BvD News: Aktu­el­le Infos zur Mit­tei­lungs­pflicht des Daten­schutz­be­auf­trag­ten nach Art 37 Abs. 7 DS-GVO

Der Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. hat bezüg­lich die­ses The­mas reche­riert und die aktu­el­le Silua­ti­on bei den ein­zel­nen Lan­des­be­hör­den zusam­men­ge­stellt. Der Link zum Arti­kel.

Stel­lung­nah­me der GDD zum TMG: Tracking nach der Daten­schutz-Grund­ver­ord­nung in Gren­zen erlaubt

Zuläs­sig­keit des Tracking nach der Daten­schutz-Grund­ver­ord­nung – die GDD bezieht Stel­lung zur Posi­ti­on der Daten­schutz­kon­fe­renz

Am 26. April 2018 hat die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der (DSK) ihre Posi­ti­on zur Anwend­bar­keit des Tele­me­di­en­ge­set­zes (TMG) als natio­na­les Gesetz neben der Daten­schutz-Grund­ver­ord­nung (DS-GVO) ver­öf­fent­licht. Nach Auf­fas­sung der DSK stellt der 4. Abschnitt des TMG kei­ne Umset­zung der ePri­va­cy-Richt­li­nie dar und genießt des­we­gen kei­nen Anwen­dungs­vor­rang als spe­zi­al­ge­setz­li­che Rege­lung für die Ver­ar­bei­tung in Ver­bin­dung mit der Bereit­stel­lung öffent­lich zugäng­li­cher elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­dien­ste auf Grund­la­ge des Art. 95 DS-GVO. Die GDD stimmt mit der DSK über­ein, dass für die Beur­tei­lung der Recht­mä­ßig­keit der Reich­wei­ten­mes­sung und des Ein­sat­zes von Tracking-Mecha­nis­men ab dem 25.05.2018 aus­schließ­lich die DS-GVO ein­schlä­gig ist. Folg­lich kom­men als Rechts­grund­la­ge für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Dien­ste­an­bie­ter von Tele­me­di­en Art. 6 Abs. 1, ins­be­son­de­re lit. a, b und f DS-GVO in Betracht.

Tech­nisch not­wen­di­ge Ver­ar­bei­tun­gen für die Bereit­stel­lung eines Dien­stes sind unstrit­tig nach Art. 6 Abs. 1 lit. b oder f DS-GVO zuläs­sig. Diver­genz besteht hin­ge­gen hin­sicht­lich der Rechts­grund­la­ge beim Ein­satz von Tracking-Mecha­nis­men, die das Ver­hal­ten von betrof­fe­nen Per­so­nen im Inter­net nach­voll­zieh­bar machen und bei der Erstel­lung von Nut­zer­pro­fi­len. Der Auf­fas­sung der DSK nach ist das Tracking von Nut­zern wie z.B. durch Ana­ly­se­tools wie Goog­le Ana­ly­tics oder durch Wer­be­tracker nur noch durch eine expli­zi­te Ein­wil­li­gung des Nut­zers legi­ti­miert, auch wenn es ledig­lich in pseud­ony­mi­sier­ter Form erfolgt. Wer­bung stellt jedoch nach der DS-GVO grund­sätz­lich ein berech­tig­tes Inter­es­se im Rah­men der Inter­es­sen­ab­wä­gung nach Art. 6 Abs. 1 lit. f DS-GVO dar, das dem Rege­lungs­ver­ständ­nis der DS-GVO nach jeden­falls grund­sätz­lich nicht von einer Ein­wil­li­gung abhän­gig ist. Wenn nach ErwG. 47 DS-GVO die Direkt­wer­bung ein berech­tig­tes Inter­es­se des wer­ben­den Unter­neh­mens sein kann, muss in der Kon­se­quenz auch das Tracking von Nut­zer­ver­hal­ten als weni­ger stark in das Per­sön­lich­keits­recht ein­grei­fen­de Maß­nah­me grund­sätz­lich zuläs­sig sein. Danach dürf­ten Coo­kies im Rah­men der Wer­bung, die kei­ne sen­si­blen Daten betref­fen und nicht auf Per­so­nen­be­zug schlie­ßen las­sen (wie sie der­zeit nach § 15 Abs. 3 TMG gestat­tet sind), ein berech­tig­tes Inter­es­se der daten­ver­ar­bei­ten­den Unter­neh­men dar­stel­len. Die Anzei­ge etwai­ger ziel­ge­rich­te­ter Wer­bung ist in der Regel trans­pa­rent für die betrof­fe­ne Per­son. Inso­fern bestehen gera­de bei pseud­ony­mer Nut­zung der per­so­nen­be­zo­ge­nen Daten der betrof­fe­nen Per­son für die Zwecke des Online-Mar­ke­tings und der Online-Wer­bung kei­ne Beden­ken, im Rah­men des Art. 6 Abs. 1 lit. f DS-GVO die Abwä­gung zu Gun­sten des Ver­ant­wort­li­chen zuzu­las­sen. Ent­schei­dend für die Zuläs­sig­keit nach Art. 6 Abs. 1 lit. f DS-GVO ist, wel­che Zie­le bei der Daten­ver­ar­bei­tung ver­folgt wer­den. Sofern Daten in Ver­bin­dung mit Per­so­nen­da­ten von Nut­zern gebracht wer­den oder Daten über ein umfas­sen­des Wer­be­netz­werk hin­weg erho­ben wer­den, lässt sich die Beein­träch­ti­gung des Betrof­fe­nen als erheb­lich qua­li­fi­zie­ren. Die beim Online-Tracking web­sei­ten- und sogar gerä­te­über­grei­fend erstell­ten Nut­zungs­pro­fi­le sind nicht der­art schwer­wie­gend, dass sie „die Inter­es­sen oder Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­son, die den Schutz per­so­nen­be­zo­ge­ner Daten erfor­dern, über­wie­gen“. Durch die Pseud­ony­mi­sie­rung wird den schutz­wür­di­gen Inter­es­sen der Nut­zer Rech­nung getra­gen.

