Beiträge

Der Europäische Datenschutzausschuss (EDSA) hat am 5. Mai die Leitlinien zur Einwilligung in die Nutzung von Internetseiten aktualisiert. Der EDSA stellt klar, dass der Zugang zu einem Web-Service nicht abhängig von der Erlaubnis in das Setzen von sogenannten Cookies sein darf. Auch die bloße Weiternutzung einer Seite wird nicht als wirksame Einwilligung angesehen.

 

Als Mitglied des EDSA befürwortet der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber die Aktualisierung: „Es gibt immer noch Internetseiten, die durch Ihren Aufbau den Nutzenden Tracking aufdrängen. Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können. Die meisten Cookie-Walls und die Annahme, dass das Weitersurfen eine Einwilligung bedeutet, widersprechen dem Aspekt der Freiwilligkeit und verstoßen gegen die Datenschutz-Grundverordnung. Ich wünsche mir, dass Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten.“

Als „Cookie-Wall“ wird ein Verfahren bezeichnet, das von Nutzenden eines Online-Angebots einfordert Cookies zu akzeptieren, um das Angebot nutzen zu können. Ausnahmsweise sind Cookie-Walls dann zulässig, wenn ein vergleichbarer Dienst auch ohne Tracking angeboten wird, beispielsweise als bezahlter Dienst.

Das bloße Scrollen oder Weitersurfen auf einer Internetseite stellt dagegen in keinem Fall eine Einwilligung dar. Hier fehlt es gemäß den Leitlinien des EDSA an einer eindeutig bestätigenden Handlung.

Der EDSA hat die aktualisierten Leitlinien bereits in englischer Sprache veröffentlicht.

Kammergericht BerlinUrteil vom 20.12.2019
– 5 U 9/18 –

 

Das Kammergericht Berlin hat ein früheres Urteil gegen Facebook bestätigt. Das soziale Netzwerk verletzt Daten- und Verbraucherschutzgesetze.

Der Verbraucherzentrale Bundesverband hatte geklagt und bekam nun in wesentlichen Punkten Recht.

Die Verbraucherschützer monierten z.B. den im Smartphone standardmäßig aktivierten Ortungsdienst von Facebook, der auch Chat-Partnern den Aufenthaltsort verriet, sowie den erlaubten Zugriff von Suchmaschinen auf die Nutzerfeeds. Für beides hätte laut Gericht eine Einwilligung, also etwa ein Opt-in, erfolgen müssen.

Die Klauseln, dass Facebook sich die Nutzung des Namens und Profilbilds von Mitgliedern für „kommerzielle, gesponserte und verwandte Inhalte“ vorbehält und Nutzer sich vorab mit allen Änderungen der Datenrichtlinien einverstanden erklären hätten müssen, hielten die Richter für nicht haltbar. Zudem hat die Klarnamenpflicht in den Augen des Gerichts keinen Bestand. „Eine Klausel, die Nutzer unter anderem zur Angabe ihres richtigen Namens verpflichtete, ist dem Unternehmen nach teilweiser Berufungsrücknahme im Dezember 2019 bereits jetzt rechtskräftig untersagt“, heißt es in der Pressemitteilung des vzbv.

Quelle vzbv.de 

 

 

 

Unter Golem.de wird aktuell über die tickende Zeitbombe Windows 10 berichtet. Lt. Artikel überträgt Micosoft nach wie vor Benutzerdaten in die USA.

Welche Daten das sind, lässt sich nicht überprüfen, da diese Daten verschlüsselt sind.

Zitat Golem.de

Knackpunkt der Auseinandersetzung ist die regelmäßige Übertragung von Nutzerdaten in die USA. Aus diesem Grund verlangen die deutschen Datenschutzbehörden in einem in der vergangenen Woche veröffentlichten Prüfschema (PDF) für Windows 10, dass diese Datenübertragung von den Anwendern geprüft und gegebenenfalls unterbunden werden müsse.

