Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

Einsatz von Google-Analytics braucht aktive vorherige Einwilligung

Es ist ein alter Hut, der weiterhin für Streit sorgt: Der Einsatz von Webanalyse-Tools wie Google-Analytics auf einer Webseite.Bis zur Geltung der DSGVO gab es hier ein funktionierendes System, das aber inzwischen überholt ist – und im November 2019 haben verschiedene bedeutende behördliche Datenschutzbeauftragte in einer regelrechten Kaskade klargestellt, dass man den Einsatz von Google Analytics kritisch sieht und prüfen wird. Dabei wurde ausdrücklich klargestellt: Ohne Einwilligung und nur auf Basis einer Auftragsverarbeitung ist es aus Sicht der Behörden nicht rechtmässig, Google Analytics einzusetzen.

Im Folgenden der aktuelle Überblick (Stand November 2019).

Kategorien
Datenschutz & Technik

DSGVO & Einsatz von Windows 10

Ich hatte bereits gestern auf Twitter darauf hingewiesen, inzwischen mehren sich die Berichte – auch auf Heise-Online: Die “Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder” (DSK) hat sich mit dem datenschutzkonformen Einsatz von Windows 10 beschäftigt. Was erst einmal nur als “Prüfschema” betitelt ist, offenbart sich recht schnell als zumindest schwieriges Ergebnis.

Kategorien
Datenschutz im Betrieb

DSGVO-Löschkonzept zwingend erforderlich

Durchaus schmerzlich musste ein Unternehmen nun erfahren, dass ein Löschkonzept nach der DSGVO zwingend erforderlich ist, da ansonsten Bussgelder drohen. Insbesondere ist es dabei Teil des Löschkonzeots, dass auch archivierte Daten bereinigt werden müssen. Die zuständige datenschutzrechtliche Aufsichtsbehörde in Berlin teilte insoweit mit:

Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die (…) einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen. Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten.

Quelle: PM der Datenschutzbeauftragten Berlin, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf

Es handelt sich um einen recht krassen Fall, die Höhe des Bussgeldes orientiert sich an dem immensen Umsatz des Unternehmens. Wichtig ist, dass Unternehmen diesen Bereich vor Augen haben, gerade bei digitalen Archiven wird die Problematik der rechtzeitigen Löschung gerne aus den Augen verloren, nicht ohne Grund ist dies ein eigener Posten in aktuellen behördlichen Fragebögen. Die Brisanz ist nicht zu unterschätzen, zumal die Behörde nunmehr mitteilt, dies eingehender zu prüfen – bei Unternehmen und Vereinen.

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

Erfordernis der Einwilligung beim Speichern von technisch nicht notwendigen Cookies

Der Gerichtshof der Europäischen Union (C-673/17) hat sich nunmehr zur Speicherung von Cookies geäußert. Die Entscheidung des EUGH wird von einer eher unglücklichen Pressemitteilung des Gerichts begleitet, mit der die Entscheidung in einen missverständlichen Fokus gesetzt wird.

Es ist insoweit vorweg klarzustellen, dass bereits entgegen der Überschrift der Pressemitteilung (“Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers”) gerade nicht zwingend eine Einwilligung des Nutzers einzuholen ist. Im vorliegenden Fall ging es um die Frage, ob bei dem Setzen von solchen Cookies, die ohnehin einer Einwilligung bedürfen, in vorausgewähltes Zustimmungskästchen ausreichend ist und welche Informationen im Fall der Einholung einer Einwilligung zwingend anzugeben sind. Insgesamt ist die Entscheidung als weniger überraschend einzustufen.

Kategorien
Datenschutz im Betrieb IT-Arbeitsrecht

Haftung des Arbeitnehmers für Installation von Ransomware oder Virus

Kann ein Arbeitnehmer gegenüber seinem Arbeitgeber haften, wenn durch sein Fehlverhalten Schadsoftware wie etwa Ransomware oder ein Virus installiert werden? Die Rechtsprechung ist durchaus bereit, dies zuzubilligen, wobei es auf den Einzelfall ankommt. Tatsächlich kann für Arbeitnehmer ein erhebliches Haftungsrisiko bestehen.

Kategorien
DSGVO Allgemein

Voraussetzungen einer Videoüberwachung

Videoüberwachung – was sind die rechtlichen Voraussetzungen einer zulässigen Videoüberwachung im Geltungsrahmen der DSGVO?

Dieser Beitrag wird gerade aktualisiert!