Link zur GDD

Die Kom­men­tie­rung die­ser The­ma­tik von Schwartmann/​Klein fin­den Sie im Hei­del­ber­ger Kom­men­tar der DS-GVO/BDSG ab Rn. 138 ff. frei abruf­bar unter: https://​medi​endb​.cfmu​el​ler​.de/​c​f​m​u​e​l​l​e​r​/​t​e​x​t​e​/​l​e​s​e​p​r​o​b​e​/​9​7​8​3​8​1​1​4​4​7​1​2​7​_​l​e​s​e​p​r​o​b​e​_​0​2​.​p​d​f​#​p​a​g​e=3.

DS-GVO: wie hoch ist das Abmahn­ri­si­ko?

Machen wir uns nichts vor, die Angst vor hohen Buß­gel­dern und Abmahn­wel­len sind der Haupt­an­trieb für Unter­neh­men, sich mit der DS-GVO zu beschäf­ti­gen. Bei allem Élan dürf­te es für vie­le den­noch schwie­rig wer­den, alle Anfor­de­run­gen frist­ge­mäß zu erfül­len. Was also tun, wenn ab dem 25. Mai tat­säch­lich Post von den ein­schlä­gig bekann­ten Kanz­lei­en ins Haus geflat­tert kommt?

Ansprü­che aus dem Wett­be­werbs­recht sind umstrit­ten

Die Fra­ge, ob die Kon­kur­renz einen Anspruch auf Unter­las­sen auf Grund von Vor­schrif­ten aus der Daten­schutz-Grund­ver­ord­nung (DS-GVO) haben, rich­tet sich nach dem Wett­be­werbs­recht, ist hoch umstrit­ten und kei­nes­falls rich­ter­lich geklärt. Zu den ein­zel­nen recht­li­chen Fra­ge­stel­lun­gen hat die Kanz­lei Löf­fel Abrar einen her­vor­ra­gen­den Blog­bei­trag geschrie­ben.

