+49 228 2861 140 60 info@sicoda.de
Gesundheitsdaten im Gerichtsprozess

Gesundheitsdaten im Gerichtsprozess

Das Verwaltungsgericht Wiesbaden hat entschieden, dass Gesundheitsdaten von einem Rechtsanwalt im Gerichtsprozess verwendet werden dürfen.

Die Zulässigkeit der Verarbeitung von Gesundheitsdaten im Rahmen des rechtsanwaltlichen Vortrags im Gerichtsprozess ist nach Art. 6 Abs. 1 lit. f) DS-GVO i.V.m. Art. 9 DS-GVO zu beurteilen.

Dabei ist für den Inhalt der Schriftsätze im Hinblick auf Haftung und Gestaltung der jeweilige Rechtsanwalt als verantwortliche Stelle im Sinne des Art. 4 Abs. 7 DS-GVO anzusehen. Das berechtigte Interesse an der Verarbeitung besteht für den jeweiligen Rechtsanwalt darin, die vertraglichen Verpflichtungen gegenüber seinem Mandanten zu erfüllen. Um seine rechtsanwaltlichen Aufgaben erfüllen zu können, muss es ihm grundsätzlich gestattet sein, vorzutragen, was sein Mandant ihm mitteilt. Um sich nicht selbst der Anwaltshaftung auszusetzen, ist er entsprechend § 138 Abs. 3 ZPO gehalten, den gegnerischen Vortrag zu bestreiten und den Sachverhalt aus Sicht seines Mandaten darzustellen.

Ist zur Durchsetzbarkeit eines rechtlichen Anspruchs die Verarbeitung von Gesundheitsdaten erforderlich, so dürfen diese im Prozess verwendet werden. Gleiches gilt im Umkehrschluss auch für die Abwendung von Rechtsansprüchen.

Quasi beiläufig hat das Gericht damit noch einmal festgehalten, dass Anwälte für ihre Prozessakten eigene verantwortliche Stelle sind. Die Prozessführung des Anwalts ist keine Auftragsverarbeitung.

Links:

VG Wiesbaden, Urteil vom 19. Januar 2022 – 6 K 361/21.WI – https://www.rv.hessenrecht.hessen.de/bshe/document/LARE220002410

EuGH: Speicherung von IP-Adressen

EuGH: Speicherung von IP-Adressen

Die Speicherung von IP-Adressen stellt einen schweren Eingriff in die Grundrechte der Nutzer dar. Internetnutzer dürfen immer erwarten, dass der Schutz ihrer Identität gewahrt und grundsätzlich nicht preisgegeben wird.

Für Unternehmen bedeutet dieses Urteil, dass die Speicherung der vollständigen IP-Adresse in Serverlogs unzulässig ist. Ein berechtigtes Interesse an der Speicherung dieser Daten wird man nach diesem Urteil nicht mehr annehmen können.

Die allgemeine Vorratsdatenspeicherung ist in Europa bereits seit Jahren umstritten. Der Europäische Gerichtshof (EUGH) hat die bisherige Rechtsprechung in Bezug auf Vorratsspeicherung mit dem Urteil von 5. April 2022 (Rechtssache C-140/20) bestätigt.

Der Irische Supreme Court hat im Zuge der Vorabentscheidung das EuGH um Auslegung der (Cookie Richtlinie) gebeten. Das irische Urteil betrifft die, im Fall des wegen Mordes verurteilten Graham Dwyer, angewandten Praktiken zur Abfrage der, im Rahmen der Vorratsspeicherung erhobenen, mobilen Daten des Verdächtigen.

Zum Schutz der nationalen Sicherheit, insbesondere vor terroristischen Aktivitäten, dürfen Verkehrs- und Standortdaten allgemein und unterschiedslos auf Vorrat gespeichert werden. Verkehrsdaten sind alle Informationen, die  bei der Nutzung eines Telekommunikationsdienstes gespeichert werden, wie z.B. die Dauer, der Zeitpunkt oder die Datenmenge einer Nachricht.

