Zum Inhalt springen

Urteile

Grund­satz­fra­ge geklärt, Pro­blem gelöst oder gar der Todes­stoß? — Der EuGH zu Coo­kies und dem Datenschutz

So oder so ähn­lich wird das aktu­el­le EuGH-Urteil (Az. C‑604/​22 IAB Euro­pe) zum The­ma Daten­ver­ar­bei­tung bei per­so­na­li­sier­ter Wer­bung in der hie­si­gen Pres­se kommentiert.

Die Ver­qui­ckung von Coo­kies und Daten­schutz ist oft ein Grund dafür, dass noch immer gebets­müh­len­ar­tig wie­der­holt wird, der Daten­schutz trägt Schuld an die­sen ner­vi­gen Coo­kie-Ban­nern. Doch dazu spä­ter mehr…

Um was geht’s bei dem Urteil genau?

Schon 2022 kam die bel­gi­sche Daten­schutz­be­hör­de zu dem Schluss, dass das Sys­tem des Trans­pa­ren­cy and Con­sent frame­work (TCF), mit dem der Wer­be­ver­band Inter­ac­ti­ve Adver­ti­sing Bureau Euro­pe (IAB), bzw. Wer­be­trei­ben­de im Inter­net Ein­wil­li­gun­gen von Nutzer:innen für ihre per­so­na­li­sier­te Wer­bung sam­melt, gegen die Daten­schutz­grund­ver­ord­nung verstößt.

Ein Bestand­teil der per­so­na­li­sier­ten Wer­bung im Inter­net ist das Real Time Bid­ding. Dazu wer­den in Echt­zeit Gebo­te für Wer­be­plät­ze auf Web­sites oder Anwen­dun­gen von Wer­be­trei­ben­den abge­ge­ben. Die­se Wer­be­plät­ze wer­den ver­stei­gert, um dort Wer­bung anzu­zei­gen, die genau auf die jewei­li­gen Nutzer:innen und deren Vor­lie­ben zuge­schnit­ten sind.

Damit dies funk­tio­nie­ren kann, müs­sen die Prä­fe­ren­zen der jewei­li­gen Nutzer:innen irgend­wo hin­ter­legt wer­den. Hier kommt das oben erwähn­te TCF, kon­kret der soge­nann­te TC-String ins Spiel. Das TC steht auch hier für „Trans­pa­ren­cy and Con­sent“. Eine Kom­bi­na­ti­on aus Zah­len und Buch­sta­ben in denen „gespei­chert“ wird, in wel­che Daten­ver­ar­bei­tung ihrer spe­zi­fi­schen per­so­nen­be­zo­ge­nen Daten die Nutzer:innen ein­ge­wil­ligt haben und in wel­che nicht. Das IAB Euro­pe teilt die­sen TC-String mit sei­nen Part­nern, damit die­se auch wis­sen wel­che Wer­bung sie ziel­ge­recht aus­spie­len kön­nen. Auf den Gerä­ten der Nutzer:innen wird für die­sen Zweck ein Coo­kie gespei­chert, damit die Zuord­nung erfol­gen kann wel­cher TC-String zu wel­chen Nutzer:innen gehört.

Bel­gi­en ver­häng­te Buß­geld gegen IAB Europe

Die bel­gi­sche Daten­schutz­be­hör­de kam zu dem Schluss, dass die­ser ver­wen­de­te TC-String in Kom­bi­na­ti­on mit dem Coo­kie der IP-Adres­se der Nutzer:innen zuge­ord­net wer­den kann und somit ein per­so­nen­be­zo­ge­nes Datum dar­stellt. Des Wei­te­ren befand die Behör­de, dass das IAB Euro­pe als Ver­ant­wort­li­cher auf­tritt, jedoch die DSGVO-Rege­lun­gen nicht voll­stän­dig ein­hält. Im Zuge des­sen ver­häng­te die Behör­de diver­se Maß­nah­men und eine Geld­bu­ße in Höhe von 250.000 Euro.