Bevor Sie also in einem Anflug von Panik eine Unter­las­sungs­er­klä­rung unter­schrei­ben und die Anwalts­ko­sten der geg­ne­ri­schen Sei­te sowie Scha­dens­er­satz lei­sten, soll­ten Sie sich fol­gen­de Über­le­gun­gen vor Augen füh­ren:

a. Die DS-GVO ist juri­sti­sches Neu­land
Wir befin­den uns auf neu­em Rechts­ge­biet. Egal wie selbst­si­cher die Abmah­nun­gen klin­gen mögen, sei­en sie sich bewusst, dass die Gegen­sei­te nur behaup­tet einen Anspruch zu haben. Ob die­ser Anspruch wirk­lich besteht, müs­sen ein oder meh­re­re Gerich­te ent­schei­den. Genau­so wie Sie über­le­gen müs­sen, ob Sie die Unter­las­sungs­er­klä­rung abge­ben, muss die Gegen­sei­te ent­schei­den, ob sie den Fall wirk­lich vor Gericht brin­gen will. Im schlimm­sten bzw. besten Fall ent­schei­den näm­lich die Gerich­te, dass es kei­ne wett­be­werbs­recht­li­chen Ansprü­che auf Grund von DS-GVO-Ver­stö­ßen gibt und dann ist das gan­ze schö­ne neue Geschäfts­mo­dell der Abmahn­kanz­lei­en zum Teu­fel. Sie kön­nen sich also sicher sein, dass die Gegen­sei­te min­de­stens genau­so viel zu ver­lie­ren hat wie Sie. Den­ken Sie auch dar­an, dass Rich­ter in den mei­sten Fäl­len auch Men­schen sind und denk­bar unge­hal­ten wer­den kön­nen, wenn Sie das Gefühl bekom­men, dass die Gerich­te für unlau­te­re Ansprü­che instru­men­ta­li­siert wer­den sol­len. Wenn Sie zu der Über­zeu­gung gelan­gen, dass die Ansprü­che der Gegen­sei­te defi­ni­tiv unge­recht­fer­tigt sind, lie­ße sich sogar über eine Gegen­ab­mah­nung nach­den­ken.

b. Bewah­ren Sie Ruhe
Wich­tig ist vor allem: bewah­ren sie Ruhe. Die­se Devi­se soll­te im Übri­gen bei allen DSGVO-beding­ten Umset­zungs­maß­nah­men gel­ten.

c. Kon­tak­tie­ren Sie einen Anwalt
Um einen letz­ten Rat­schlag im Fal­le einer Abmah­nung kom­men wir aller­dings trotz­dem nicht her­um: Reden Sie mit einem Anwalt. Mög­lichst einen mit Exper­ti­se im Wett­be­werbs- und Daten­schutz­recht. Denn ob ein Anspruch gerecht­fer­tigt oder unge­recht­fer­tigt ist, kann eben am besten doch ein Rechts­an­walt ent­schei­den.

Das TMG ist nach dem 25.05.2018 nicht mehr anwend­bar!

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der hat am 26. April 2018 ihre Posi­ti­on zum TMG ab dem 25.05.2018 fest­ge­legt. Das Papier ist hier abruf­bar. Kaum über­ra­schen dürf­te es, dass die Auf­sichts­be­hör­den zu dem Ergeb­nis kom­men, dass die Daten­schutz­be­stim­mun­gen des Tele­me­di­en­ge­set­zes (§§ 11 ff TMG) durch die DS-GVO ver­drängt wer­den. Die Ver­öf­fent­li­chung einer kla­ren Posi­ti­on der deut­schen Daten­schutz-Auf­sichts­be­hör­den ist erfreu­lich, da hier­mit ein „zitier­fä­hi­ges“ Papier vor­liegt.

Die Fol­gen der Posi­ti­ons­be­stim­mung der Auf­sichts­be­hör­den wird in der Pra­xis aber erst auf den zwei­ten Blick erkenn­bar. Für Betrei­ber von Inter­net­dien­sten bedeu­tet dies:

  • die §§ 12, 13, 15 TMG bei der Beur­tei­lung der Recht­mä­ßig­keit der Reich­wei­ten­mes­sung und des Ein­sat­zes von Tracking-Mecha­nis­men, die das Ver­hal­ten von betrof­fe­nen Per­so­nen im Inter­net nach­voll­zieh­bar machen, kön­nen ab dem 25.Mai 2018 nicht mehr ange­wen­det wer­den.
  • als Rechts­grund­la­ge für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Dien­ste­an­bie­ter von Tele­me­di­en kommt folg­lich nur Arti­kel 6 Absatz 1 DSGVO , ins­be­son­de­re die Ein­wil­li­gung (Buch­sta­be a), die Ver­trags­an­bah­nung oder -erfül­lung (Buch­sta­be b) und das berech­tig­te Inter­es­se (Buch­sta­be f) in Betracht. Dar­über hin­aus sind die all­ge­mei­nen Grund­sät­ze aus Arti­kel 5 Absatz 1 DSGVO („Recht­mä­ßig­keit, Ver­ar­bei­tung nach Treu und Glau­ben, Trans­pa­renz“, „Zweck­bin­dung“, „Daten­mi­ni­mie­rung“, „Rich­tig­keit“, „Spei­cher­be­gren­zung“ und „Inte­gri­tät und Ver­trau­lich­keit“), sowie die beson­de­ren Vor­ga­ben z. B. aus Arti­kel 25 Absatz 2 DSGVO (“Daten­schutz durch durch daten­schutz­freund­li­che
    Vor­ein­stel­lun­gen”) ein­zu­hal­ten.
  • auch § 15 Abs. 3 TMG, wel­che die Erstel­lung von Online-Nut­zungs­pro­fi­len regelt („… für Zwecke der Wer­bung, der Markt­for­schung oder zur bedarfs­ge­rech­ten Gestal­tung der Tele­me­di­en Nut­zungs­pro­fi­le …“), greift nicht mehr

Die Schluß­fol­ge­rung der Auf­sichts­be­hör­den: es bedarf jeden­falls einer vor­he­ri­gen Ein­wil­li­gung beim Ein­satz von Tracking-Mecha­nis­men, die das Ver­hal­ten von betrof­fe­nen Per­so­nen im Inter­net nach­voll­zieh­bar machen und bei der Erstel­lung von Nut­zer­pro­fi­len. Das bedeu­tet, dass eine infor­mier­te Ein­wil­li­gung i. S. d. DSGVO, in Form einer Erklä­rung oder son­sti­gen ein­deu­tig bestä­ti­gen­den Hand­lung vor der Daten­ver­ar­bei­tung ein­ge­holt wer­den muss, d. h. z.B. bevor Coo­kies platz­iert wer­den bzw. auf dem End­ge­rät des Nut­zers gespei­cher­te Infor­ma­tio­nen gesam­melt wer­den.

Die Aus­sa­gen der DSK bedeu­ten kon­kret, dass für eine Nut­zung von Coo­kies – sofern die­se nicht für die rei­ne Funk­tio­na­li­tät der Web­site erfor­der­lich sind (das dür­fen dann aber nur Ses­si­on-Coo­kies sein) – eine aus­drück­li­che, infor­mier­te und frei­wil­li­ge Ein­wil­li­gung erfor­der­lich ist, die den Anfor­de­run­gen des Art. 7 DSGVO erfüllt! Dies dürf­te wesent­li­che Aus­wir­kun­gen auf die Gestal­tung (fast) aller Web­sites haben.

BvD: Tipps und Links für klei­ne Orga­ni­sa­tio­nen

Der Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. unter­stützt klei­ne Orga­ni­sa­tio­nen wie Ver­ei­ne und Stif­tun­gen, sich zum 25. Mai 2018 auf die Anfor­de­run­gen der neu­en Daten­schutz-Grund­ver­ord­nung (DS-GVO) rechts­kon­form vor­zu­be­rei­ten.

Man­che Ver­ei­ne blicken mit Schrecken auf die neu­en Regeln, obwohl  die Anfor­de­run­gen für klei­ne­re Orga­ni­sa­tio­nen meist nicht neu und mit nur wenig Auf­wand schnell umzu­set­zen sind. Frei­wil­li­ge Feu­er­weh­ren, loka­le Sport-Ver­ei­ne oder Land­frau­en­ver­bän­de benö­tig­ten in der Regel kei­nen Daten­schutz­be­auf­trag­ten. Für Daten­er­he­bun­gen über eine Inter­net­sei­te, bei Kom­men­ta­ren oder für News­let­ter, bie­ten die mei­sten Dienst­lei­ster mitt­ler­wei­le vor­ge­fer­tig­te Ver­trä­ge an.

