OK“-Buttons wegklicken lässt, ist daher künftig unzulässig. Vielmehr muss je nach Cookie eine differenzierte Einwilligung vor dem Ablegen oder dem Zugriff auf den Browser des Betroffenen erfolgen.

Generaleinwilligungen für alle auf einer Website verwendeten Cookies sind laut EuGH nicht wirksam. Eine wirksame Einwilligung des Betroffenen erfordert vielmehr, dass dieser für jedes Cookie durch eine aktive Handlung seine Einwilligung erteilen kann. Eine solche aktive Handlung kann zum Beispiel das Setzen eines Häkchens sein. Hierbei ist zu beachten, dass bei der Auswahlmöglichkeit keine bereits gesetzten Häkchen oder voreingestellten Ankreuzkästchen verwendet werden dürfen.

Darüber hinaus muss der Betroffene bereits bei der Einwilligungserteilung in klarer und verständlicher Weise über die Funktionsweise jedes Cookies, insbesondere über die Funktionsdauer und mögliche Zugriffe durch Dritte, umfänglich informiert werden. Ferner muss der Betroffene die Möglichkeit haben, seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen zu können. Hierbei ist zu beachten, dass der Widerruf der Einwilligung grundsätzlich so einfach sein muss wie deren Erteilung.

Wenn Sie zu diesem Thema weitergehende Fragen haben oder Beratung bezüglich der Umsetzung der aktuellen EuGH Rechtsprechung benötigen, stehen wir Ihnen hierzu jederzeit gerne zur Verfügung.

18. Februar 2019

5000 Euro Bußgeld für fehlenden Auftragsverarbeitungsvertrag

Die Hamburger Datenschutzbehörde verhängt ein Bußgeld in Höhe von 5000 Euro zuzüglich 250 Euro Gebühren wegen des Fehlens eines Auftragsverarbeitungsvertrags mit einem spanischen Dienstleister des Unternehmens. Nach Ansicht der Behörde wurden schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt. Das an der Größe des Unternehmens gemessen vergleichsweise empfindliche Bußgeld hängt auch damit zusammen, dass  sich das Unternehmen zudem höchst unkooperativ gezeigt hatte.

Dies verdeutlicht zum einen, dass sich ein kooperatives Verhalten gegenüber den Datenschutzbehörden durchaus  strafmildernd auswirken kann. Zum anderen verdeutlicht dieser  Fall aber zudem auch , dass die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages nach Ansicht der Datenschgutzbehörden sowohl den Verarbeiter als auch den Verantwortlichen trifft.

Unternehmen sollen und müssen deshalb selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter übermitteln falls der Dienstleister von sich aus keine eigene Vereibarung zur Verfügung stellt um sich nicht dem Risiko eines empfindlichen Bußgeldes auszusetzen.

31. Januar 2019

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss erlassen. Damit erkennt die EU das Datenschutzniveau in Japan als adäquat an. Danach herrscht in Japan ein angemessenes Datenschutzniveau. Auf Basis dieses Beschlusses können nun personenbezogene Daten ungehindert zwischen der EU und Japan ausgetauscht werden.

Die offizielle Pressemitteilung der Europäische Kommission mit weiteren Informationen finden Sie hier.

23. Januar 2019

Französische Datenschutzbehörde CNIL verhängt wegen Verstößen gegen die DSGVO gegen Google ein Bußgeld von 50 Millionen Euro

Die Behörde begründete den Schritt mit mangelnder Transparenz von Google im Umgang mit persönlichen Informationen der Nutzer.

In der Pressemitteilung der CNIL heißt es: „Wesentliche Informationen, wie die Zwecke der Datenverarbeitung, die Aufbewahrungsfristen oder die Kategorien von personenbezogenen Daten, die für die Personalisierung der Anzeigen verwendet werden, sind zu sehr auf mehrere Dokumente verteilt, mit Buttons und Links, auf die geklickt werden muss, um auf zusätzliche Informationen zuzugreifen.“

Außedem sei der Zweck der Datenerhebung nicht ausreichend beschrieben. Zudem könne Google keine wirksame Einwilligung der Nutzerinnen für die Nutzung ihrer Daten zu Werbezwecken vorweisen und ermögliche grundsätzlich keinen Widerspruch zur Datensammlung.

Google erklärte, man prüfe nun die nächsten Schritte.

Die vollständige Pressemitteilung des CNIL finden Sie hier.

22. Januar 2019

Der Landesdatenschutzbeauftragte Niedersachsen (LfD Niedersachsen) hat ein Merkblatt zur  Nutzung von „WhatsApp“ in Unternehmen veröffentlich. Die LfD Niedersachsen hat bereits mehrfach öffentlich betont, dass nach seiner Ansicht der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation in mehrfacher Hinsicht gegen die Datenschutz-Grundverordnung (DS-GVO) verstößt. Insbesondere dürften keine Kontaktdaten von Nicht-Whats-App-Nutzern an das US-Unternehmen übermittelt werden.

Das vollständige Merkblatt finden Sie hier.

15. Januar 2019

LfDI Baden-Württemberg verhängt Bußgeld von 80.000,00 €

Wie heute bekannt wurde, hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) das nunmehr bereits zweite Bußgeld deutschlandweit auf Basis der DSGVO verhängt. Die Höhe des Bußgeldes beträgt diesmal 80.000,00 €. Der Anlass für dieses Bußgeld waren versehentlich ins Internet gelangte Gesundheitsdaten.

10. Januar 2019

Laut neuer Studie teilen viele Apps weiter Daten mit Facebook ohne Zustimmung der Nutzer – trotz DSGVO

Laut Analyse der Organisation Privacy International teilen zahlreiche beliebte Android-Apps Daten mit Facebook, ohne eine ausdrückliche Zustimmung der Nutzer einzuholen. Demnach sollen 61 Prozent der untersuchten Apps bestimmte Informationen direkt nach dem Öffnen an das soziale Netzwerk weitergeben, ohne allerdings eine ausdrückliche Zustimmung eingeholt zu haben. Dies passiere unabhängig davon, ob jemand im sozialen Netzwerk eingeloggt ist oder nicht und ebenso ob man einen Facebook-Account hat oder nicht.

Gemäß der seit Ende Mai geltenden DSGVO müssen App-Anbieter jedoch die explizite Zustimmung ihrer Nutzer einholen, bevor sie persönliche Daten abgreifen und weiterleiten.

Die vollständige Studie finden Sie hier.

Rufen Sie uns an!

040 411 881 570(Mo-Fr 8 - 19.30 Uhr & Sa 10 - 16 Uhr)
  • kostenlose Ersteinschätzung
  • kein Callcenter - Fachanwalt persönlich
  • bundesweit
Lassen Sie sich bequem zurückrufen
Bewertung: 5 Sterne von 3 Abstimmungen.