IAB Euro­pe wehrt sich, der EuGH ist am Zug

Das IAB Euro­pe wehr­te sich natür­lich dage­gen, doch nun urteil­te der Euro­päi­sche Gerichts­hof und bestä­tig­te die Ent­schei­dun­gen der bel­gi­schen Auf­sichts­be­hör­de. Der TC-String ist als per­so­nen­be­zo­ge­nes Datum und das IAB Euro­pe als gemein­sa­mer Ver­ant­wort­li­cher anzu­se­hen, so die Pres­se­mit­tei­lung des EuGH.

Es bleibt also span­nend, vor allem wie nun die Wer­be­wirt­schaft im Inter­net damit umge­hen wird. Bis­her wie­gelt das IAB Euro­pe das Urteil als tech­ni­sche For­ma­lie ab, jedoch bedeu­tet die Ein­stu­fung als gemein­sa­mer Ver­ant­wort­li­cher eine Haft­bar­keit für das IAB Euro­pe, die emp­find­li­che Stra­fen nach sich zie­hen kann.

Der Daten­schutz ist schuld, wie immer

Aber wie war das denn nun mit der Schuld des Daten­schut­zes an unleid­li­chen Coo­kie-Ban­nern? Wie so oft, wenn es heißt der Daten­schutz ist schuld, liegt es nicht am Datenschutz. 😉

Die „Schuld“ liegt doch in ers­ter Linie in der ePri­va­cy-Richt­li­nie, der Richt­li­nie 2002/​58/​EG des Euro­päi­schen Par­la­ments und des Rates vom 12. Juli 2002 über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und den Schutz der Pri­vat­sphä­re in der elek­tro­ni­schen Kom­mu­ni­ka­ti­on, die­se wur­de nicht umsonst mehr oder weni­ger lie­be­voll Coo­kie-Richt­li­nie genannt.

Do you like Cookies?

Und wer mehr über das The­ma Coo­kies auf unse­rer Web­site erfah­ren möch­te, hier ent­lang!

Das Finanz­amt darf Dei­ne per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten — trotz DSGVO :-)

Etwas Kurio­ses zum Jah­res­en­de gefäl­lig? Dann haben wir hier was für Dich. In unse­ren Web­i­na­ren und Grund­schu­lun­gen zum The­ma Daten­schutz wei­sen wir im Kon­text der Betrof­fe­nen­rech­te scherz­haft immer wie­der dar­auf hin, dass die­se nicht unein­ge­schränkt gel­ten. Ein Wider­ruf der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gegen­über dem Finanz­amt wird nicht dazu füh­ren, kei­ne Steu­ern mehr bezah­len zu müs­sen 🙂 Eigent­lich logisch. Dach­ten wir.

Ent­schei­dung des Bun­des­fi­nanz­hofs, Urteil vom 05. Sep­tem­ber 2023, IX R 32/​21

Gegen­stand: Zuläs­sig­keit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Besteue­rungs­ver­fah­ren gemäß § 29b AO

Ein Finanz­amt (FA) ord­ne­te bei einem Rechts­an­walt eine Außen­prü­fung zur Ein­kom­men- und Umsatz­steu­er an. Zugleich for­der­te das FA den Klä­ger auf, bis zum Prü­fungs­be­ginn die Aus­zü­ge sei­nes betrieb­li­chen Bank­kon­tos zu über­sen­den. Nach­dem der Anwalt die­ser Auf­for­de­rung nicht nach­ge­kom­men war, ersuch­te das FA unter Hin­weis auf die Abga­ben­ord­nung (AO) die kon­to­füh­ren­de Bank um Vor­la­ge der Kon­to­aus­zü­ge. Die­sem Ersu­chen kam die Bank nach. Der Anwalt war damit nicht ein­ver­stan­den und begrün­de­te dies mit der Aus­sa­ge, die Rege­lun­gen der AO genü­gen sei­ner Mei­nung nach nicht den Anfor­de­run­gen des Art. 6 Abs. 3 der Daten­schutz-Grund­ver­ord­nung (DSGVO). Es feh­le daher an einer recht­mä­ßi­gen Ver­ar­bei­tung sei­ner per­so­nen­be­zo­ge­nen Daten durch das Finanz­amt. Es kam zur Abwei­sung des Lösch­be­geh­rens des Anwalts durch das Finanz­amt. Begrün­dung: Die Ver­ar­bei­tung die­ne der Ermitt­lung der Besteue­rungs­grund­la­gen im Rah­men einer Außen­prü­fung. Das dar­auf­hin vom Anwalt ange­ru­fe­ne Finanz­ge­richt zwecks Durch­set­zung sei­nes Rechts auf Löschung sei­ner per­so­nen­be­zo­ge­nen Daten gemäß Art. 17 Abs. 1 Buchst. d DSGVO hat­te kei­nen Erfolg. Das Finanz­ge­richt wies die Kla­ge ab. Dies führ­te zur Revi­si­on am Bun­des­fi­nanz­hof (BFH).