Im BvD-Blog erschien bereits ein Bei­trag https://​www​.bvd​net​.de/​h​a​n​d​r​e​i​c​h​u​n​g​e​n​-​f​u​e​r​-​k​l​e​i​n​e​-​u​n​t​e​r​n​e​h​m​e​n​-​u​n​d​-​v​e​r​e​i​ne/ zu Muster­vor­la­gen spe­zi­ell für Ver­ei­ne, Stif­tun­gen, Hand­werks­be­trie­be und Selbst­stän­di­ge. Dane­ben bie­ten die Daten­schutz-Auf­sichts­be­hör­den der Län­der Ori­en­tie­rungs­hil­fen, Muster-Ver­zeich­nis­se der Ver­ar­bei­tungs­über­sich­ten und Check­li­sten spe­zi­ell für klei­ne Unter­neh­men und Orga­ni­sa­tio­nen an.

Unter ande­ren stellt das Baye­ri­sche Lan­des­amt für Daten­schutz spe­zi­ell für Ver­ei­ne unter https://​www​.lda​.bay​ern​.de/​d​e​/​k​l​e​i​n​e​-​u​n​t​e​r​n​e​h​m​e​n​.​h​tml ein Muster mit den wesent­li­chen Anfor­de­run­gen der DS-GVO und mit Links auf alle Ein­zel­an­for­de­run­gen zur Ver­fü­gung.

Der Lan­des­be­auf­trag­te für den Daten­schutz in Baden-Würt­tem­berg, Ste­fan Brink, gibt unter https://​www​.baden​-wuerttem​berg​.daten​schutz​.de/​s​c​h​u​e​t​z​e​n​h​i​l​f​e​-​f​u​e​r​-​v​e​r​e​i​n​e​-​l​f​d​i​-​s​t​e​l​l​t​-​e​i​n​e​-​o​r​i​e​n​t​i​e​r​u​n​g​s​h​i​l​f​e​-​f​u​e​r​-​v​e​r​e​i​n​e​-​u​n​t​e​r​-​d​e​r​-​d​a​t​e​n​s​c​h​u​t​z​-​g​r​u​n​d​v​e​r​o​r​d​n​u​n​g​-​z​u​r​-​v​e​r​f​u​e​g​u​ng/ Ori­en­tie­rungs­hil­fen für Ver­ein.

Im The­men­be­reich der Inter­net­sei­te www​.zdh​.de infor­miert der Zen­tral­ver­band des Deut­schen Hand­werks dar­über, wann die DS-GVO über­haupt für Hand­wer­ker zutrifft und wel­che Schrit­te dann not­wen­dig sind.

Daten in der Cloud: 1,5 Mil­li­ar­den Doku­men­te frei zugäng­lich

Im Inter­net sind rund 1,5 Mil­li­ar­den Doku­men­te mit sen­si­blen Infor­ma­tio­nen auf­grund von falsch kon­fi­gu­rier­ten Ser­vern und Cloud-Dien­sten frei zugäng­lich. Dazu gehö­ren Gehalts­ab­rech­nun­gen, Steu­er­be­schei­de, aber auch medi­zi­ni­sche Daten, wie auf ZDNet zu lesen ist. Dem­nach ist es jedem mit gerin­gen tech­ni­schen Kennt­nis­sen mög­lich, auf die sen­si­blen Daten zuzu­grei­fen. Neben Infor­ma­tio­nen von pri­va­ten Anwen­de­rin­nen und Anwen­dern las­sen sich auch Paten­te ein­fach abgrei­fen.

Die hohe Anzahl und Sen­si­bi­li­tät der öffent­lich zugäng­li­chen Daten ist erschreckend. Der Bericht zeigt erneut, wie sorg­los man­che Dienst­lei­ster mit sen­si­blen Daten ihrer Kun­den umge­hen”, beton­te BSI-Prä­si­dent, Arne Schön­bohm. “Unter­neh­men, die mit sen­si­blen Daten agie­ren, müs­sen ihrer Ver­ant­wor­tung zum Schutz die­ser Daten end­lich gerecht wer­den. Anbie­ter von Online-Dienst­lei­stun­gen wie Cloud- oder Ser­ver-Dienst­lei­stun­gen müs­sen es ihren Kun­den durch ent­spre­chen­de Vor­kon­fi­gu­ra­tio­nen noch ein­fa­cher machen, die grund­le­gen­den Sicher­heits­prin­zi­pi­en ein­zu­hal­ten. Wir ste­hen erst am Anfang der Digi­ta­li­sie­rung und müs­sen begrei­fen, dass Infor­ma­ti­ons­si­cher­heit die Vor­aus­set­zung für ihr Gelin­gen ist.” Allen Anwen­de­rin­nen und Anwen­dern wird emp­foh­len, die IT-Sicher­heit bei der Nut­zung von Cloud-Dien­sten auch selbst im Blick zu behal­ten.

