+49 228 2861 140 60 info@sicoda.de
Privacy Shield Nachfolger in Sicht

Privacy Shield Nachfolger in Sicht

Der Nachfolger der EU-US Privacy Shield Vereinbarung scheint in greifbare Nähe gerückt zu sein. In einer korrespondierenden Erklärung haben die EU-Kommission und die amerikanische Regierung in einem Trans-Atlantic Data Privacy Framework die Eckpunkte für einen internationalen Datenaustausch abgesteckt.

Historie:

Beide Partner haben schon in der Vergangenheit unter den Begriffen „Safe Harbor Agreement“ und „Privacy Shield“ versucht, eine Vereinbarung zu treffen, die für europäische Bürger einen fairen und rechtskonformen Umgang mit persönlichen Daten ermöglicht. Beide Vereinbarungen wurden vom EuGH als rechtswidrig bezeichnet und waren damit unwirksam.

Der EuGH hat als einen der wesentlichen Punkte an den Vereinbarungen kritisiert, dass der Zugriff von US-Sicherheitsbehörden auf personenbezogene Daten von europäischen Bürgern, vor allem auf der Grundlage des FISA Sec. 702, annähernd uneingeschränkt und ohne nennenswerten Rechtsweg möglich sei.

Zukünftig:

Der Zugriff soll nur noch in festen Grenzen möglich sein.

EU-Bürger sollen die Möglichkeit haben, bei einem „Data Protection Review Court“, einer Art Schlichtungsstelle, Beschwerden einzureichen, die dann neutral geprüft würden.

Die schon aus den beiden Versuchen vorher bekannten Zertifizierungsmechanismen für Unternehmen, die ihre eigenen internen Datenschutzgrundsätze dem europäischen Level anpassen müssen, wurden beibehalten.

Aktueller Stand

Aktuell befinden sich alle europäischen Unternehmen, die amerikanische Cloud-Anbieter nutzen, in einer rechtlichen Unsicherheit. Zunehmend prüfen und sanktionieren Aufsichtsbehörden den Einsatz solcher Dienste. Das Projekt Gaia X, das eine europäische, offene Alternative bieten will, bietet Unternehmen zurzeit noch nicht den Service der etablierten amerikanischen Angebote.

Umfassend beschreibt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Auswirkungen und notwendigen Maßnahmen: LINK

Beim Einsatz amerikanischer Cloudanbieter muss immer ein Transfer-Impact-Assessment durchgeführt werden, in dem die Risiken für die Betroffenen bewertet werden müssen.

Transfer Impact Assessment

Wir halten für die bekannten amerikanischen Cloud Anbieter wie Atlassian, Microsoft, AWS, Salesforce und co. fertige TIA vor, die nurnoch geringfügig an den konkreten Unternehmenseinsatz angepasst werden müssen.

Ausblick für die Wirtschaft

Die Ankündigung macht Hoffnung, dass im Datentransfer mit den USA und den noch konkurrenzlosen amerikanischen Cloud-Anbietern Rechtssicherheit eintritt.

Geschäftsführer*innen haften persönlich für Schäden aus Datenschutzverletzungen (OLG Dresden)

Geschäftsführer*innen haften persönlich für Schäden aus Datenschutzverletzungen (OLG Dresden)

Geschäftsführerhaftung

Geschäftsführer*Innen sind „Verantwortlicher“ im Sinne der DS-GVO und haften persönlich für Datenschutzverletzungen gegenüber den Geschädigten.

In einem unscheinbaren Urteil hat das OLG Dresden eher nebenbei eine für Geschäftsführer von Kapitalgesellschaften äußerst relevante und beunruhigende Entscheidung getroffen. In dem Urteil ging es um den Geschäftsführer eines Krankenhauses, der eine rechtswidrige Datenverarbeitung angewiesen hat. Der klagende Patient richtete die Klage sowohl gegen die Krankenhausgesellschaft (Beklagte zu 1)) als auch gegen die Geschäftsführung (Beklagte zu 2)).

