Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

Einsatz von Google-Analytics braucht aktive vorherige Einwilligung

Es ist ein alter Hut, der weiterhin für Streit sorgt: Der Einsatz von Webanalyse-Tools wie Google-Analytics auf einer Webseite.Bis zur Geltung der DSGVO gab es hier ein funktionierendes System, das aber inzwischen überholt ist – und im November 2019 haben verschiedene bedeutende behördliche Datenschutzbeauftragte in einer regelrechten Kaskade klargestellt, dass man den Einsatz von Google Analytics kritisch sieht und prüfen wird. Dabei wurde ausdrücklich klargestellt: Ohne Einwilligung und nur auf Basis einer Auftragsverarbeitung ist es aus Sicht der Behörden nicht rechtmässig, Google Analytics einzusetzen.

Im Folgenden der aktuelle Überblick (Stand November 2019).

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

Erfordernis der Einwilligung beim Speichern von technisch nicht notwendigen Cookies

Der Gerichtshof der Europäischen Union (C-673/17) hat sich nunmehr zur Speicherung von Cookies geäußert. Die Entscheidung des EUGH wird von einer eher unglücklichen Pressemitteilung des Gerichts begleitet, mit der die Entscheidung in einen missverständlichen Fokus gesetzt wird.

Es ist insoweit vorweg klarzustellen, dass bereits entgegen der Überschrift der Pressemitteilung (“Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers”) gerade nicht zwingend eine Einwilligung des Nutzers einzuholen ist. Im vorliegenden Fall ging es um die Frage, ob bei dem Setzen von solchen Cookies, die ohnehin einer Einwilligung bedürfen, in vorausgewähltes Zustimmungskästchen ausreichend ist und welche Informationen im Fall der Einholung einer Einwilligung zwingend anzugeben sind. Insgesamt ist die Entscheidung als weniger überraschend einzustufen.

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

DSGVO & UWG: BGH sieht die Möglichkeit dass Verfolgung nicht durch Verbände möglich ist

Zumindest die Möglichkeit, dass die DSGVO eine Verfolgung von Verstößen allein durch die Datenschutzbehörden und die Betroffenen und nicht durch Verbände zulässt, sieht der BGH:

Beschluss vom 11. April 2019 – I ZR 186/17 
Der unter anderem für Ansprüche aus dem Gesetz gegen den unlauteren Wettbewerb zuständige I. Zivilsenat des Bundesgerichtshofs hat heute ein bei ihm anhängiges Verfahren des Bundesverbands der Verbraucherzentralen und Verbraucherverbände gegen Facebook wegen Verstößen gegen Datenschutzrecht bis zur Entscheidung des Gerichtshofs der Europäischen Union in einem diesem vom Oberlandesgericht Düsseldorf vorgelegten Vorabentscheidungsverfahren ausgesetzt (…) Der Bundesgerichtshof hat das Verfahren in entsprechender Anwendung von § 148 Abs. 1 ZPO bis zur Entscheidung des Gerichtshofs der Europäischen Union in der Rechtssache C-40/17 über das Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf vom 19. Januar 2017 (Beschluss vom 19. Januar 2017 – I-20 U 40/16) ausgesetzt. Das Oberlandesgericht hat dem Gerichtshof der Europäischen Union in diesem Verfahren, in dem es um den “Gefällt mir”-Button von Facebook geht, die Frage zur Vorabentscheidung vorgelegt, ob die Regelungen in Art. 22 bis 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie) einer nationalen Regelung entgegenstehen, die – wie § 8 Abs. 3 Nr. 3 UWG – gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle einer Verletzung von Datenschutzvorschriften gegen den Verletzer vorzugehen. Diese Frage ist auch im vorliegenden Rechtsstreit entscheidungserheblich und nicht zweifelsfrei zu beantworten. Möglicherweise lässt die Datenschutz-Richtlinie eine Verfolgung von Verstößen allein durch die Datenschutzbehörden und die Betroffenen und nicht durch Verbände zu.

Quelle: Pressemitteilung des BGH

Damit steht im Raum, dass nunmehr erst einmal abschliessend geklärt wird, wer für die Verfolgung von Verstößen gegen die DSGVO berufen ist – Abmahnen sollten sich vor diesem Hintergrund eher bedeckt halten (ausser man ist für den Betroffenen selber tätig!).