Zur BSI Mel­dung: Sicher­heits­for­scher fin­den 1,5 Mil­li­ar­den sen­si­ble Daten

Zur Mel­dung auf ZDNet: Falsch kon­fi­gu­rier­te Ser­ver und Cloud-Dien­ste geben 1,5 Mil­li­ar­den ver­trau­li­che Daten preis

CEO-Betrug: Aku­tes Risi­ko für Mit­ar­bei­ter und Unter­neh­men

Aktu­ell ver­su­chen Betrü­ger wie­der ver­stärkt, Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter in zahl­rei­chen Unter­neh­men durch gefälsch­te E-Mails dazu zu brin­gen, Geld­be­trä­ge vom Fir­men­kon­to zu über­wei­sen. Laut Hei­se Secu­ri­ty geben sich die Kri­mi­nel­len als Chef oder ande­rer Vor­ge­set­zer aus. An die not­wen­di­gen Infor­ma­tio­nen gelan­gen die Betrü­ger, indem sie per Soci­al Engi­nee­ring so vie­le Infor­ma­tio­nen wie mög­lich über ein Unter­neh­men und ein­zel­ne Mit­ar­bei­ter zusam­men­tra­gen. Dadurch wir­ken die E-Mails oft täu­schend echt. Um nicht Opfer einer sol­chen Betrugs­ma­sche zu wer­den, soll­ten Sie stets mit gesun­dem Men­schen­ver­stand agie­ren und außer­ge­wöhn­li­che Nach­rich­ten und Auf­trä­ge hin­ter­fra­gen. In Unter­neh­men soll­ten ins­be­son­de­re Mit­ar­bei­ter mit Finanz­ver­ant­wor­tung beson­ders acht­sam sein. Der Drei-Sekun­den-E-Mail-Check vom Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik weißt Sie auf kri­ti­sche Punk­te hin.

Zum Arti­kel auf Hei­se Secu­ri­ty: CERT Bund warnt gegen­wär­tig vor der “Chef-Masche”

Exper­ten­in­ter­view mit Tho­mas Spa­eing (Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V.

Die EU-Daten­schutz-Grund­ver­ord­nung (EU-DSGVO) tritt am 25.05.2018 in Kraft . Umfra­gen haben erge­ben, dass vie­le Unter­neh­men noch nicht oder nicht genug mit der Ver­ord­nung ver­traut sind und nicht den künf­ti­gen Anfor­de­run­gen genü­gen. Herr Spa­eing, war­um mei­nen Sie ist das so?

Zum Inter­view im ByDE Maga­zi­ne

LfDI Baden-Würt­tem­berg gibt Tipps zur Umset­zung der DSDVO in Sachen Beschäf­tig­ten­da­ten­schutz

Der pra­xis­be­zo­ge­ne Rat­ge­ber des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (LfDI), Dr. Ste­fan Brink, zum Beschäf­tig­ten­da­ten­schutz hat all­ge­mein gro­ßen Anklang gefun­den. Der Zuspruch ins­be­son­de­re durch Arbeit­ge­ber, Inter­es­sen­ver­tre­tun­gen und auch Arbeit­neh­mer selbst, aber auch von Sei­ten der Pres­se hat den Lan­des­be­auf­trag­ten dar­in bestärkt, sei­ne Bera­tungs­an­ge­bo­te wei­ter aus­zu­bau­en.