Die Urteilsbegründung lautete wie folgt:

Sowohl der Beklagte zu 1) als auch der Beklagte zu 2) sind verantwortlich im Sinne von Art. 4 Nr. 7 DS-GVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet (Gola, Bearb. Gola, DS-GVO-Kommentar, 2. Aufl. 2018, Art. 4 Rz. 48; Ambrock ZD 2020, S. 429 – nach beck-online). Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.

OLG Dresden, Urteil vom 30.11.2021 - 4 U 1158/21 Abs. II Nr. 1

https://oj.is/2381765

Weisungsgebundene Angestellte

Weisungsgebundene Angestellte haften nach Klarstellung des Urteils in der Regel nicht für Datenschutzverletzungen aus Art. 82 DS-GVO.

Das OLG Dresden leitet die Haftung der Geschäftsführung daraus ab, dass diese über die Datenverarbeitung entescheiden kann. Bisher ist die juristische Literatur davon ausgegagen, dass Geschäftsführer im Rahmen ihrer Organschaft für Rechtsverletzungen gegenüber der Gesellschaft haften. Hier wird der Haftungsrahmen allerding so erweitert, dass der Geschäftsführer persönlich für Rechtsverletzungen von den Geschädigten in Anspruch genommen werden kann. Eine „Freizeichnung“ durch die Gesellschafter, den Vorstand oder den Aufsichtsrat ist damit zukünftig zumindest für den Anspruch auf Schadensersatz durch Geschädigte nicht mehr möglich.

Google Analytics verstößt (in Österreich) gegen die DS-GVO

Google Analytics verstößt (in Österreich) gegen die DS-GVO

Google Analytics verstößt gegen die DS-GVO

Wir möchten Sie über aktuelle Medienberichte (z.B. Heise) zur Nutzungsmöglichkeit von Google Analytics informieren:

Nach Ansicht der Datenschutzbehörde der Republik Österreich verstößt die Verwendung von Google Analytics gegen die DS-GVO.

Obwohl die österreichische Behörde die Verwendung von Google Analytics für unzulässig hält, hat sich dieser Auffassung bisher keine deutsche Behörde angeschlossen.

Selbst wenn sich diese Auffassung auch in Deutschland festigen sollte, wäre Google Analytics weiterhin mit einer rechtskonformen Einwilligung der Nutzer möglich.

Unsere Bewertung der Meldung:

Nach der aktuell veröffentlichten Entscheidung der Datenschutzbehörde der Republik Österreich verstößt die Nutzung von Google Analytics auf Webseiten gegen Art. 44 DS-GVO.

Die Entscheidung wird u. a. damit begründet, dass die durch Google Analytics verarbeiteten personenbezogenen Daten (z. Bsp. einzigartige Nutzer-Identifikations-Nummern, IP-Adresse und Browserparameter) in den USA verarbeitet werden und damit der Überwachung durch US-Geheimdienste unterliegen.

Die österreichische Behörde führt zur weiteren Begründung ihrer Entscheidung an, dass die  Überwachung durch US-Geheimdienste nicht durch vertragliche Regelungen zwischen einem Webseitenbetreiber und Google ausgeschlossen werden kann. Von daher wird das von Art. 44 DS-GVO geforderte Schutzniveau bei einer Verarbeitung außerhalb der EU nicht eingehalten, so dass eine Verarbeitung von personenbezogenen Daten durch Google Analytics gegen die DS-GVO verstoße.

Neben der Datenschutzbehörde der Republik Österreich wird auch eine Entscheidung durch die niederländische Behörde für persönliche Daten zu der Zulässigkeit der Verwendung von Google Analytics auf Webseiten bzw. Apps erwartet.