Unzulässig sind nationale Rechtsvorschriften, die eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten für die Bekämpfung schwerer Kriminalität und zur Verhütung ernster Bedrohungen der öffentlichen Sicherheit vorsehen.

IP-Adressen, die der Quelle einer Verbindung zugewiesen sind, können für einen, auf das absolut Notwendige begrenzten, Zeitraum auf eine allgemeine und unterschiedslose Weise gespeichert werden. Die allgemeine Speicherung von IP-Adressen stellt einen schweren Eingriff in die Grundrechte dar. Internetnutzer dürfen nach Art. 8 der Charta erwarten, dass der Schutz ihrer personenbezogenen Daten gewährleistet und ihre Identität grundsätzlich nicht preisgegeben wird. Jedoch ist die IP-Adresse häufig der einzige Anhaltspunkt im Fall einer im Internet begangenen Straftat,  der es ermöglicht, die Identität der Person zu ermitteln, insbesondere in Bezug auf Kinderpornografie. Daher ist die allgemeine und unterschiedslose Vorratsspeicherung der IP-Adressen nur erlaubt, sofern sie von der strikten Einhaltung der materiellen und prozeduralen Voraussetzungen abhängig gemacht wird.

Eine allgemeine Vorratsspeicherung der Daten, welche die Identität der Nutzer elektronischer Kommunikationsmittel betrifft, ist ebenfalls erlaubt.

Betreiber elektronischer Kommunikationsdienste können mittels einer Entscheidung der zuständigen Behörde, die einer wirksamen gerichtlichen Kontrolle unterliegt, verpflichtet werden, während eines festgelegten Zeitraums Verkehrs- und Standortdaten umgehend zu sichern (quick freeze).

Was dies für die Zulässigkeit von Beweismitteln, die im Rahmen des Strafverfahrens gegen Graham Dwyer geltend gemacht werden, bedeutet, obliegt dem irischen Gerichtshof, da dies im Einklang mit dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten, Gegenstand des irischen Rechts bleibt.

 

 

Privacy Shield Nachfolger in Sicht

Privacy Shield Nachfolger in Sicht

Der Nachfolger der EU-US Privacy Shield Vereinbarung scheint in greifbare Nähe gerückt zu sein. In einer korrespondierenden Erklärung haben die EU-Kommission und die amerikanische Regierung in einem Trans-Atlantic Data Privacy Framework die Eckpunkte für einen internationalen Datenaustausch abgesteckt.

Historie:

Beide Partner haben schon in der Vergangenheit unter den Begriffen „Safe Harbor Agreement“ und „Privacy Shield“ versucht, eine Vereinbarung zu treffen, die für europäische Bürger einen fairen und rechtskonformen Umgang mit persönlichen Daten ermöglicht. Beide Vereinbarungen wurden vom EuGH als rechtswidrig bezeichnet und waren damit unwirksam.

Der EuGH hat als einen der wesentlichen Punkte an den Vereinbarungen kritisiert, dass der Zugriff von US-Sicherheitsbehörden auf personenbezogene Daten von europäischen Bürgern, vor allem auf der Grundlage des FISA Sec. 702, annähernd uneingeschränkt und ohne nennenswerten Rechtsweg möglich sei.

Zukünftig:

Der Zugriff soll nur noch in festen Grenzen möglich sein.

EU-Bürger sollen die Möglichkeit haben, bei einem „Data Protection Review Court“, einer Art Schlichtungsstelle, Beschwerden einzureichen, die dann neutral geprüft würden.

Die schon aus den beiden Versuchen vorher bekannten Zertifizierungsmechanismen für Unternehmen, die ihre eigenen internen Datenschutzgrundsätze dem europäischen Level anpassen müssen, wurden beibehalten.

Aktueller Stand

Aktuell befinden sich alle europäischen Unternehmen, die amerikanische Cloud-Anbieter nutzen, in einer rechtlichen Unsicherheit. Zunehmend prüfen und sanktionieren Aufsichtsbehörden den Einsatz solcher Dienste. Das Projekt Gaia X, das eine europäische, offene Alternative bieten will, bietet Unternehmen zurzeit noch nicht den Service der etablierten amerikanischen Angebote.

