+49 228 2861 140 60 info@sicoda.de
Gesundheitsdaten im Gerichtsprozess

Gesundheitsdaten im Gerichtsprozess

Das Verwaltungsgericht Wiesbaden hat entschieden, dass Gesundheitsdaten von einem Rechtsanwalt im Gerichtsprozess verwendet werden dürfen.

Die Zulässigkeit der Verarbeitung von Gesundheitsdaten im Rahmen des rechtsanwaltlichen Vortrags im Gerichtsprozess ist nach Art. 6 Abs. 1 lit. f) DS-GVO i.V.m. Art. 9 DS-GVO zu beurteilen.

Dabei ist für den Inhalt der Schriftsätze im Hinblick auf Haftung und Gestaltung der jeweilige Rechtsanwalt als verantwortliche Stelle im Sinne des Art. 4 Abs. 7 DS-GVO anzusehen. Das berechtigte Interesse an der Verarbeitung besteht für den jeweiligen Rechtsanwalt darin, die vertraglichen Verpflichtungen gegenüber seinem Mandanten zu erfüllen. Um seine rechtsanwaltlichen Aufgaben erfüllen zu können, muss es ihm grundsätzlich gestattet sein, vorzutragen, was sein Mandant ihm mitteilt. Um sich nicht selbst der Anwaltshaftung auszusetzen, ist er entsprechend § 138 Abs. 3 ZPO gehalten, den gegnerischen Vortrag zu bestreiten und den Sachverhalt aus Sicht seines Mandaten darzustellen.

Ist zur Durchsetzbarkeit eines rechtlichen Anspruchs die Verarbeitung von Gesundheitsdaten erforderlich, so dürfen diese im Prozess verwendet werden. Gleiches gilt im Umkehrschluss auch für die Abwendung von Rechtsansprüchen.

Quasi beiläufig hat das Gericht damit noch einmal festgehalten, dass Anwälte für ihre Prozessakten eigene verantwortliche Stelle sind. Die Prozessführung des Anwalts ist keine Auftragsverarbeitung.

Links:

VG Wiesbaden, Urteil vom 19. Januar 2022 – 6 K 361/21.WI – https://www.rv.hessenrecht.hessen.de/bshe/document/LARE220002410

Google Analytics verstößt (in Österreich) gegen die DS-GVO

Google Analytics verstößt (in Österreich) gegen die DS-GVO

Google Analytics verstößt gegen die DS-GVO

Wir möchten Sie über aktuelle Medienberichte (z.B. Heise) zur Nutzungsmöglichkeit von Google Analytics informieren:

Nach Ansicht der Datenschutzbehörde der Republik Österreich verstößt die Verwendung von Google Analytics gegen die DS-GVO.

Obwohl die österreichische Behörde die Verwendung von Google Analytics für unzulässig hält, hat sich dieser Auffassung bisher keine deutsche Behörde angeschlossen.

Selbst wenn sich diese Auffassung auch in Deutschland festigen sollte, wäre Google Analytics weiterhin mit einer rechtskonformen Einwilligung der Nutzer möglich.

Unsere Bewertung der Meldung:

Nach der aktuell veröffentlichten Entscheidung der Datenschutzbehörde der Republik Österreich verstößt die Nutzung von Google Analytics auf Webseiten gegen Art. 44 DS-GVO.

Die Entscheidung wird u. a. damit begründet, dass die durch Google Analytics verarbeiteten personenbezogenen Daten (z. Bsp. einzigartige Nutzer-Identifikations-Nummern, IP-Adresse und Browserparameter) in den USA verarbeitet werden und damit der Überwachung durch US-Geheimdienste unterliegen.

Die österreichische Behörde führt zur weiteren Begründung ihrer Entscheidung an, dass die  Überwachung durch US-Geheimdienste nicht durch vertragliche Regelungen zwischen einem Webseitenbetreiber und Google ausgeschlossen werden kann. Von daher wird das von Art. 44 DS-GVO geforderte Schutzniveau bei einer Verarbeitung außerhalb der EU nicht eingehalten, so dass eine Verarbeitung von personenbezogenen Daten durch Google Analytics gegen die DS-GVO verstoße.