Der Count­down bis zur unmit­tel­ba­ren Gel­tung der Daten­schutz-Grund­ver­ord­nung (DS-GVO) und dem In-Kraft-Tre­ten des neu­ge­fass­ten Bun­des­da­ten­schutz­ge­set­zes läuft. Von daher haben die Ver­ant­wort­li­chen ver­ständ­li­cher­wei­se alle Hän­de voll zu tun. Der Beschäf­tig­ten­da­ten­schutz darf hier­bei jedoch nicht aus den Augen ver­lo­ren wer­den! Auch wenn sich inso­weit die mate­ri­el­le Rechts­la­ge auf den ersten Blick nicht wirk­lich ver­än­dern wird, gel­ten die all­ge­mei­nen Anfor­de­run­gen der DS-GVO auch im Arbeits­ver­hält­nis. So sind die Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten nach Art. 5 DS-GVO auch im Beschäf­ti­gungs­ver­hält­nis zu wah­ren. Nicht nur den Kun­den des Ver­ant­wort­li­chen ste­hen die umfang­rei­chen Infor­ma­ti­ons- und Betrof­fe­nen­rech­te zur Ver­fü­gung, son­dern auch den eige­nen Mit­ar­bei­te­rin­nen und Mit­ar­bei­tern. Das soll­te von den Ver­ant­wort­li­chen nicht über­se­hen wer­den, wenn sie sich vor Scha­dens­er­satz­for­de­run­gen oder Ver­bands­kla­gen schüt­zen wol­len.

Mit der 2. Auf­la­ge des Rat­ge­bers gibt der LfDI, neben den aus der 1. Auf­la­ge bekann­ten pra­xis­re­le­van­ten Fall­bei­spie­len und deren Lösun­gen, Tipps zur Umset­zung der DS-GVO in Sachen Beschäf­tig­ten­da­ten­schutz. Der Wunsch nach einem eigen­stän­di­gen Beschäf­tig­ten­da­ten­schutz­ge­setz bleibt näm­lich auch mit der Anwen­dung der Daten­schutz­grund­ver­ord­nung ab dem 25. Mai 2018 wei­ter­hin uner­füllt. Ziel des Rat­ge­bers ist es somit nach wie vor, die Öffent­lich­keit für die Belan­ge des Beschäf­tig­ten­da­ten­schut­zes zu sen­si­bi­li­sie­ren und den Ver­ant­wort­li­chen und betrof­fe­nen Per­so­nen Ori­en­tie­rung zu geben.

Der Rat­ge­ber kann hier abge­ru­fen wer­den:
https://​www​.baden​-wuerttem​berg​.daten​schutz​.de/​w​p​-​c​o​n​t​e​n​t​/​u​p​l​o​a​d​s​/​2​0​1​8​/​0​3​/​R​a​t​g​e​b​e​r​-​A​N​D​S​-​2​.​-​A​u​f​l​a​g​e​.​pdf#

Ver­brau­cher­zen­tra­le Bun­des­ver­band – Face­book ver­stößt gegen deut­sches Daten­schutz­recht

  • Vor­ein­stel­lun­gen im Pri­vat­sphä­re-Bereich bedür­fen einer infor­mier­ten Ein­wil­li­gung der Ver­brau­cher.
  • Klau­sel zur Klar­na­men­pflicht und wei­te­re AGB sind unzu­läs­sig.
  • Wer­bung „Face­book ist und bleibt kosten­los“ ist nicht irre­füh­rend.

Face­book ver­stößt mit sei­nen Vor­ein­stel­lun­gen und Tei­len der Nut­zungs- und Daten­schutz­be­din­gun­gen gegen gel­ten­des Ver­brau­cher­recht. Das hat das Land­ge­richt Ber­lin nach einer Kla­ge des Ver­brau­cher­zen­tra­le Bun­des­ver­bands (vzbv) ent­schie­den. Die Ein­wil­li­gun­gen zur Daten­nut­zung, die sich das Unter­neh­men ein­holt, sind nach dem Urteil teil­wei­se unwirk­sam.

Face­book ver­steckt daten­schutzun­freund­li­che Vor­ein­stel­lun­gen in sei­nem Pri­vat­sphä­re-Cen­ter, ohne bei der Regi­strie­rung aus­rei­chend dar­über zu infor­mie­ren“, sagt Hei­ko Dün­kel, Rechts­re­fe­rent beim vzbv. „Das reicht für eine infor­mier­te Ein­wil­li­gung nicht aus.“

Kri­ti­sche Vor­ein­stel­lun­gen schon akti­viert

Nach dem Bun­des­da­ten­schutz­ge­setz dür­fen per­so­nen­be­zo­ge­ne Daten nur mit Zustim­mung der Betrof­fe­nen erho­ben und ver­wen­det wer­den. Damit die­se bewusst ent­schei­den kön­nen, müs­sen Anbie­ter klar und ver­ständ­lich über Art, Umfang und Zweck der Daten­nut­zung infor­mie­ren.