Umfassend beschreibt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Auswirkungen und notwendigen Maßnahmen: LINK

Beim Einsatz amerikanischer Cloudanbieter muss immer ein Transfer-Impact-Assessment durchgeführt werden, in dem die Risiken für die Betroffenen bewertet werden müssen.

Transfer Impact Assessment

Wir halten für die bekannten amerikanischen Cloud Anbieter wie Atlassian, Microsoft, AWS, Salesforce und co. fertige TIA vor, die nurnoch geringfügig an den konkreten Unternehmenseinsatz angepasst werden müssen.

Ausblick für die Wirtschaft

Die Ankündigung macht Hoffnung, dass im Datentransfer mit den USA und den noch konkurrenzlosen amerikanischen Cloud-Anbietern Rechtssicherheit eintritt.

Geschäftsführer*innen haften persönlich für Schäden aus Datenschutzverletzungen (OLG Dresden)

Geschäftsführer*innen haften persönlich für Schäden aus Datenschutzverletzungen (OLG Dresden)

Geschäftsführerhaftung

Geschäftsführer*Innen sind „Verantwortlicher“ im Sinne der DS-GVO und haften persönlich für Datenschutzverletzungen gegenüber den Geschädigten.

In einem unscheinbaren Urteil hat das OLG Dresden eher nebenbei eine für Geschäftsführer von Kapitalgesellschaften äußerst relevante und beunruhigende Entscheidung getroffen. In dem Urteil ging es um den Geschäftsführer eines Krankenhauses, der eine rechtswidrige Datenverarbeitung angewiesen hat. Der klagende Patient richtete die Klage sowohl gegen die Krankenhausgesellschaft (Beklagte zu 1)) als auch gegen die Geschäftsführung (Beklagte zu 2)).

Die Urteilsbegründung lautete wie folgt:

Sowohl der Beklagte zu 1) als auch der Beklagte zu 2) sind verantwortlich im Sinne von Art. 4 Nr. 7 DS-GVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet (Gola, Bearb. Gola, DS-GVO-Kommentar, 2. Aufl. 2018, Art. 4 Rz. 48; Ambrock ZD 2020, S. 429 – nach beck-online). Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.

OLG Dresden, Urteil vom 30.11.2021 - 4 U 1158/21 Abs. II Nr. 1

https://oj.is/2381765

Weisungsgebundene Angestellte

Weisungsgebundene Angestellte haften nach Klarstellung des Urteils in der Regel nicht für Datenschutzverletzungen aus Art. 82 DS-GVO.

Das OLG Dresden leitet die Haftung der Geschäftsführung daraus ab, dass diese über die Datenverarbeitung entescheiden kann. Bisher ist die juristische Literatur davon ausgegagen, dass Geschäftsführer im Rahmen ihrer Organschaft für Rechtsverletzungen gegenüber der Gesellschaft haften. Hier wird der Haftungsrahmen allerding so erweitert, dass der Geschäftsführer persönlich für Rechtsverletzungen von den Geschädigten in Anspruch genommen werden kann. Eine „Freizeichnung“ durch die Gesellschafter, den Vorstand oder den Aufsichtsrat ist damit zukünftig zumindest für den Anspruch auf Schadensersatz durch Geschädigte nicht mehr möglich.

Google Analytics verstößt (in Österreich) gegen die DS-GVO

Google Analytics verstößt (in Österreich) gegen die DS-GVO

Google Analytics verstößt gegen die DS-GVO

Wir möchten Sie über aktuelle Medienberichte (z.B. Heise) zur Nutzungsmöglichkeit von Google Analytics informieren:

Nach Ansicht der Datenschutzbehörde der Republik Österreich verstößt die Verwendung von Google Analytics gegen die DS-GVO.

Obwohl die österreichische Behörde die Verwendung von Google Analytics für unzulässig hält, hat sich dieser Auffassung bisher keine deutsche Behörde angeschlossen.

Selbst wenn sich diese Auffassung auch in Deutschland festigen sollte, wäre Google Analytics weiterhin mit einer rechtskonformen Einwilligung der Nutzer möglich.