Das kam jetzt über­ra­schend, oder doch nicht?

Der Anwalt bean­trag­te beim BFH, das ange­foch­te­ne Urteil auf­zu­he­ben und alle sei­ne im Zusam­men­hang mit den Kon­to­aus­zü­gen ste­hen­den per­so­nen­be­zo­ge­nen Daten zu löschen. Behelfs­wei­se sol­le das ange­foch­te­ne Urteil auf­ge­ho­ben wer­den und alle im Zusam­men­hang mit den Kon­to­aus­zü­gen ste­hen­den per­so­nen­be­zo­ge­nen Daten des Anwalts soll­ten nicht mehr durch das Finanz­amt ver­ar­bei­tet wer­den dür­fen. Der Bun­des­fi­nanz­hof wies die Revi­si­on als unbe­grün­det ab. “Nein” — “Doch” — “Oh”

Wer mehr über den genau­en Ablauf und die Hin­ter­grün­de erfah­ren möch­te, hier geht es zur Ent­schei­dung des BFH.

Mit die­sem Schman­kerl ver­ab­schie­den wir uns in die Win­ter­pau­se und wün­schen allen Lesern und Emp­fän­gern sowie deren Lie­ben schö­ne Fei­er­ta­ge und einen guten Rutsch ins Jahr 2024. Wir lesen uns.

Wer “Do not track” (DNT) im Brow­ser igno­riert, muss fühlen

Do-Not-Track igno­rie­ren — Kei­ne gute Idee

Das Busi­ness-Netz­werk Lin­ke­dIn hat nach dem Abstieg von X (ehe­mals Twit­ter) wei­te­ren Zulauf zu ver­zeich­nen, wie eini­ge ande­re Alter­na­ti­ven (Mast­o­don, Blues­ky) auch. Umso inter­es­san­ter ist das durch die Bun­des­ver­brau­cher­zen­tra­le vor dem Land­ge­richt erstrit­te­ne Urteil gegen die Betrei­be­rin des Netz­werks, die Lin­ke­dIn Ire­land Unli­mi­t­ed Company.

Lin­ke­dIn weist auf sei­ner Web­sei­te (dem Netz­werk) dar­auf hin, dass es die Vor­ein­stel­lung Do-Not-Track (DNT) im Brow­ser eines Besu­chers igno­rie­ren wird. DNT wur­de vor Jah­ren als Kon­fi­gu­ra­ti­ons­mög­lich­keit in den meis­ten gän­gi­gen Brow­sern ein­ge­führt, um dem Betrei­ber einer Web­sei­te von vorn­her­ein zu signa­li­sie­ren, dass man nicht “getrackt” wer­den möch­te, das Surf­ver­hal­ten also nicht auf­ge­zeich­net und ana­ly­siert wer­den soll. Der Web­sei­ten­be­su­cher wider­spricht qua­si per Brow­ser-Vor­ein­stel­lung dem Web­track­ing. Wenig ver­wun­der­lich, dass die­ser Umstand dem einen oder ande­ren Web­sei­ten­be­trei­ber nicht in den Kram passt.

Lin­ke­dIn hat­te auf sei­ner Inter­net­sei­te mit­ge­teilt, dass es die­se DNT-Ein­stel­lung bewußt igno­riert und somit  gegen den Wil­len der Nut­zer per­so­nen­be­zo­ge­ne Daten wie die IP-Adres­se und Infor­ma­tio­nen über die Nut­zung der Web­sei­te etwa für Ana­ly­se- und Mar­ke­ting­zwe­cke aus­wer­tet und auch an Dritt­an­bie­ter wei­ter­ge­ben wird.