So müssten „technische Maßnahmen zur Verhinderung einer unbefugten Übermittlung zum Einsatz kommen“. Gleichzeitig stellen die Aufsichtsbehörden mit Verweis auf mehrere Studien fest, dass eine vollständige Unterbindung des Datentransfers „aktuell nicht möglich“ sei. Auch könnten die Anwender nicht selbst untersuchen, ob und welche personenbezogenen Daten übertragen werden, da der Datentransfer verschlüsselt sei. Diese Rechtsauffassung bringen die Datenschützer auch im IT-Konsolidierungsprojekt und IT-Planungsrat ein.

Die Behörden überlassen nun den Anwendern/Verantwortlichen zu prüfen und sicher zu stellen, dass alles DSGVO-konform von statten geht.

Dazu wird ein Prüfschema bereitgestellt anhand dessen die Anwender bzw. Verantwortlichen vorgehen können. Dieses Prüfschema finden Sie hier.

Weiter wird darauf hingewiesen, dass evtl. bei jedem Update eine entsprechende Prüfung vorgenommen werden muss. Denn mit jedem Update kommen neue Funktionen hinzu, die evtl. Daten ins Ausland transferieren. Dieses ist dann ggf. zu unterbinden.

 

Den ganzen Artikel auf Golem.de lesen Sie hier.

 

Der Immobilienkonzern „Deutsche Wohnen“  soll im großen Umfang persönliche Daten seiner Mieter unerlaubt gespeichert haben. Die Berliner Datenschutzbeauftragte hat deswegen ein Bußgeld gegen den Konzern verhängt.

Wie der Spiegel am 05.11.2019 meldet, ist aktuell ein empfindliches Bußgeld ausgesprochen worden. Weiter kommentiert der Autor, dass die Manager des Konzern damit wohl nicht gerechnet hätten. Das Vergehen welches hier vorliegt, ist aus unserer Sicht vorsätzlich geschehen, denn die Aufsichtsbehörde hat seit 2017 mehrfach auf die Missstände in dem Unternehmen hingewiesen., passiert sei jedoch nichts. Wenn dem so ist, dürfte das Bußgeld auch einer gerichtlichen Prüfung standhalten, zudem ist es dafür eher moderat ausgefallen.

Wir empfehlen allen Unternehmen sich datenschutztechnisch professionell aufzustellen. Ignoriert man die Anforderungen und Umsetzungspflichten, drohen nun tatsächlich unangenehme Strafen. Im Übrigen möchten wir an dieser Stelle darauf aufmerksam machen, dass auch private Vermieter der DSGVO mit seinen Pflichten unterliegen.

Hier lesen Sie den ganzen Artikel im Spiegel.

Wie die Onlineplattform AutoFlotte am heutigen Tag mitteilt, können sich Fahrzeugnutzer Ordnungswidrigkeitenverfahren nicht dadurch entziehen, indem der Arbeitgeber sich gegenüber der Bußgeldbehörde oder der ermittelnden Polizei auf die Datenschutz-Grundverordnung beruft.

Seit dem Start der Datenschutz-Grundverordnung DSGVO im Mai vergangenen Jahres schwelt unter vielen Dienstwagennutzern die Ansicht, dass deren Privatdaten (Name, Anschrift) nicht herausgegeben werden dürfen, da es sich hierbei um einen Datenschutzverstoß handeln würde. Genau über einen solchen Fall hat das Verwaltungsgericht (VG) Regensburg mit Urteil vom 17. April 2019 (Az. RN 3 K 19.267) entschieden.

Die Bußgeldbehörde hatte einen Fuhrpark in seiner Haltereigenschaft als Zeugen aufgefordert, den Fahrzeugführer aufgrund einer Geschwindigkeitsüberschreitung zu benennen und dessen Personalien mitzuteilen. Das Untenrehmen teilte nach mehreren Anläufen nur mit, man kenne die Personalien der Fahrerin, gebe sie aber aufgrund Datenschutzrechts nicht heraus.