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

DSGVO & UWG: BGH sieht die Möglichkeit dass Verfolgung nicht durch Verbände möglich ist

Zumindest die Möglichkeit, dass die DSGVO eine Verfolgung von Verstößen allein durch die Datenschutzbehörden und die Betroffenen und nicht durch Verbände zulässt, sieht der BGH:

Beschluss vom 11. April 2019 – I ZR 186/17 
Der unter anderem für Ansprüche aus dem Gesetz gegen den unlauteren Wettbewerb zuständige I. Zivilsenat des Bundesgerichtshofs hat heute ein bei ihm anhängiges Verfahren des Bundesverbands der Verbraucherzentralen und Verbraucherverbände gegen Facebook wegen Verstößen gegen Datenschutzrecht bis zur Entscheidung des Gerichtshofs der Europäischen Union in einem diesem vom Oberlandesgericht Düsseldorf vorgelegten Vorabentscheidungsverfahren ausgesetzt (…) Der Bundesgerichtshof hat das Verfahren in entsprechender Anwendung von § 148 Abs. 1 ZPO bis zur Entscheidung des Gerichtshofs der Europäischen Union in der Rechtssache C-40/17 über das Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf vom 19. Januar 2017 (Beschluss vom 19. Januar 2017 – I-20 U 40/16) ausgesetzt. Das Oberlandesgericht hat dem Gerichtshof der Europäischen Union in diesem Verfahren, in dem es um den “Gefällt mir”-Button von Facebook geht, die Frage zur Vorabentscheidung vorgelegt, ob die Regelungen in Art. 22 bis 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie) einer nationalen Regelung entgegenstehen, die – wie § 8 Abs. 3 Nr. 3 UWG – gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle einer Verletzung von Datenschutzvorschriften gegen den Verletzer vorzugehen. Diese Frage ist auch im vorliegenden Rechtsstreit entscheidungserheblich und nicht zweifelsfrei zu beantworten. Möglicherweise lässt die Datenschutz-Richtlinie eine Verfolgung von Verstößen allein durch die Datenschutzbehörden und die Betroffenen und nicht durch Verbände zu.

Quelle: Pressemitteilung des BGH

Damit steht im Raum, dass nunmehr erst einmal abschliessend geklärt wird, wer für die Verfolgung von Verstößen gegen die DSGVO berufen ist – Abmahnen sollten sich vor diesem Hintergrund eher bedeckt halten (ausser man ist für den Betroffenen selber tätig!).

Kategorien
DSGVO Allgemein

Erwartungen an den Datenschutz bei Rechtsanwälten

Der Landesbeauftragte für Datenschutz in Baden-Württemberg (LDSBBW) hat seinen Tätigkeitsbericht 2018 vorgelegt. Ein Abschnitt darin ist besonders für die Kollegen der Anwaltschaft von Interesse – im Bereich “Datenschutz bei Rechtsanwälten” ab Seite 99 finden sich Ausführungen dazu, was der Landesdatenschutzbeauftragte von Rechtsanwälten im Bereich Datenschutz erwartet. Besonders eine Auffassung ist überraschend und bedarf der Kritik.

Kategorien
Datenschutz & Technik DSGVO Allgemein

Zulässigkeit von Tracking-Tools auf Websites – Cookie-Banner nötig

Das Bayerische Landesamt für Datenschutzaufsicht hat sich zur Zulässigkeit von Tracking-Tools auf Websites in einer Analyse geäußert, die ich im Rahmen der Cybersecurity-Voraussetzungen von Webseiten vorgestellt hatte.

Dabei konnte sich das BayLDA zur Einwilligung äussern und klarstellen, dass man eine Einwilligung nur ernst nimmt, wenn erst nach Zustimmung die entsprechenden Skripte laufen; Skripte laufen lassen und pro Forma nach einem “ja” fragen reicht nicht:

Eine Einwilligung ist nur wirksam, wenn sie vorab erteilt wird,
d. h. wenn alle Tracking-Skripte blockiert sind, solange bis der Nutzer aktiv zugestimmt hat. Außerdem muss die Einwilligung freiwillig sein und der Nutzer vorab über die Datenverarbeitung informiert werden. Ist auch nur eine dieser Voraussetzungen nicht berücksichtigt, so ist die Einwilligung rechtswidrig.

Papier des BayLDA, Seite 25

Dabei ist zu lesen (Seite 26), dass die Einstellung „do not track“ zu akzeptierten und die Ausführung von Tracking-Skripten zu blockieren ist.

Insgesamt verstehe ich es derzeit so, dass – so unsinnig ich dies finden mag – seitens der Behörden das Risiko zu sehen ist, dass man auf einer sauberen Umsetzung des Cookie-Banners besteht. Dazu gehört eine echte Zustimmung, was heisst: einmal wird nichts ausgeführt bevor zugestimmt wurde – andererseits wird die “do not track” Einstellung im Browser respektiert. Ansonsten ist es nicht DSGVO-Konform.

Kategorien
Datenschutz & Technik DSGVO Allgemein

Datenschutzbehörde: Anforderungen an digitale Dienste bei der Cybersicherheit

Das Bayerische Landesamt für Datenschutzaufsicht (“BayLDA”) hat im Rahmen des “Safer Internet Day 2019” bei ausgewählten Internet-Angeboten eine Testreihe mit zwei Prüfblöcken „Cybersicherheit“ und „Tracking“ im Schnellverfahren durchgeführt. Die Ergebnisse wurden als PDF veröffentlicht und mögen für sich sprechen.