Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

Einsatz von Google-Analytics braucht aktive vorherige Einwilligung

Es ist ein alter Hut, der weiterhin für Streit sorgt: Der Einsatz von Webanalyse-Tools wie Google-Analytics auf einer Webseite.Bis zur Geltung der DSGVO gab es hier ein funktionierendes System, das aber inzwischen überholt ist – und im November 2019 haben verschiedene bedeutende behördliche Datenschutzbeauftragte in einer regelrechten Kaskade klargestellt, dass man den Einsatz von Google Analytics kritisch sieht und prüfen wird. Dabei wurde ausdrücklich klargestellt: Ohne Einwilligung und nur auf Basis einer Auftragsverarbeitung ist es aus Sicht der Behörden nicht rechtmässig, Google Analytics einzusetzen.

Im Folgenden der aktuelle Überblick (Stand November 2019).

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

Erfordernis der Einwilligung beim Speichern von technisch nicht notwendigen Cookies

Der Gerichtshof der Europäischen Union (C-673/17) hat sich nunmehr zur Speicherung von Cookies geäußert. Die Entscheidung des EUGH wird von einer eher unglücklichen Pressemitteilung des Gerichts begleitet, mit der die Entscheidung in einen missverständlichen Fokus gesetzt wird.

Es ist insoweit vorweg klarzustellen, dass bereits entgegen der Überschrift der Pressemitteilung (“Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers”) gerade nicht zwingend eine Einwilligung des Nutzers einzuholen ist. Im vorliegenden Fall ging es um die Frage, ob bei dem Setzen von solchen Cookies, die ohnehin einer Einwilligung bedürfen, in vorausgewähltes Zustimmungskästchen ausreichend ist und welche Informationen im Fall der Einholung einer Einwilligung zwingend anzugeben sind. Insgesamt ist die Entscheidung als weniger überraschend einzustufen.

Kategorien
DSGVO Allgemein

Voraussetzungen einer Videoüberwachung

Videoüberwachung – was sind die rechtlichen Voraussetzungen einer zulässigen Videoüberwachung im Geltungsrahmen der DSGVO?

Dieser Beitrag wird gerade aktualisiert!

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

DSGVO & UWG: BGH sieht die Möglichkeit dass Verfolgung nicht durch Verbände möglich ist

Zumindest die Möglichkeit, dass die DSGVO eine Verfolgung von Verstößen allein durch die Datenschutzbehörden und die Betroffenen und nicht durch Verbände zulässt, sieht der BGH:

Beschluss vom 11. April 2019 – I ZR 186/17 
Der unter anderem für Ansprüche aus dem Gesetz gegen den unlauteren Wettbewerb zuständige I. Zivilsenat des Bundesgerichtshofs hat heute ein bei ihm anhängiges Verfahren des Bundesverbands der Verbraucherzentralen und Verbraucherverbände gegen Facebook wegen Verstößen gegen Datenschutzrecht bis zur Entscheidung des Gerichtshofs der Europäischen Union in einem diesem vom Oberlandesgericht Düsseldorf vorgelegten Vorabentscheidungsverfahren ausgesetzt (…) Der Bundesgerichtshof hat das Verfahren in entsprechender Anwendung von § 148 Abs. 1 ZPO bis zur Entscheidung des Gerichtshofs der Europäischen Union in der Rechtssache C-40/17 über das Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf vom 19. Januar 2017 (Beschluss vom 19. Januar 2017 – I-20 U 40/16) ausgesetzt. Das Oberlandesgericht hat dem Gerichtshof der Europäischen Union in diesem Verfahren, in dem es um den “Gefällt mir”-Button von Facebook geht, die Frage zur Vorabentscheidung vorgelegt, ob die Regelungen in Art. 22 bis 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie) einer nationalen Regelung entgegenstehen, die – wie § 8 Abs. 3 Nr. 3 UWG – gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle einer Verletzung von Datenschutzvorschriften gegen den Verletzer vorzugehen. Diese Frage ist auch im vorliegenden Rechtsstreit entscheidungserheblich und nicht zweifelsfrei zu beantworten. Möglicherweise lässt die Datenschutz-Richtlinie eine Verfolgung von Verstößen allein durch die Datenschutzbehörden und die Betroffenen und nicht durch Verbände zu.

Quelle: Pressemitteilung des BGH

Damit steht im Raum, dass nunmehr erst einmal abschliessend geklärt wird, wer für die Verfolgung von Verstößen gegen die DSGVO berufen ist – Abmahnen sollten sich vor diesem Hintergrund eher bedeckt halten (ausser man ist für den Betroffenen selber tätig!).

Kategorien
DSGVO Allgemein

Erwartungen an den Datenschutz bei Rechtsanwälten

Der Landesbeauftragte für Datenschutz in Baden-Württemberg (LDSBBW) hat seinen Tätigkeitsbericht 2018 vorgelegt. Ein Abschnitt darin ist besonders für die Kollegen der Anwaltschaft von Interesse – im Bereich “Datenschutz bei Rechtsanwälten” ab Seite 99 finden sich Ausführungen dazu, was der Landesdatenschutzbeauftragte von Rechtsanwälten im Bereich Datenschutz erwartet. Besonders eine Auffassung ist überraschend und bedarf der Kritik.

Kategorien
Datenschutz & Technik DSGVO Allgemein

Zulässigkeit von Tracking-Tools auf Websites – Cookie-Banner nötig

Das Bayerische Landesamt für Datenschutzaufsicht hat sich zur Zulässigkeit von Tracking-Tools auf Websites in einer Analyse geäußert, die ich im Rahmen der Cybersecurity-Voraussetzungen von Webseiten vorgestellt hatte.