In Deutschland befasst sich gerade der bayerische Landesbeauftragte für den Datenschutz mit einer identischen Prüfung zur Vereinbarkeit der Nutzung von Google Analytics. Eine Entscheidung dazu liegt z. Zt. noch nicht vor.

Ohne eine Stellungnahme durch eine deutsche Behörde oder ein deutsches Gericht hat die österreichische Entscheidung keine Rechtswirkung für die Datenverarbeitung in Deutschland.

Nach den bisherigen Stellungnahmen der deutschen Aufsichtsbehörden zu einer Verarbeitung von personenbezogenen Daten außerhalb der EU und insbesondere in den USA, muss damit gerechnet werden, dass sich die deutschen Aufsichtsbehörden ebenfalls gegen die Zulässigkeit einer Verwendung von Google Analytics ohne Einwilligung der Nutzer, aussprechen werden.

Ausblick:  Sollte in Zukunft eine derartige Entscheidung in Deutschland erfolgen ist eine Nutzung von Google Analytics weiterhin mit der Einwilligung der Webseitenbesucher DS-GVO zulässig.  Sie müssten dann lediglich in der Datenschutzerklärung den Hinweis zu Google Analytics um einen Passus zur möglichen Verarbeitung dieser Daten in den USA durch Geheimdienste erweitern. Hierzu gibt es von den deutschen Aufsichtsbehörden keine verbindlichen Vorgaben oder Orientierungshilfen. Sollten Sie bereits jetzt Maßnahmen vorsorglich ergreifen wollen, können Sie uns natürlich jederzeit für Text- und Umsetzungsvorschläge kontaktieren.

Wir halten die Entwicklung aufmerksam im Auge und werden Sie bei deutschen Stellungnahmen oder Urteilen sofort informieren.

Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien

Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien

Die Änderung des TTDSG zum 01.12.2021 hat die Anpassung der Orientierungshilfe für Anbieter von Telemedien erforderlich gemacht. Die Orientierungshilfe ist unter folgendem Link abrufbar: https://datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf

Zusammenfassung

  • Das Einwilligungsbanner muss beim ersten Öffnen der App oder der Webseite angezeigt werden.
  • Es darf zu diesem Zeitpunkt noch kein Cookie geschrieben werden.
  • Der Nutzer muss über die geplante Datenverarbeitung informiert werden.
  • Die Zustimmung muss durch aktive Handlung (anklicken) erfolgen.
  • Es muss eine gleichwertige Möglichkeit zum Ablehnen der Cookies geben.
  • Die Einwilligung darf jederzeit widerrufen werden.

Empfehlung

Der Cookie Banner sollte umgehend geprüft und ggf. textlich und optisch angepasst werden.

Was sind die wesentlichen Punkte der Orientierungshilfe?

Anwendungsbereich TTDSG

Das Telekommunikations-Telemedien-Datenschutz-Gesetz ist für den Bereich der Telekommunikations- und Telemediendienste der Datenschutzgrundverordnung vorrangig (Art. 95 DS-GVO). Nur dann, wenn das TTDSG keine Regelung trifft, sind diese aus der DS-GVO heranzuziehen.

Adressat des TTDSG

Das TTDSG richtet sich an natürliche und juristische Personen, die eigene oder fremde Telemedien- und Telekommunikationsleistungen erbringen. Der Anwendungsbereich ist damit auf die Dienstleister, insbesondere die Auftragsverarbeiter, ausgeweitet worden.

Schutzbereich des TTDSG

Das TTDSG schützt die Privatsphäre und die Vertraulichkeit bei der Nutzung der Endeinrichtung (im Sinne von Art. 7 GRCh). Als Endeinrichtung werden nach der Legaldefinition des § 2 Abs. 2 Nr. 6 TTDSG alle Geräte angesehen, die eine Schnittstelle zu öffentlichen Kommunikationsnetzen aufweisen. Hierzu zählen neben dem bekannten Computer, dem Smartphone oder Tablet auch die intelligenten Geräte wie ans Internet angebundene Fernseher oder Radios, aber auch Heizungsthermostate, Überwachungskameras oder Connected Cars (Autos).