Unsere Bewertung der Meldung:

Nach der aktuell veröffentlichten Entscheidung der Datenschutzbehörde der Republik Österreich verstößt die Nutzung von Google Analytics auf Webseiten gegen Art. 44 DS-GVO.

Die Entscheidung wird u. a. damit begründet, dass die durch Google Analytics verarbeiteten personenbezogenen Daten (z. Bsp. einzigartige Nutzer-Identifikations-Nummern, IP-Adresse und Browserparameter) in den USA verarbeitet werden und damit der Überwachung durch US-Geheimdienste unterliegen.

Die österreichische Behörde führt zur weiteren Begründung ihrer Entscheidung an, dass die  Überwachung durch US-Geheimdienste nicht durch vertragliche Regelungen zwischen einem Webseitenbetreiber und Google ausgeschlossen werden kann. Von daher wird das von Art. 44 DS-GVO geforderte Schutzniveau bei einer Verarbeitung außerhalb der EU nicht eingehalten, so dass eine Verarbeitung von personenbezogenen Daten durch Google Analytics gegen die DS-GVO verstoße.

Neben der Datenschutzbehörde der Republik Österreich wird auch eine Entscheidung durch die niederländische Behörde für persönliche Daten zu der Zulässigkeit der Verwendung von Google Analytics auf Webseiten bzw. Apps erwartet.

In Deutschland befasst sich gerade der bayerische Landesbeauftragte für den Datenschutz mit einer identischen Prüfung zur Vereinbarkeit der Nutzung von Google Analytics. Eine Entscheidung dazu liegt z. Zt. noch nicht vor.

Ohne eine Stellungnahme durch eine deutsche Behörde oder ein deutsches Gericht hat die österreichische Entscheidung keine Rechtswirkung für die Datenverarbeitung in Deutschland.

Nach den bisherigen Stellungnahmen der deutschen Aufsichtsbehörden zu einer Verarbeitung von personenbezogenen Daten außerhalb der EU und insbesondere in den USA, muss damit gerechnet werden, dass sich die deutschen Aufsichtsbehörden ebenfalls gegen die Zulässigkeit einer Verwendung von Google Analytics ohne Einwilligung der Nutzer, aussprechen werden.

Ausblick:  Sollte in Zukunft eine derartige Entscheidung in Deutschland erfolgen ist eine Nutzung von Google Analytics weiterhin mit der Einwilligung der Webseitenbesucher DS-GVO zulässig.  Sie müssten dann lediglich in der Datenschutzerklärung den Hinweis zu Google Analytics um einen Passus zur möglichen Verarbeitung dieser Daten in den USA durch Geheimdienste erweitern. Hierzu gibt es von den deutschen Aufsichtsbehörden keine verbindlichen Vorgaben oder Orientierungshilfen. Sollten Sie bereits jetzt Maßnahmen vorsorglich ergreifen wollen, können Sie uns natürlich jederzeit für Text- und Umsetzungsvorschläge kontaktieren.

Wir halten die Entwicklung aufmerksam im Auge und werden Sie bei deutschen Stellungnahmen oder Urteilen sofort informieren.

Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien

Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien

Die Änderung des TTDSG zum 01.12.2021 hat die Anpassung der Orientierungshilfe für Anbieter von Telemedien erforderlich gemacht. Die Orientierungshilfe ist unter folgendem Link abrufbar: https://datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf

Zusammenfassung

  • Das Einwilligungsbanner muss beim ersten Öffnen der App oder der Webseite angezeigt werden.
  • Es darf zu diesem Zeitpunkt noch kein Cookie geschrieben werden.
  • Der Nutzer muss über die geplante Datenverarbeitung informiert werden.
  • Die Zustimmung muss durch aktive Handlung (anklicken) erfolgen.
  • Es muss eine gleichwertige Möglichkeit zum Ablehnen der Cookies geben.
  • Die Einwilligung darf jederzeit widerrufen werden.

Empfehlung

Der Cookie Banner sollte umgehend geprüft und ggf. textlich und optisch angepasst werden.