Da die Fahrzeugführerin nicht binnen der gesetzlichen Verjährung festgestellt werden konnte, verhängte das Landratsamt für das Auto sowie ein etwaiges Ersatzfahrzeug eine zwölfmonatige Fahrtenbuchauflage. Hiergegen wandte sich nun der Fuhrparkbetreiber. Die Fahrerin sei bekannt gewesen und hätte nach Erfüllung der rechtlichen Vorschriften auch bekannt gegeben werden können. Nach den Maßgaben der EU-DSGVO, die verbindlich durchzusetzen sei, dürften die Mitarbeiterdaten auch in einem Ordnungswidrigkeitenverfahren nur nach ausdrücklicher schriftlicher Genehmigung an Dritte weitergegeben werden.

Das VG Regensburg bestätigte die Rechtmäßigkeit der Fahrtenbuchauflage, ein Datenschutzverstoß bestehe nicht. Nach § 31a Straßenverkehrs-Zulassungs-Ordnung (StVZO) kann die zuständige Behörde gegenüber einem Fahrzeughalter für ein oder mehrere auf ihn zugelassene oder künftig zuzulassende Fahrzeuge die Führung eines Fahrtenbuchs anordnen, wenn die Feststellung eines Fahrzeugführers nach einer Zuwiderhandlung gegen Verkehrsvorschriften nicht möglich war. Diese Voraussetzungen sah das Gericht hier als erfüllt.

Bei Firmenfahrzeugen ist im Wesentlichen maßgeblich, dass es in der Sphäre der Leitung des Betriebs liegt und deren Aufgabe ist sicherzustellen, dass im Falle einer Verkehrszuwiderhandlung ermittelt werden kann, welcher Person zu einem bestimmten Zeitpunkt das betreffende Fahrzeug überlassen worden ist. Die DSGVO findet für die Verarbeitung personenbezogener Daten durch die Polizei im Bereich der Ermittlung, Verfolgung, Ahndung und Vollstreckung von Ordnungswidrigkeiten von vornherein wohl schon keine unmittelbare Anwendung. Selbst bei Anwendbarkeit der DSGVO wäre ein Fahrzeughalter zur Herausgabe personenbezogener Daten auch ohne Einwilligung der betroffenen Person berechtigt, wenn dies zur Erfüllung seiner rechtlichen Verpflichtung zur Mitwirkung bei der Feststellung des Fahrzeugführers erforderlich ist; die Datenschutz-Grundverordnung steht demzufolge dem präventiv angeordneten Führen eines Fahrtenbuches nicht entgegen.

BfDI Pressemitteilung : EuGH stärkt die datenschutzrechtliche Einwilligung im Internet

Mit Urteil vom 01.10.2019 hat der Europäische Gerichtshof (EuGH) erneut die große Bedeutung der datenschutzrechtlichen Einwilligung im Internet bekräftigt. Demnach genügen vom Nutzer unveränderte, vorbelegte Auswahlfelder nicht den Anforderungen an eine wirksame Einwilligung.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, begrüßt die Entscheidung des Gerichts: Der EuGH hat erneut die Wichtigkeit der freien und informierten datenschutzrechtlichen Einwilligung hervorgehoben. Diese Botschaft ist gerade in Zeiten der fortschreitenden Digitalisierung, in der es mitunter immer schwieriger wird die eigenen Daten zu kontrollieren, ein wichtiges Zeichen. Ich gehe davon aus, dass der Gesetzgeber dies bei der anstehenden Novellierung des Telemediengesetzes berücksichtigt. Eine entsprechend rechtsklare Regelung ist insbesondere im Zusammenhang mit der Verwendung von sogenannten Cookie-Bannern mehr als überfällig. Diese können nach dem heutigen Urteil grundsätzlich nicht mehr als rechtskonforme Grundlage für das Setzen von Cookies herangezogen werden.

Gegenstand der Entscheidung des höchsten europäischen Gerichts war die Frage, unter welchen Voraussetzungen Internetanbieter Cookies auf den Endgeräten Ihrer Nutzer platzieren können. In diesem Zusammenhang stellte der EuGH fest, dass eine wirksame datenschutzrechtliche Einwilligung in diesem Kontext auch im Internet ein aktives Verhalten des Betroffenen voraussetzt. Dieses müsse sich zudem konkret auf die Einwilligung beziehen. Nicht ausreichend sei hingegen die Bestätigung eines vorausgewählten Ankreuzkästchens durch Anklicken einer anderweitigen Schaltfläche, etwa zur Teilnahme an einem Gewinnspiel.