Das TTDSG schützt jeglichen speichernden oder lesenden Zugriff auf Informationen im Endgerät. Dies kann sogar dann schon der Fall sein, wenn der Gerätehersteller automatische Updates einspielen will.

Ausnahme: Wenn z.B. Browser-Header Informationen aufgrund der Einstellungen des Endgeräts an den Dienst übermittelt werden, liegt kein unter das TTDSG fallender „Zugriff“ auf das Endgerät vor. In der normalen Internetkommunikation senden Browser entsprechend des im W3C definierten Standards RFC 2616 Daten an den Webserver (Beispiels Log).

Es ist nicht erfoderlich, dass es sich bei diesen Daten um „personenbezogene Daten“ im Sinne des Art. 4 Abs. 1 DS-GVO handelt.

Die DSK weist noch einmal deutlich darauf hin, dass das TTDSG nur die Datenverarbeitung auf dem Endgerät regelt. Sollen personenbezogene Daten darüber hinaus auch analysiert werden, was in der Praxis sicherlich der Normalfall ist, unterliegt diese Datenverarbeitung der DS-GVO. Die Analyse der Daten ist nur dann zulässig, wenn sich die Einwilligung auf dem Endgerät auch auf die nachträgliche Auswertung bezieht. Dies ergibt sich laut DSK aus der in Art. 5 Abs. 2 DS-GVO verankerten Rechenschaftspflicht.

Datenverarbeitung ohne Einwilligung

Die Datenverarbeitung ohne Einwilligung ist nach § 25 Abs 2 TTDSG auf zwei Fälle beschränkt. Die Datenverarbeitung muss zwingend erforderlich sein für die Durchführung der Übertragung einer Nachricht oder zur Zurverfügungstellung eines Telemediendienstes. Die DSK geht bei der Auslegung so weit, dass ein Warenkorb Cookie nur dann zwingend erforderlich ist, wenn der Nutzer auch Waren in diesen Warenkorb gelegt hat. Der Umstand, dass auf der Seite ein Shop integriert ist, reicht noch nicht aus, um den Warenkorbcookie auszuspielen. Darüber hinaus stellt die DSK strenge Anforderungen an den Inhalt des Cookies. So sind nach dieser Auffassung eindeutige Identifier nur zulässig, wenn dies auch für die Funktion erforderlich sei. Spracheinstellung oder Bildschirmfarbe könnten auch ohne einen Identifier gespeichert werden.

Datenverarbeitung mit Einwilligung

Die DSK ist im TTDSG im Grundsatz der Einwilligungsbedürftigkeit formuliert. Das TTDSG stellt keine weiteren Anforderungen an die Einwilligung und verweist auf die DS-GVO. Wesentliche Kriterien der Einwilligung sieht die DSK in

  • Eindeutigkeit der bestätigenden Handlung
  • ausreichende Information bezogen auf den Einzelfall
  • im richtigen Zeitpunkt
  • freiwillig
  • mit Widerrufsmöglichkeit

Eindeutige, bestätigende Einwilligung

Vor dem ersten Zugriff auf das Endgerät muss die Einwilligung bereits erteilt sein. Die DSK stellt fest, dass ein „weitersurfen“, „runterscrollen“ oder vorbelegte Checkboxen keine bestätigende Einwilligung ist und verweist richtiger Weise auf das Plante 49 Urteil des BGH. Untätigbleiben und Stillschweigen sind im Anwendungsbereich der DS-GVO keine wirksamen Erklärungen.

Das Anklicken einer „designierten“ Schaltfläche in einem Banner reicht indes aber aus.