Das Land­ge­richt Ber­lin ent­schied im Sin­ne der Ver­brau­cher­zen­tra­le. Der Wider­spruch gegen eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten kann auch auto­ma­ti­siert (also durch Vor­ein­stel­lung) aus­ge­spro­chen wer­den und muss vom ver­ant­wort­li­chen Web­sei­ten­be­trei­ber beach­tet wer­den. Der Wider­spruch sei wirksam.

Das Urteil mit dem Akten­zei­chen 16 O 420/​19 ist noch nicht rechts­kräf­tig, hat aber Signalwirkung.

Sie betrei­ben eine Web­sei­te mit Web­track­ing? Schau­en Sie sicher­heits­hal­ber mal nach, ob die Opti­on “DNT igno­rie­ren” akti­viert ist. Wenn ja … sie­he oben 🙂

Do-Not-Track im Brow­ser akti­vie­ren — wie geht das?

In den meis­ten Brow­sern hat die­se Funk­ti­on ohne viel Tam­tam Ein­zug gehal­ten. Oft­mals gut ver­steckt in den Ein­stel­lungs­me­nüs und lei­der nicht immer vor­ein­ge­stellt aktiv. Hier erfah­ren Sie mehr über die Akti­vie­rung und Einstellmöglichkeiten:

In der Such­ma­schi­ne Ihrer Wahl fin­den Sie mit­tels Anga­be des Brow­ser­na­mens und des Begriffs “do not track” auch die Ein­stell­mög­lich­kei­ten für Brow­ser ande­rer Hersteller.

Pati­en­ten­da­ten — neu­es Gesetz PDSG im Fokus des Bundesdatenschutzbeauftragten

In sei­ner Pres­se­mit­tei­lung vom 19.08.2020 zum erfor­der­li­chen Schutz­ni­veau von Pati­en­ten­da­ten im Rah­men der aktu­el­len Gesetz­ge­bung infor­miert der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) Prof. Ulrich Kel­ber über die euro­pa­rechts­wid­ri­ge Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Gesund­heits­da­ten als Fol­ge des zu erwar­ten­den Pati­en­ten­da­ten-Schutz-Geset­zes PDSG. Die­ses ist vom Bun­des­tag bereits beschlos­sen und befin­det sich momen­tan in Prü­fung beim Bundesrat. 

Pati­en­ten­da­ten als hoch­sen­si­bles Schutz­gut 

Bereits wäh­rend des Gesetz­ge­bungs­ver­fah­rens habe der BfDI wie­der­holt State­ments zur ‘vol­len Hoheit [der Pati­en­ten] über ihre Daten´ ein­ge­bracht. Die­ser Aspekt kom­me bei dem neu­en Gesetz zu kurz. Gesund­heits­da­ten beinhal­ten ‘intims­te Infor­ma­tio­nen´ der betrof­fe­nen Per­so­nen und sind von beson­ders hohem Schutzbedarf.

Maß­nah­men zum Schutz von Pati­en­ten­da­ten 

Es wür­den ‘auf­sichts­recht­li­che Maß­nah­men´ gegen die gesetz­li­chen Kran­ken­kas­sen ergrif­fen, sofern die­se das PDSG in aktu­el­ler Fas­sung umset­zen. Eine Ein­füh­rung der elek­tro­ni­schen Pati­en­ten­ak­te (ePA) ‘aus­schließ­lich nach den Vor­ga­ben des PDSG [in aktu­el­ler Fas­sung ver­sto­ße] an wich­ti­gen Stel­len´ gegen die DSGVO. Bei einer Beschlie­ßung des PDSG in der aktu­el­len Fas­sung  sei­en die der Auf­sicht des BfDI unter­lie­gen­den gesetz­li­chen Kran­ken­kas­sen (mit rund 44,5 Mil­lio­nen Ver­si­cher­ten) davor zu war­nen, dass die Ein­füh­rung der ePA aus­schließ­lich nach den Vor­ga­ben des PDSG euro­pa­rechts­wid­rig sei. Zudem sei­en ‘wei­te­re Maß­nah­men´ in Vor­be­rei­tung zu Abhil­fe einer euro­pa­rechts­wid­ri­gen Umset­zung der ePA. 