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

Erfolglose Verfassungsbeschwerde gegen die Verpflichtung zur Übermittlung von IP-Adressen

Es verstößt nicht gegen das Grundgesetz, dass der Anbieter eines E-Mail-Dienstes im Rahmen einer ordnungsgemäß angeordneten Telekommunikationsüberwachung verpflichtet ist, den Ermittlungsbehörden die Internetprotokolladressen (im Folgenden: IP-Adressen) der auf ihren Account zugreifenden Kunden auch dann zu übermitteln, wenn er seinen Dienst aus Datenschutzgründen so organisiert hat, dass er diese nicht protokolliert.

Dies hat die 3. Kammer des Zweiten Senats mit heute veröffentlichtem Beschluss entschieden und die Verfassungsbeschwerde eines solchen Diensteanbieters nicht zur Entscheidung angenommen. Zur Begründung hat sie angeführt, dass das auch unter dem Gesichtspunkt des Art. 12 Abs. 1 GG grundsätzlich schützenswerte Anliegen, ein datenschutzoptimiertes Geschäftsmodell anzubieten, nicht von der Einhaltung der gesetzlichen Vorgaben, die dem verfassungsrechtlichen Erfordernis einer funktionstüchtigen Strafrechtspflege Rechnung tragen, entbinden kann. (BVerfG; Beschluss vom 20. Dezember 2018, 2 BvR 2377/16).

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

Informationsfreiheitsgesetz gegenüber der Polizei

Kann man einen Informationsanspruch entsprechend Informationsfreiheitsgesetz NRW (IFG NRW) gegenüber der Polizei durchsetzen? Das IFG NRW macht diesbezüglich eine Ausnahme in §2 Abs.2 IFG NRW, wo zu lesen ist

Für (…) die Behörden der Staatsanwaltschaft gilt dieses Gesetz, soweit sie Verwaltungsaufgaben wahrnehmen.

Das wirft zwei Fragen auf: Soll damit auch die Polizei erfasst sein und, falls ja, wann ist von der Wahrnehmung von “Verwaltungsaufgaben” zu sprechen? Das OVG NRW konnte sich hierzu äußern.

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

LG Frankfurt: KUG ist im Rahmen der DSGVO zu berücksichtigen

Auch das Landgericht Frankfurt am Main (2-03 O 283/18) konnte sich zu der Frage der Auswirkungen der Erlaubnistatbestände des KUG im Rahmen der DSGVO äussern und insoweit feststellen, dass man das KUG auch im Rahmen der DSGVO berücksichtigen möchte:

Die Kammer erachtet insoweit die Grundsätze der §§ 22, 23 KUG und die dazu ergangene Rechtsprechung – unter Berücksichtigung einer entsprechenden europarechtsautonomen Auslegung (vgl. Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060) – als Gesichtspunkte, die im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO und der Abwägung der Interessen und Grundrechte einzubeziehen sind (vgl. insoweit Specht in: Dreier/Schulze, UrhG, 6. Aufl. 2018, § 23 Rn. 1 KUG Rn. 1; Hansen/Brechtel, GRUR-Prax 2018, 369, 370; Paschke, jurisPR-ITR 15/2018, Anm. 3; Ziebarth/Elsaß, ZUM 2018, 578, 581; Plath/Grages, DSGVO/BDSG, 3. Aufl. 2018, Art. 85 DSGVO Rn. 3).

LG Frankfurt, 2-03 O 283/18

Das LG Frankfurt ist damit inhaltlich auf einer Linie mit dem OLG Köln, so dass jedenfalls derzeit die Linie zu erkennen ist: Was nach dem KUG erlaubt ist, wird im Rahmend er DSGVO weiterhin zulässig sein.

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

LG Magdeburg: Verstoss gegen DSGVO kann nicht von Mitbewerber abgemahnt werden

Das Landgericht Magdeburg (36 O 48/18) hat – entgegen anderer Gerichte – entschieden, dass es sich bei der Datenschutzgrundverordnung (“DSGVO”) um eine Regelung mit geschlossenem Sanktionensystem handelt und ein Verstoss nicht durch eine wettbewerbsrechtliche Abmahnung eines Wettbewerbers verfolgt werden kann.