Informationen bei der Einwilligung

Die Einwilligung muss für den Nutzer die Information zur Datenverarbeitung für jeden Einzelfall klar verständlich bereithalten. Hierbei muss insbesondere darauf geachtet werden, dass die Einwilligung zur Datenspeicherung und zum Zugriff nach TTDSG noch nicht die Einwilligung für die nachgelagerte Verarbeitung nach DS-GVO abdecken. So ist eine Formulierung „Wir setzen auf dieser Webseite Cookies ein.“ nicht ausreichend. Es muss vielmehr auch auf die nachgelagerte Verarbeitung der so gewonnenen Daten hingewiesen werden.

Es ist zwar möglich, die Einwilligungserklärung mehrschichtig zu gestalten, aber es muss zum Zeitpunkt der Einwilligungserklärung sichergestellt sein, dass der Nutzer alle relevanten Informationen hatte. Wenn also im Cookie Banner ein „alles akzeptieren“ Button bereitsteht, müssen auch die notwendigen Informationen zur Datenverarbeitung bereits im Cookiebanner enthalten sein. Dies wird in der Praxis schon aus Platzgründen schwierig werden.

Freiwilligkeit der Einwilligung

Die DSK diskutiert die Frage der Freiwilligkeit und deren Einwilligung sehr umfassend und kommt zu der aus unserer Sicht streitbaren Meinung, dass Webseitenbetreiber ihre Angebote auch dann anbieten müssen, wenn der Nutzer dem Targeting nicht zustimmt. Cookiewalls, die ohne Zustimmung zu den Cookies den Inhalt unzugänglich machen, sind laut DSK unzulässig, da sie gegen den Grundsatz der Freiwilligkeit verstoßen. Wir sehen hier einen erheblichen Eingriff in die Privatautonomie der Webseitenbetreiber, der so auch nicht ohne weiteres zu rechtfertigen ist.

Ablehnen Button

Die DSK fordert, dass ein Ablehnen Button auf gleicher Ebene zu finden sein muss wie der Akzeptieren Button. Sollte der Ablehnen Button auf einer tieferen Ebene liegen als der „alles akzeptieren“ Button, liege hierin ein Verstoß gegen die Freiwilligkeit, da der Nutzer vom Webseitenbetreiber davon abgehalten werde, diese Option zu wählen. Es gebe für dieses Vorgehen keinen sachlichen Grund und daher sei darin ein Verstoß gegen Treu und Glauben gemäß Art. 5 Abs. 1 a DS-GVO zu sehen.

Weitere Quellen

https://www.golem.de/news/orientierungshilfe-zu-ttdsg-nutzer-muessen-cookies-direkt-ablehnen-koennen-2112-161966.html?utm_source=nl.2021-12-22.html&utm_medium=e-mail&utm_campaign=golem.de-newsletter

Die Landesbeauftragte für den Datenschutz Niedersachsen mit Zusammenfassung

Rechtliche Anforderungen an Hinweisgebersysteme

Rechtliche Anforderungen an Hinweisgebersysteme

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

PGlmcmFtZSB0aXRsZT0iUmVjaHRzbGljaGUgQW5mb3JkZXJ1bmdlbiBhbiBIaW53ZWlzZ2ViZXJzeXN0ZW1lIiB3aWR0aD0iMTA4MCIgaGVpZ2h0PSI2MDgiIHNyYz0iaHR0cHM6Ly93d3cueW91dHViZS1ub2Nvb2tpZS5jb20vZW1iZWQvekx6cDR4SlgwM0E/ZmVhdHVyZT1vZW1iZWQiICBhbGxvdz0iYWNjZWxlcm9tZXRlcjsgYXV0b3BsYXk7IGNsaXBib2FyZC13cml0ZTsgZW5jcnlwdGVkLW1lZGlhOyBneXJvc2NvcGU7IHBpY3R1cmUtaW4tcGljdHVyZSIgYWxsb3dmdWxsc2NyZWVuPjwvaWZyYW1lPg==