Pati­en­ten­da­ten in Zei­ten frag­wür­di­ger ‘Digi­ta­li­sie­rung´ 

Ein daten­schutz­recht­lich aus­rei­chen­der Zugriff auf die eige­ne ePA sei nur Nut­zern geeig­ne­ter End­ge­rä­te wie von Mobil­te­le­fo­nen oder Tablets mög­lich .. und das erst 1 Jahr nach Ein­füh­rung der ePA. Für das Jahr 2021 bedeu­te­te dies, dass eine Steue­rung auf Doku­men­ten­ebe­ne, d.h. eine doku­men­ten­ge­naue Kon­trol­le, wel­che Betei­lig­ten wel­che Infor­ma­tio­nen ein­se­hen kön­nen, nicht mög­lich ist. Damit wür­den voll­ende­te Tat­sa­che geschaf­fen und Berech­ti­gun­gen nicht daten­schutz­kon­form erteilt. So kön­ne bei­spiels­wei­se der ‘behan­deln­de Zahn­arzt [auf] alle Befun­de des kon­sul­tier­ten Psych­ia­ters´ zugrei­fen. Digi­ta­li­sie­rung kön­ne nie­mals Selbst­zweck sein. 

Benach­tei­li­gung Betrof­fe­ner bei Zugriff auf die eige­nen Pati­en­ten­da­ten 

Erfolg­te Zugrif­fe auf die Pati­en­ten­da­ten könn­ten ohne Nut­zung der ent­spre­chen­den Gerä­te nicht erfol­gen. Daher sol­le ab 2022  für die­se betrof­fe­nen Per­so­nen eine ver­tre­ten­de Per­son die Steue­rung und Ein­sicht vor­neh­men kön­nen — ent­spre­chen­des Ver­trau­ens­ver­hält­nis vor­aus­ge­setzt. Hier­in sieht der BfDI eine Ungleich­be­hand­lung hin­sicht­lich der infor­ma­tio­nel­len Selbstbestimmung. 

Es ist zu hof­fen, dass ein ent­spre­chen­des Daten­schutz­ni­veau recht­zei­tig eta­bliert wer­den kann. Auch beim Authen­ti­fi­zie­rungs­ver­fah­ren sieht der BfDI Handlungbedarf. 

Schutz vor allem für die Ver­ur­sa­cher von Daten­schutz­ver­let­zun­gen 

Ein c’t Arti­kel vom 28.08.2020 auf hei​se​.de titelt in die­sem Kon­text mit ‘War­um es bei künf­ti­gen Daten­pan­nen in der Medi­zin kei­ne Schul­di­gen geben wird´. Der Ent­wurf zum neu­en PDSG ent­las­se die Gema­tik aus der daten­schutz­recht­li­chen Gesamt­ver­ant­wort­lich­keit. Sep­tem­ber 2019 haben die Daten­schutz­be­hör­den beschlos­sen, dass die Gema­tik ‘daten­schutz­recht­lich allein­ver­ant­wort­lich für die zen­tra­le Zone der Tele­ma­tik-Infra­struk­tur (TI)´ sei. Indes sol­le die Gesell­schaft durch das neue Gesetz von der juris­ti­schen Gesamt­ver­ant­wort­lich­keit für den Daten­schutz, eben­die­ser Ver­ant­wort­lich­keit, ent­bun­den wer­den. Neben ‘kon­zep­tio­nel­len und regu­la­to­ri­schen Vor­ga­ben, Maß­nah­men zur Qua­li­täts­si­che­rung und zur Gefah­ren­ab­wehr´ tref­fe die Gema­tik für die Ver­ar­bei­tung der (Patienten)Daten kei­ne Ver­ant­wor­tung man­gels ‘ope­ra­ti­ver´ Betei­li­gung. Das deut­sche Gesund­heits­we­sen ste­he in kla­rer Abhän­gig­keit von der Gema­tik. Deren acht­wö­chi­ger Aus­fall von Mai bis Juli, bei dem weder sei­tens der Gema­tik noch ander­wei­tig öffent­li­che Infor­ma­tio­nen zu Ursa­chen und Ver­ant­wort­lich­kei­ten des Vor­falls gege­ben wur­de, mache dies deutlich. 