Was sind die wesentlichen Punkte der Orientierungshilfe?

Anwendungsbereich TTDSG

Das Telekommunikations-Telemedien-Datenschutz-Gesetz ist für den Bereich der Telekommunikations- und Telemediendienste der Datenschutzgrundverordnung vorrangig (Art. 95 DS-GVO). Nur dann, wenn das TTDSG keine Regelung trifft, sind diese aus der DS-GVO heranzuziehen.

Adressat des TTDSG

Das TTDSG richtet sich an natürliche und juristische Personen, die eigene oder fremde Telemedien- und Telekommunikationsleistungen erbringen. Der Anwendungsbereich ist damit auf die Dienstleister, insbesondere die Auftragsverarbeiter, ausgeweitet worden.

Schutzbereich des TTDSG

Das TTDSG schützt die Privatsphäre und die Vertraulichkeit bei der Nutzung der Endeinrichtung (im Sinne von Art. 7 GRCh). Als Endeinrichtung werden nach der Legaldefinition des § 2 Abs. 2 Nr. 6 TTDSG alle Geräte angesehen, die eine Schnittstelle zu öffentlichen Kommunikationsnetzen aufweisen. Hierzu zählen neben dem bekannten Computer, dem Smartphone oder Tablet auch die intelligenten Geräte wie ans Internet angebundene Fernseher oder Radios, aber auch Heizungsthermostate, Überwachungskameras oder Connected Cars (Autos).

Das TTDSG schützt jeglichen speichernden oder lesenden Zugriff auf Informationen im Endgerät. Dies kann sogar dann schon der Fall sein, wenn der Gerätehersteller automatische Updates einspielen will.

Ausnahme: Wenn z.B. Browser-Header Informationen aufgrund der Einstellungen des Endgeräts an den Dienst übermittelt werden, liegt kein unter das TTDSG fallender „Zugriff“ auf das Endgerät vor. In der normalen Internetkommunikation senden Browser entsprechend des im W3C definierten Standards RFC 2616 Daten an den Webserver (Beispiels Log).

Es ist nicht erfoderlich, dass es sich bei diesen Daten um „personenbezogene Daten“ im Sinne des Art. 4 Abs. 1 DS-GVO handelt.

Die DSK weist noch einmal deutlich darauf hin, dass das TTDSG nur die Datenverarbeitung auf dem Endgerät regelt. Sollen personenbezogene Daten darüber hinaus auch analysiert werden, was in der Praxis sicherlich der Normalfall ist, unterliegt diese Datenverarbeitung der DS-GVO. Die Analyse der Daten ist nur dann zulässig, wenn sich die Einwilligung auf dem Endgerät auch auf die nachträgliche Auswertung bezieht. Dies ergibt sich laut DSK aus der in Art. 5 Abs. 2 DS-GVO verankerten Rechenschaftspflicht.

Datenverarbeitung ohne Einwilligung

Die Datenverarbeitung ohne Einwilligung ist nach § 25 Abs 2 TTDSG auf zwei Fälle beschränkt. Die Datenverarbeitung muss zwingend erforderlich sein für die Durchführung der Übertragung einer Nachricht oder zur Zurverfügungstellung eines Telemediendienstes. Die DSK geht bei der Auslegung so weit, dass ein Warenkorb Cookie nur dann zwingend erforderlich ist, wenn der Nutzer auch Waren in diesen Warenkorb gelegt hat. Der Umstand, dass auf der Seite ein Shop integriert ist, reicht noch nicht aus, um den Warenkorbcookie auszuspielen. Darüber hinaus stellt die DSK strenge Anforderungen an den Inhalt des Cookies. So sind nach dieser Auffassung eindeutige Identifier nur zulässig, wenn dies auch für die Funktion erforderlich sei. Spracheinstellung oder Bildschirmfarbe könnten auch ohne einen Identifier gespeichert werden.