Cookies sind kleine Textdateien, die von vielen Webseiten auf Computern oder anderen Geräten beim Surfen im Internet abgelegt werden. Sie können Informationen beinhalten, die für das Navigieren im Netz erforderlich sind, aber ebenso dafür verwendet werden, um das Nutzungsverhalten einzelner Personen nachzuverfolgen und darauf basierende Profile zu erstellen.

25 Klauseln in Daten­schutz­erklärung und Nutzungsbedingungen von Google unzulässig

Google darf sich keine willkürlichen Leistungsänderungen vorbehalten

Die von Google im Jahr 2012 verwendete „Daten­schutz­erklärung“ ist zum großen Teil rechtswidrig. Das hat das Kammergericht in Berlin nach einer Klage des Bundesverbands der Verbraucher­zentralen entschieden. Nach Auffassung des Gerichts sind außerdem zahlreiche Klauseln in den Nutzungsbedingungen des Konzerns unwirksam. Einige der untersagten Klauseln verwendet Google bis heute in gleicher oder ähnlicher Form.

In seiner Datenschutzerklärung von 2012 hatte sich Google umfangreiche Rechte zur Erhebung und Nutzung der Kundendaten eingeräumt. Das Unternehmen hatte sich unter anderem vorbehalten, gerätespezifische Informationen und Standortdaten zu erfassen sowie personenbezogene Daten aus den verschiedenen Google-Diensten miteinander zu verknüpfen. Auch eine Weitergabe persönlicher Daten an andere Unternehmen sollte in bestimmten Fällen möglich sein. Vor der Anmeldung bei Google mussten Kundinnen und Kunden durch Ankreuzen eines Kästchens erklären, dass sie mit den Nutzungsbedingungen einverstanden sind und die Datenschutzerklärung gelesen haben.

Verstoß gegen Datenschutzgrundverordnung

Nach Auffassung des Kammergerichts verstoßen die beanstandeten Teile der Datenschutzerklärung gegen die Datenschutzgrundverordnung (DSGVO). Google erwecke den Eindruck, als sei die beschriebene Datenverarbeitung ohne Zustimmung der Kunden erlaubt. Tatsächlich sei für die Nutzung personenbezogener Daten in den vom Bundesverband der Verbraucherzentralen beanstandeten Fällen jedoch eine informierte und freiwillige Einwilligung erforderlich. Die einfache Bestätigung von Verbrauchern, die Datenschutzerklärung gelesen zu haben, reiche hierfür nicht aus. Für das Gericht sind Teile der Datenschutzerklärung auch deshalb unwirksam, weil sie „so verschachtelt und redundant ausgestaltet“ seien, dass durchschnittliche Leser sie kaum noch durchschauen könnten. Diese müssten davon ausgehen, dass letztlich jede Nutzung der personenbezogenen Daten erlaubt ist, die Google für zweckmäßig hält.

Nutzungsbedingungen unwirksam

Für unwirksam erklärte das Gericht auch eine Reihe von Klauseln in den Google-Nutzungsbedingungen. Das Unternehmen behielt sich zum Beispiel vor, einzelne Dienste nach eigenem Ermessen einzustellen oder zu ändern. Darin sah das Kammergericht einen gesetzlich nicht zulässigen Änderungsvorbehalt. Google könne die versprochenen Leistungen nur ändern, wenn dies für die Verbraucher auch zumutbar sei. Eine solche Einschränkung enthielt die Klausel nicht. Insgesamt erklärte das Kammergericht 13 Klauseln in der Datenschutzerklärung und 12 Klauseln in den Nutzungsbedingungen für unwirksam. Damit gab das Gericht der Klage des Bundesverbands der Verbraucherzentralen in vollem Umfang statt – wie zuvor schon das Landgericht Berlin in erster Instanz. Das Unternehmen hat inzwischen Nichtzulassungsbeschwerde beim Bundesgerichtshof eingelegt.