Kla­re Anti­zi­pa­ti­on mas­sen­haf­ter Ver­let­zun­gen des Schut­zes von Pati­en­ten­da­ten 

Somit wäre die Gema­tik auch von der Pflicht einer DSFA und der zuge­hö­ri­gen Beschrei­bun­gen poten­ti­el­ler Daten­schutz­ver­let­zun­gen und ihrer Aus­wir­kun­gen befreit. Kommt es zu einer Kom­pro­mit­tie­rung von Pati­en­ten­da­ten, muss dies nicht nur zunächst auf­fal­len, son­dern dann darf der Pati­ent sich — hin­rei­chen­de Gesund­heit vor­aus­ge­setzt — mit den zustän­di­gen Ärz­ten Aus­ein­an­der­set­zen und dann kann nach einem Ver­ant­wort­li­chen gesucht wer­den. Eine DSFA sei dem Geset­zes­ent­wurf zufol­ge allen­falls medi­zi­ni­schen Ein­rich­tun­gen mit mehr als 20 Mit­ar­bei­tern zuzumuten. 

Fazit und State­ment 

Mit dem neu­en PDSG wer­den vor allem die Ver­ur­sa­cher vor den Kon­se­quen­zen mas­si­ver Daten­schutz­ver­let­zun­gen geschützt. Dies zeigt zumin­dest einen aus­ge­präg­ten Rea­li­täts­sinn für die kata­stro­pha­len Zustän­de in Daten­schutz und Infor­ma­ti­ons­si­cher­heit im deut­schen Gesund­heits­we­sen. Der Autor des vor­lie­gen­den Bei­trags greift auf div. eige­ne Berufs­er­fah­run­gen im Gesund­heits­we­sen zurück. Die beschrie­be­nen Aspek­te bei der Gesetz­ge­bung zum neu­en PDSG lie­fern kei­ne Ver­bes­se­run­gen an der teil­wei­se bestehen­den grob fahr­läs­si­gen Hand­ha­bung von Pati­en­ten­da­ten im Gesund­heits­we­sen, son­dern besei­tigt die Trans­pa­renz noch weiter. 

Das heißt also — ver­bind­li­che Emp­feh­lung von Ihren Daten­schutz­be­auf­trag­ten 🙂 bit­te ein­fach die 5 a day Regel ein­hal­ten und gesund bleiben

BfDI über­reicht sei­ne Berich­te zu Daten­schutz und Informationsfreiheit

An die­sem Mitt­woch, den 17.06.2020 leg­te der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) sei­ne Tätig­keits­be­rich­te für bei­de Berei­che vor. Wich­ti­ge The­men dar­in sind unter ande­rem Gesund­heits­da­ten und Dia­log in der Gesetz­ge­bung. Die obers­te Daten­schutzbehör­de ist der­zeit mit über 250 Plan­stel­len besetzt, in die­sem Jahr sol­len es über 300 werden. 

In die­sem Bei­trag wird zunächst nur auf den Daten­schutz­be­richt ein­ge­gan­gen und hier­bei eini­ge „Schwer­punk­te“ gesetzt. Die Gewich­tung erhebt nicht den Anspruch reprä­sen­ta­tiv für die inhalt­li­che Gewich­tung des zugrun­de­lie­gen­den Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wich­ti­gen — The­men durch Erwäh­nun­gen gerecht zu werden. 

Zu den Schwer­punkt­the­men gehör­te insb. die Digi­ta­li­sie­rung im Gesund­heits­we­sen und Eva­lu­ie­rung der DSGVO. Kern­the­men sind 

  • All­tags­er­leich­te­rung und Praxistauglichkeit, 
  • Daten­pan­nen­mel­dun­gen,
  • Zweck­bin­dung, 
  • Data Pro­tec­tion by Design, 
  • Befug­nis­se der Auf­sichts­be­hör­den und Sanktionspraxis, 
  • Zustän­dig­keits­be­stim­mung, Zusam­men­ar­beit und Kohärenz, 
  • Direkt­wer­bung,
  • Pro­fil­ing und 
  • Akkre­di­tie­rung. 

Fer­ner lag das Augen­merk auf Aspek­ten der Daten­mi­ni­mie­rung, Umset­zung der KI, der Ein­wil­li­gung als Rechts­grund­la­ge  und Stel­lung­nah­men der Datenethikkommission. 