Neben der Datenschutzbehörde der Republik Österreich wird auch eine Entscheidung durch die niederländische Behörde für persönliche Daten zu der Zulässigkeit der Verwendung von Google Analytics auf Webseiten bzw. Apps erwartet.

In Deutschland befasst sich gerade der bayerische Landesbeauftragte für den Datenschutz mit einer identischen Prüfung zur Vereinbarkeit der Nutzung von Google Analytics. Eine Entscheidung dazu liegt z. Zt. noch nicht vor.

Ohne eine Stellungnahme durch eine deutsche Behörde oder ein deutsches Gericht hat die österreichische Entscheidung keine Rechtswirkung für die Datenverarbeitung in Deutschland.

Nach den bisherigen Stellungnahmen der deutschen Aufsichtsbehörden zu einer Verarbeitung von personenbezogenen Daten außerhalb der EU und insbesondere in den USA, muss damit gerechnet werden, dass sich die deutschen Aufsichtsbehörden ebenfalls gegen die Zulässigkeit einer Verwendung von Google Analytics ohne Einwilligung der Nutzer, aussprechen werden.

Ausblick:  Sollte in Zukunft eine derartige Entscheidung in Deutschland erfolgen ist eine Nutzung von Google Analytics weiterhin mit der Einwilligung der Webseitenbesucher DS-GVO zulässig.  Sie müssten dann lediglich in der Datenschutzerklärung den Hinweis zu Google Analytics um einen Passus zur möglichen Verarbeitung dieser Daten in den USA durch Geheimdienste erweitern. Hierzu gibt es von den deutschen Aufsichtsbehörden keine verbindlichen Vorgaben oder Orientierungshilfen. Sollten Sie bereits jetzt Maßnahmen vorsorglich ergreifen wollen, können Sie uns natürlich jederzeit für Text- und Umsetzungsvorschläge kontaktieren.

Wir halten die Entwicklung aufmerksam im Auge und werden Sie bei deutschen Stellungnahmen oder Urteilen sofort informieren.

TTDSG tritt in Kraft

TTDSG tritt in Kraft

Mit Wirkung zum 01.12.2021 wird das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft treten.

Grundsätzlich setzt der Gesetzgeber mit dem TTDSG eine seit vielen Jahren unerledigte Anpassung der EU-ePrivacy-Richtlinie 2009/136 in deutsches Recht um.

Mit dem TTDSG werden auch die Datenschutzbestimmungen des Telekommunikationsgesetz (TKG) und des Telemediengesetz (TMG) zusammengefasst.

Welche Auswirkungen hat das TTDSG für Ihr Unternehmen?

Das TTDSG enthält eine Vielzahl von Regelungen für Anbieter von Telemedien (Webseiten und Apps). Für Ihr Unternehmen ist datenschutzrechtlich jedoch allein § 25 TTDSG relevant.

§ 25 TTDSG hat unmittelbare Auswirkungen auf Ihre Webseite.

Im Rahmen des Betriebs Ihrer Webseite müssen Sie weiterhin, wie auch nach dem im letzten Jahr durch den Bundesgerichtshof entschiedenen Planet49-Urteil (AZ: I ZR 7/16 vom 28.05.2020), jegliche Verarbeitung von Webseitenbesucherdaten von einer ausdrücklichen, freiwilligen und informierten Einwilligung des jeweiligen Webseitenbesuchers (Nutzers) abhängig machen.