Datenverarbeitung mit Einwilligung

Die DSK ist im TTDSG im Grundsatz der Einwilligungsbedürftigkeit formuliert. Das TTDSG stellt keine weiteren Anforderungen an die Einwilligung und verweist auf die DS-GVO. Wesentliche Kriterien der Einwilligung sieht die DSK in

  • Eindeutigkeit der bestätigenden Handlung
  • ausreichende Information bezogen auf den Einzelfall
  • im richtigen Zeitpunkt
  • freiwillig
  • mit Widerrufsmöglichkeit

Eindeutige, bestätigende Einwilligung

Vor dem ersten Zugriff auf das Endgerät muss die Einwilligung bereits erteilt sein. Die DSK stellt fest, dass ein „weitersurfen“, „runterscrollen“ oder vorbelegte Checkboxen keine bestätigende Einwilligung ist und verweist richtiger Weise auf das Plante 49 Urteil des BGH. Untätigbleiben und Stillschweigen sind im Anwendungsbereich der DS-GVO keine wirksamen Erklärungen.

Das Anklicken einer „designierten“ Schaltfläche in einem Banner reicht indes aber aus.

Informationen bei der Einwilligung

Die Einwilligung muss für den Nutzer die Information zur Datenverarbeitung für jeden Einzelfall klar verständlich bereithalten. Hierbei muss insbesondere darauf geachtet werden, dass die Einwilligung zur Datenspeicherung und zum Zugriff nach TTDSG noch nicht die Einwilligung für die nachgelagerte Verarbeitung nach DS-GVO abdecken. So ist eine Formulierung „Wir setzen auf dieser Webseite Cookies ein.“ nicht ausreichend. Es muss vielmehr auch auf die nachgelagerte Verarbeitung der so gewonnenen Daten hingewiesen werden.

Es ist zwar möglich, die Einwilligungserklärung mehrschichtig zu gestalten, aber es muss zum Zeitpunkt der Einwilligungserklärung sichergestellt sein, dass der Nutzer alle relevanten Informationen hatte. Wenn also im Cookie Banner ein „alles akzeptieren“ Button bereitsteht, müssen auch die notwendigen Informationen zur Datenverarbeitung bereits im Cookiebanner enthalten sein. Dies wird in der Praxis schon aus Platzgründen schwierig werden.

Freiwilligkeit der Einwilligung

Die DSK diskutiert die Frage der Freiwilligkeit und deren Einwilligung sehr umfassend und kommt zu der aus unserer Sicht streitbaren Meinung, dass Webseitenbetreiber ihre Angebote auch dann anbieten müssen, wenn der Nutzer dem Targeting nicht zustimmt. Cookiewalls, die ohne Zustimmung zu den Cookies den Inhalt unzugänglich machen, sind laut DSK unzulässig, da sie gegen den Grundsatz der Freiwilligkeit verstoßen. Wir sehen hier einen erheblichen Eingriff in die Privatautonomie der Webseitenbetreiber, der so auch nicht ohne weiteres zu rechtfertigen ist.

Ablehnen Button

Die DSK fordert, dass ein Ablehnen Button auf gleicher Ebene zu finden sein muss wie der Akzeptieren Button. Sollte der Ablehnen Button auf einer tieferen Ebene liegen als der „alles akzeptieren“ Button, liege hierin ein Verstoß gegen die Freiwilligkeit, da der Nutzer vom Webseitenbetreiber davon abgehalten werde, diese Option zu wählen. Es gebe für dieses Vorgehen keinen sachlichen Grund und daher sei darin ein Verstoß gegen Treu und Glauben gemäß Art. 5 Abs. 1 a DS-GVO zu sehen.

Weitere Quellen

https://www.golem.de/news/orientierungshilfe-zu-ttdsg-nutzer-muessen-cookies-direkt-ablehnen-koennen-2112-161966.html?utm_source=nl.2021-12-22.html&utm_medium=e-mail&utm_campaign=golem.de-newsletter