Die­se Anfor­de­run­gen erfüll­te Face­book nicht. So war in der Face­book-App für Mobil­te­le­fo­ne bereits ein Ortungs­dienst akti­viert, der Chat-Part­nern den eige­nen Auf­ent­halts­ort ver­rät. In den Ein­stel­lun­gen zur Pri­vat­sphä­re war per Häk­chen vor­ein­ge­stellt, dass Such­ma­schi­nen einen Link zur Chro­nik des Teil­neh­mers erhal­ten. Dadurch wird das per­sön­li­che Face­book-Pro­fil für jeden schnell und leicht auf­find­bar. Die Rich­ter ent­schie­den, dass alle fünf vom vzbv monier­ten Vor­ein­stel­lun­gen auf Face­book unwirk­sam sind. Es sei nicht gewähr­lei­stet, dass die­se vom Nut­zer über­haupt zur Kennt­nis genom­men wer­den.

Zu weit rei­chen­de Ein­wil­li­gung zum Nut­zen von Daten

Das Land­ge­richt Ber­lin erklär­te außer­dem acht Klau­seln in den Nut­zungs­be­din­gun­gen für unwirk­sam. Die­se ent­hiel­ten unter ande­rem vor­for­mu­lier­te Ein­wil­li­gungs­er­klä­run­gen, wonach Face­book Namen und Pro­fil­bild der Nut­zer „für kom­mer­zi­el­le, gespon­ser­te oder ver­wand­te Inhal­te“ ein­set­zen und deren Daten in die USA wei­ter­lei­ten durf­te. Die Rich­ter stell­ten klar, dass mit sol­chen vor­for­mu­lier­ten Erklä­run­gen kei­ne wirk­sa­me Zustim­mung zur Daten­nut­zung erteilt wer­den kön­ne.

Unzu­läs­sig ist auch eine Klau­sel, mit der sich Nut­zer ver­pflich­ten, auf Face­book nur ihre ech­ten Namen und Daten zu ver­wen­den. „Anbie­ter von Online-Dien­sten müs­sen Nut­zern auch eine anony­me Teil­nah­me, etwa unter Ver­wen­dung eines Pseud­onyms, ermög­li­chen“, so Dün­kel. „Das schreibt das Tele­me­di­en­ge­setz vor.“ Nach Auf­fas­sung des Land­ge­richts war Klar­na­men­pflicht schon des­halb unzu­läs­sig, weil Nut­zer damit ver­steckt der Ver­wen­dung die­ser Daten zustimm­ten.

Wer­bung „Face­book ist kosten­los” ist zuläs­sig

Nicht durch­set­zen konn­te sich der vzbv gegen die Wer­bung, Face­book sei kosten­los. Der Wer­be­spruch ist nach Ansicht des Ver­bands irre­füh­rend. „Ver­brau­cher bezah­len die Face­book-Nut­zung zwar nicht in Euro, aber mit ihren Daten. Und die­se brin­gen dem Unter­neh­men viel Geld ein“, so Dün­kel. Das Land­ge­richt Ber­lin hält die Wer­bung dage­gen für zuläs­sig, imma­te­ri­el­le Gegen­lei­stun­gen sei­en nicht als Kosten anzu­se­hen. Die Rich­ter lehn­ten außer­dem meh­re­re Anträ­ge des vzbv gegen Bestim­mun­gen in der Face­book-Daten­richt­li­nie ab. Die Richt­li­nie ent­hal­te fast nur Hin­wei­se und Infor­ma­tio­nen zur Ver­fah­rens­wei­se des Unter­neh­mens und kei­ne ver­trag­li­chen Rege­lun­gen.

Soweit das Gericht die Kla­ge abge­wie­sen hat, wird der vzbv Beru­fung zum Kam­mer­ge­richt ein­le­gen.

Urteil des Land­ge­richts Ber­lin vom 16.01.2018, Az. 16 O 341/​15 – nicht rechts­kräf­tig