Eine Analyse der Daten Ihrer Webseitenbesucher oder eine Übermittlung dieser Daten an Dritte (Google Analytics, Youtube, Google Maps, usw.) ohne Einwilligung des jeweiligen Webseitenbesuchers ist auch nach § 25 TTDSG weiterhin rechtswidrig. Neben der einwilligungsgebundenen Analyse der Nutzungsdaten Ihrer Webseitenbesucher bestimmt § 25 TTDSG auch, dass ein Zugriff auf das Endgerät eines Nutzers unter dem Vorbehalt der Einwilligung des jeweiligen Nutzers steht. Nutzungsanalysen, die z. Bsp. auf das Endgerät eines Nutzers (z. Bsp. mit einem Java-Skript) zugreifen, stehen damit ebenfalls unter dem Vorbehalt einer wirksamen Einwilligung des jeweiligen Nutzers.

Handlungsempfehlung zu BGH Cookie Einwilligung II

Handlungsempfehlung zu BGH Cookie Einwilligung II

Der BGH hat die Pflichten bei der Cookie Nutzung dahingehend konkretisiert, dass im Ergebnis für alle Cookies, die nicht technisch für die Webseite erforderlich sind, vorher eine Zustimmung vorliegen muss. 

Im Einzelnen: 

  1. Für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung ist die Einwilligung des Nutzers erforderlich.
  2. Ein voreingestelltes Ankreuzkästchen ist keine wirksame Einwilligung im Sinne des geltenden Rechts.
  3. Im Zusammenhang mit der Einwilligung muss über die konkreten Umstände der Datenverarbeitung aufgeklärt werden. 

Die Entscheidung führt dazu, dass Webseitenbetreiber nun aktiv die Zustimmung ihrer Nutzer bei dem Einsatz von Cookies bei der Erstellung von Nutzerprofilen einholen müssen. Die aktive Zustimmung ist sowohl für eigene als auch für fremde Cookies erforderlich. 

Die bisher herrschende Praxis des Informationsbanners mit Texten wie „Unsere Webseite verwendet Cookies. [Schließen]“ , der aber keine Auswirkung auf das Setzen und Lesen des Cookies hatte oder die Erklärung „Mit Nutzung unserer Weite stimmen Sie der Verwendung von Cookies zu [Verstanden]“ kann nach diesem Urteil nicht mehr fortgeführt werden. Zukünftig dürfen Cookies erst geschrieben werden, wenn der Nutzer der Verwendung aktiv zugestimmt hat. 

Die Einwilligungserklärung muss die Datenverarbeitung für jeden Cookie genau beschreiben. Die Beschreibung muss auch auf die Dauer der Datenverarbeitung eingehen und alle Empfänger der Daten enthalten. Dies kann in der Praxis häufig mit einem Verweis auf die Datenschutzerklärung erreicht werden, die diese Informationen schon enthalten muss. 

Die Betroffenenrechte aus dem 3. Kapitel der DS-GVO insbesondere auf Auskunft, Löschung und Widerspruch bleiben natürlich weiterhin bestehen.

Für Interessierte haben wir das Urteil genauer unter die Lupe genommen: 

https://www.webkommentar.com/wp-content/uploads/2020/05/Pressemeldung-BGH-Planet-49-SICODA-Bewertung.pdf

BGH Urteil zur Cookie Einwilligung II

BGH Urteil zur Cookie Einwilligung II

Pressemitteilung des BGH zum Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II


  1. Für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung ist die Einwilligung des Nutzers erforderlich.
  2. Ein voreingestelltes Ankreuzkästchen ist keine rechtswirksame Einwilligung.
  3. Eine fehlende wirksame Cookie-Einwilligung wird einem Cookie-Widerspruch gleichgestellt.

Pressemeldung im Einzelnen:

Der Bundesgerichtshof (BGH) hat nun das lange erwartete Urteil  im Fall Cookie-Einwilligung II verkündet. Im Verlauf des Verfahrens hat der BGH verschiedene Fragen dem Europäischen Gerichtshof (EuGH) C‑673/17 vorgelegt, dessen Antworten als Grundlage für die vorliegende Entscheidung dienten.  