Die Landesbeauftragte für den Datenschutz Niedersachsen mit Zusammenfassung

Rechtliche Anforderungen an Hinweisgebersysteme

Rechtliche Anforderungen an Hinweisgebersysteme

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

PGlmcmFtZSB0aXRsZT0iUmVjaHRzbGljaGUgQW5mb3JkZXJ1bmdlbiBhbiBIaW53ZWlzZ2ViZXJzeXN0ZW1lIiB3aWR0aD0iMTA4MCIgaGVpZ2h0PSI2MDgiIHNyYz0iaHR0cHM6Ly93d3cueW91dHViZS1ub2Nvb2tpZS5jb20vZW1iZWQvekx6cDR4SlgwM0E/ZmVhdHVyZT1vZW1iZWQiICBhbGxvdz0iYWNjZWxlcm9tZXRlcjsgYXV0b3BsYXk7IGNsaXBib2FyZC13cml0ZTsgZW5jcnlwdGVkLW1lZGlhOyBneXJvc2NvcGU7IHBpY3R1cmUtaW4tcGljdHVyZSIgYWxsb3dmdWxsc2NyZWVuPjwvaWZyYW1lPg==
Youtube Kanal

Youtube Kanal

Jetzt hat auch SICODA einen eigenen Youtube Kanal gestartet:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

PGlmcmFtZSB0aXRsZT0iU0lDT0RBIEludHJvIiB3aWR0aD0iMTA4MCIgaGVpZ2h0PSI2MDgiIHNyYz0iaHR0cHM6Ly93d3cueW91dHViZS1ub2Nvb2tpZS5jb20vZW1iZWQvSF9RbXd1dEROd1k/ZmVhdHVyZT1vZW1iZWQiICBhbGxvdz0iYWNjZWxlcm9tZXRlcjsgYXV0b3BsYXk7IGNsaXBib2FyZC13cml0ZTsgZW5jcnlwdGVkLW1lZGlhOyBneXJvc2NvcGU7IHBpY3R1cmUtaW4tcGljdHVyZSIgYWxsb3dmdWxsc2NyZWVuPjwvaWZyYW1lPg==
TTDSG tritt in Kraft

TTDSG tritt in Kraft

Mit Wirkung zum 01.12.2021 wird das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft treten.

Grundsätzlich setzt der Gesetzgeber mit dem TTDSG eine seit vielen Jahren unerledigte Anpassung der EU-ePrivacy-Richtlinie 2009/136 in deutsches Recht um.

Mit dem TTDSG werden auch die Datenschutzbestimmungen des Telekommunikationsgesetz (TKG) und des Telemediengesetz (TMG) zusammengefasst.

Welche Auswirkungen hat das TTDSG für Ihr Unternehmen?

Das TTDSG enthält eine Vielzahl von Regelungen für Anbieter von Telemedien (Webseiten und Apps). Für Ihr Unternehmen ist datenschutzrechtlich jedoch allein § 25 TTDSG relevant.

§ 25 TTDSG hat unmittelbare Auswirkungen auf Ihre Webseite.

Im Rahmen des Betriebs Ihrer Webseite müssen Sie weiterhin, wie auch nach dem im letzten Jahr durch den Bundesgerichtshof entschiedenen Planet49-Urteil (AZ: I ZR 7/16 vom 28.05.2020), jegliche Verarbeitung von Webseitenbesucherdaten von einer ausdrücklichen, freiwilligen und informierten Einwilligung des jeweiligen Webseitenbesuchers (Nutzers) abhängig machen.

Eine Analyse der Daten Ihrer Webseitenbesucher oder eine Übermittlung dieser Daten an Dritte (Google Analytics, Youtube, Google Maps, usw.) ohne Einwilligung des jeweiligen Webseitenbesuchers ist auch nach § 25 TTDSG weiterhin rechtswidrig. Neben der einwilligungsgebundenen Analyse der Nutzungsdaten Ihrer Webseitenbesucher bestimmt § 25 TTDSG auch, dass ein Zugriff auf das Endgerät eines Nutzers unter dem Vorbehalt der Einwilligung des jeweiligen Nutzers steht. Nutzungsanalysen, die z. Bsp. auf das Endgerät eines Nutzers (z. Bsp. mit einem Java-Skript) zugreifen, stehen damit ebenfalls unter dem Vorbehalt einer wirksamen Einwilligung des jeweiligen Nutzers.