Beachten Sie: Die Frage ist hochgradig umstritten. Der differenzierende Ansatz des OLG Hamburg zur Abmahnung von Datenschutzverstößen könnte sich durchsetzen, es ist derzeit aber noch vollkommen offen wie es sich entwickelt.

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

OLG Hamburg: Verstoss gegen die DSGVO kann abgemahnt werden

Das OLG Hamburg (3 U 66/17) hat entschieden, dass ein Verstoss gegen die Vorgaben der Datenschutzgrundverordung zugleich ein wettbewerbsrechtlicher Verstoss ist und abgemahnt werden kann. Entgegen einer Verbreiteten Auffassung stellt sich das OLG Hamburg auf de Standpunkt, dass sich nicht in der früheren RL 95/46/EG (Datenschutzrichtlinie) noch in der VO (EU) 2016/679 (Datenschutzgrundverordnung) ein abgeschlossenes Sanktionssystem finden lässt, das einer Klagebefugnis von Wettbewerbern im Sinne des UWG entgegen stehen würde.

Allerdings hat das OLG Hamburg – übereinstimmend mit seiner früheren Rechtsprechung zum Thema Datenschutz & Wettbewerbsrecht – zugleich klargestellt, dass nicht jede datenschutzrechtliche Norm einen marktverhaltensregelnden Charakter i.S. des § 3a UWG hat. Im Einzelfall muss die jeweilige Norm konkret darauf überprüft werden, ob gerade die betroffene Norm eine Regelung des Marktverhaltens zum Gegenstand hat.

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

Keine dauerhafte Speicherung des Lichtbildes eines Versicherten durch die Krankenkasse

Eine Krankenkasse darf ein ihr eingereichtes Lichtbild nur so lange speichern, bis die elektronische Gesundheitskarte hiermit hergestellt und sie dem Versicherten übermittelt wurde. Eine Speicherung bis zum Ende des Versicherungsverhältnisses ist hingegen datenschutzrechtlich unzulässig. Dies hat der 1. Senat des Bundessozialgerichts am 18. Dezember 2018 entschieden (Aktenzeichen B 1 KR 31/17 R)

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

LG Würzburg: Wettbewerbsrechtlicher Unterlassungsanspruch wegen der Nichteinhaltung der DSGVO

Das Landgericht Würzburg (11 O 1741/18) sieht einen wettbewerbsrechtlichen Unterlassungsanspruch wenn Vorgaben der DSGVO nicht eingehalten werden, hier insbesondere ein Kontaktformular auf einer nicht verschlüsselten Webseite angeboten wird:

Dem Antragsteller steht ein Verfügungsanspruch auf Unterlassung zu, das der Antragsteller glaubhaft gemacht hat, dass die Antragsgegnerin bezüglich ihrer Homepage gegen die Datenschutzgrundverordnung (DSGVO), die spätestens seit 25.05.2018 umzusetzen ist verstößt. Die im Impressum der Antragsgegnerin enthaltene 7-zeilige Datenschutzerklärung genügt der neuen DSGVO nicht. Es fehlen Angaben zum/zur Verantwortlichen, zur Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck deren Verwendung, eine Erklärung zur Weitergabe von Daten, über Cookies, Analysetools, aber vor allem die Belehrung über die Betroffenenrechte, insbesondere Widerspruchsrecht, Datensicherheit und ein Hinweis zur Möglichkeit, sich bei einer Aufsichtsbehörde zu beschweren. Mit dem OLG Hamburg (3 U 26/12) und dem OLG Köln (6 U 121/15) geht das erkennende Gericht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht gemäß § 4 Nr. 11 UWG bzw. jetzt § 3 a UWG darstellt und somit vom Antragsteller abgemahnt werden konnte. Dass die Antragsgegnerin Daten erhebt wird schon aus der gleichzeitigen Verwendung eines Kontaktformulars auf der Homepage indiziert. Da die Antragsgegnerin jedenfalls über ein Kontaktformular Daten erheben kann, ist zwingend auch eine Verschlüsselung der Homepage erforderlich, die hier fehlt.
Gem. § 8 Abs. 3 UWG ist der Antragsteller aktiv legitimiert die beanstandeten Gesetzesverstöße geltend zu machen. Es besteht das erforderliche Wettbewerbsverhältnis aufgrund der Möglichkeit als Rechtsanwalt bundesweit tätig zu werden.