Zurzeit liegt nur die Pressemeldung zum Urteil, eine siebenseitige Zusammenfassung des Urteils, vor. Der BGH hatte in einem Fall zu entscheiden, der sich im Jahr 2013 ereignete und damit noch nicht in den Anwendungsbereich der EU- Datenschutzgrund–verordnung (DS-GVO) fällt. In seinem jetzigen Urteil geht der BGH aber auf die Rechtslage nach dem Inkrafttreten der  DS-GVO am 25. Mai 2018 ebenfalls ein.

Gegenstand des Verfahrens war ein Gewinnspiel der Planet 49 GmbH aus dem Jahr 2013, das im Rahmen der Anmeldung mit einem vorbelegten Ankreuzhäkchen die Zustimmung der Teilnehmer zu einer Datenerhebung und Nutzung der Online-Nutzungsdaten für Partner und Sponsoren des Gewinnspiels einholen wollte. 

Ohne den endgültigen Urteilstenor vorliegen zu haben ergeben sich bereits aus  der  Pressemeldung gravierende Einschränkungen beim zukünftigen Umgang mit Cookies.  

Der BGH sieht in Daten und Nutzungsprofilen, die durch Cookies auf der Basis von Zufallszahlen erhoben und kombiniert werden, ein pseudonymes Datum, das den Datenschutzregeln unterliegt. Diese Feststellung deckt sich mit dem Erwägungsgrund 30 der DS-GVO.

Bisher ist vor allem der deutsche Online Markt davon ausgegangen, dass ein Nutzungsverhalten, das auf Basis solcher pseudonymen Cookies erhoben und analysiert wurde, unter dem Widerrufsvorbehalt, dem sogenannten Opt-Out, möglich sei. Als Rechtsgrundlage gemäß der DS-GVO wurde das berechtigte Interesse des Online Anbieters z.B. an einer Analyse des Nutzungsverhaltens im Hinblick auf seine Angebote oder die bedarfsgerechte Gestaltung des Onlineangebots herangezogen.

Der BGH stellt nun fest, dass ohne die aktive Zustimmung des Nutzers von einem grundsätzlichen Widerspruch ausgegangen werden muss. Diese Auslegung führt im Ergebnis dazu, dass damit grundsätzlich eine Zustimmungspflicht für das Erstellen von cookiebasierten Nutzungsprofilen besteht. 

In der Pressemeldung wird zudem ausdrücklich ausgeführt, dass eine wirksame Einwilligung nur dann vorliegt, wenn der Nutzer aktiv und in Kenntnis der Sachlage einer Datenverarbeitung zustimmt. Bereits der EuGH hatte in seinem Urteil festgestellt, dass die klaren und umfassenden Informationen im Rahmen der Einwilligung bedeuten, dass auch Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zählen. 

Aus unserer Sicht unerwartet ist, dass der BGH sehr grundsätzlich für alle Cookies zur Nutzerprofilierung die Zustimmung fordert und beim Nutzungszweck oder der Frage der für die Cookies verantwortlichen Stelle nicht differenziert. First und Third Partyszenarien werden gleichwertig unter die Einwilligungspflicht gefasst. 

Handlungsempfehlung

Unternehmen sollten nun umgehend alle Cookies, die nicht für den technischen Betrieb der Webseite erforderlich sind, nur noch nach aktiver Zustimmung des Nutzers zu einsetzen. Die Funktionsweise, die Zwecke und die Speicherdauer der Cookies sollten in der Datenschutzerklärung genau beschrieben werden. 

Autor: Rechtsanwalt Oliver Gönner

Einwilligung im Datenschutz

Einwilligung im Datenschutz

Es gibt immer wieder Projekte, in denen andere Rechtsgrundlagen nicht einschlägig sind und der Betroffene eine Einwilligung abgeben muss. Die Datenschutzaufsichtsbehörden haben nun die Anforderungen an solche Einwilligungserklärungen formuliert:

 

Weiterführende Links zur Einwilligung

Bayerisches Landesamt für Datenschutzaufsicht:

Gestaltungshinweise zur datenschutzrechtlichen Einwilligungserklärung in Formularen

Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen

BGH