Dabei konnte sich das BayLDA zur Einwilligung äussern und klarstellen, dass man eine Einwilligung nur ernst nimmt, wenn erst nach Zustimmung die entsprechenden Skripte laufen; Skripte laufen lassen und pro Forma nach einem “ja” fragen reicht nicht:

Eine Einwilligung ist nur wirksam, wenn sie vorab erteilt wird,
d. h. wenn alle Tracking-Skripte blockiert sind, solange bis der Nutzer aktiv zugestimmt hat. Außerdem muss die Einwilligung freiwillig sein und der Nutzer vorab über die Datenverarbeitung informiert werden. Ist auch nur eine dieser Voraussetzungen nicht berücksichtigt, so ist die Einwilligung rechtswidrig.

Papier des BayLDA, Seite 25

Dabei ist zu lesen (Seite 26), dass die Einstellung „do not track“ zu akzeptierten und die Ausführung von Tracking-Skripten zu blockieren ist.

Insgesamt verstehe ich es derzeit so, dass – so unsinnig ich dies finden mag – seitens der Behörden das Risiko zu sehen ist, dass man auf einer sauberen Umsetzung des Cookie-Banners besteht. Dazu gehört eine echte Zustimmung, was heisst: einmal wird nichts ausgeführt bevor zugestimmt wurde – andererseits wird die “do not track” Einstellung im Browser respektiert. Ansonsten ist es nicht DSGVO-Konform.

Kategorien
Datenschutz & Technik DSGVO Allgemein

Datenschutzbehörde: Anforderungen an digitale Dienste bei der Cybersicherheit

Das Bayerische Landesamt für Datenschutzaufsicht (“BayLDA”) hat im Rahmen des “Safer Internet Day 2019” bei ausgewählten Internet-Angeboten eine Testreihe mit zwei Prüfblöcken „Cybersicherheit“ und „Tracking“ im Schnellverfahren durchgeführt. Die Ergebnisse wurden als PDF veröffentlicht und mögen für sich sprechen.

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

Erfolglose Verfassungsbeschwerde gegen die Verpflichtung zur Übermittlung von IP-Adressen

Es verstößt nicht gegen das Grundgesetz, dass der Anbieter eines E-Mail-Dienstes im Rahmen einer ordnungsgemäß angeordneten Telekommunikationsüberwachung verpflichtet ist, den Ermittlungsbehörden die Internetprotokolladressen (im Folgenden: IP-Adressen) der auf ihren Account zugreifenden Kunden auch dann zu übermitteln, wenn er seinen Dienst aus Datenschutzgründen so organisiert hat, dass er diese nicht protokolliert.

Dies hat die 3. Kammer des Zweiten Senats mit heute veröffentlichtem Beschluss entschieden und die Verfassungsbeschwerde eines solchen Diensteanbieters nicht zur Entscheidung angenommen. Zur Begründung hat sie angeführt, dass das auch unter dem Gesichtspunkt des Art. 12 Abs. 1 GG grundsätzlich schützenswerte Anliegen, ein datenschutzoptimiertes Geschäftsmodell anzubieten, nicht von der Einhaltung der gesetzlichen Vorgaben, die dem verfassungsrechtlichen Erfordernis einer funktionstüchtigen Strafrechtspflege Rechnung tragen, entbinden kann. (BVerfG; Beschluss vom 20. Dezember 2018, 2 BvR 2377/16).

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

Informationsfreiheitsgesetz gegenüber der Polizei

Kann man einen Informationsanspruch entsprechend Informationsfreiheitsgesetz NRW (IFG NRW) gegenüber der Polizei durchsetzen? Das IFG NRW macht diesbezüglich eine Ausnahme in §2 Abs.2 IFG NRW, wo zu lesen ist

Für (…) die Behörden der Staatsanwaltschaft gilt dieses Gesetz, soweit sie Verwaltungsaufgaben wahrnehmen.

Das wirft zwei Fragen auf: Soll damit auch die Polizei erfasst sein und, falls ja, wann ist von der Wahrnehmung von “Verwaltungsaufgaben” zu sprechen? Das OVG NRW konnte sich hierzu äußern.

Kategorien
Datenschutzrecht & Medienrecht DSGVO Allgemein

LG Frankfurt: KUG ist im Rahmen der DSGVO zu berücksichtigen

Auch das Landgericht Frankfurt am Main (2-03 O 283/18) konnte sich zu der Frage der Auswirkungen der Erlaubnistatbestände des KUG im Rahmen der DSGVO äussern und insoweit feststellen, dass man das KUG auch im Rahmen der DSGVO berücksichtigen möchte:

Die Kammer erachtet insoweit die Grundsätze der §§ 22, 23 KUG und die dazu ergangene Rechtsprechung – unter Berücksichtigung einer entsprechenden europarechtsautonomen Auslegung (vgl. Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060) – als Gesichtspunkte, die im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO und der Abwägung der Interessen und Grundrechte einzubeziehen sind (vgl. insoweit Specht in: Dreier/Schulze, UrhG, 6. Aufl. 2018, § 23 Rn. 1 KUG Rn. 1; Hansen/Brechtel, GRUR-Prax 2018, 369, 370; Paschke, jurisPR-ITR 15/2018, Anm. 3; Ziebarth/Elsaß, ZUM 2018, 578, 581; Plath/Grages, DSGVO/BDSG, 3. Aufl. 2018, Art. 85 DSGVO Rn. 3).

LG Frankfurt, 2-03 O 283/18

Das LG Frankfurt ist damit inhaltlich auf einer Linie mit dem OLG Köln, so dass jedenfalls derzeit die Linie zu erkennen ist: Was nach dem KUG erlaubt ist, wird im Rahmend er DSGVO weiterhin zulässig sein.