Eini­ge Zah­len zur Tätig­keit des BfDI 

Im Berichts­zeit­raum, dem Jahr 2019, wur­den dem BfDI über 3.200 Beschwer­den zuge­tra­gen, davon 44 nach § 60 BDSG, Direkt­an­ru­fung des Bun­des­be­auf­trag­ten, und 44 gegen Nach­rich­ten­diens­te. Über 10.000 Anlie­gen von betrof­fe­nen Per­so­nen /​ Bür­gern wur­den auf schrift­li­chem oder tele­fo­ni­schem Wege behan­delt. Die Mel­dun­gen von Daten­pan­nen belie­fen sich auf rund 15.000. Ins­ge­samt kam es zu 6 Ver­war­nun­gen, 8 Bean­stan­dun­gen und 2 Geld­bu­ßen. 51 Besuchs­ter­mi­ne bei Ver­ant­wort­li­chen wur­den zur Infor­ma­ti­on und Bera­tung genutzt, 73 wei­te­re außer­dem zu daten­schutz­recht­li­chen Kontrollen. 

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger 

10 Emp­feh­lun­gen wer­den schrift­lich aus­ge­führt. Dazu gehö­ren bri­san­te The­men wie die elek­tro­ni­sche Pati­en­ten­ak­te, Mail­ver­schlüs­se­lung und bio­me­trie­ge­stütz­te Video­über­wa­chung. Des wei­te­ren wur­den die Umset­zungs­sta­tus von Emp­feh­lun­gen des vori­gen BfDI Daten­schutz­be­richts in 20 Punk­ten resümiert. 

Gre­mi­en­ar­beit und Gesetz­ge­bung 

Im ers­ten der hier gemein­sam zusam­men­ge­fass­ten Kapi­tel geht der Bericht auf die Gre­mi­en­ar­beit bei der DSK, der Inter­na­tio­na­len Daten­schutz­kon­fe­renz, dem Euro­päi­schen Daten­schutz­aus­schuss sowie dem Daten­schutz-Aus­schuss des Euro­pa­rats (Kon­ven­ti­on 108) ein. 

Im Bereich der Gesetz­ge­bung wer­den u.a. die Anhe­bung auf 20 Mit­ar­bei­ter bei der DSB Bestell­pflicht, Rege­lungs­lü­cken bei der Daten­ver­ar­bei­tung gesetz­li­cher Kran­ken­kas­sen und die Aus­ste­hen­de Anpas­sung des TKG moniert. Auch im Rah­men der Sicher­heits­ge­setz­ge­bung — wie etwa StPOZoll­fahn­dungs­dienst und der geplan­ten Dark­net Gesetz­ge­bung — gebe es Über­ar­bei­tungs­be­darf. Auch wur­de auf das ZensG 2021, das Pro­jekt der Regis­ter­mo­der­ni­sie­rung und die Gesetz­ge­bung im Gesund­heits-­ und Sozi­al­we­sen eingegangen. 

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich 

.. behan­del­te u.a. den CLOUD Act über den weit­rei­chen­den Zugriff US ame­ri­ka­ni­scher Straf­ver­fol­gungs­be­hör­den auf Daten bei Inter­net-Unter­neh­men. Stel­lung bezog der BfDI eben­falls zum Vor­schlag der e‑E­vi­dence-Ver­ord­nung über das geplan­te Recht euro­päi­scher Straf­ver­fol­gungs­be­hör­den, Bestands, Ver­kehrs- und Inhalts­da­ten unmit­tel­bar bei Pro­vi­dern EU grenz­über­grei­fend zu erhe­ben sowie das Pro­jekt „Poli­zei 2020“. Dabei wur­den u.a. Daten­spei­che­run­gen und Trans­pa­renz der sowie Kon­trol­len bei Sicher­heits­be­hör­den thematisiert. 

Zu wei­te­ren The­men gehör­ten Dritt­staa­ten­trans­fers, auch hin­sicht­lich der Aus­wir­kun­gen des Brexit, Stan­dard­ver­trags­klau­seln und der Daten­schutz in wei­te­ren grund­le­gen­den Orga­ni­sa­tio­nen wie Post­we­sen und Arbeitsämtern. 

Zusam­men­fas­sung 

Der gro­ße Umfang und das viel­schich­ti­ge Spek­trum der im Berichts­jahr 2019 behan­del­ten The­men in prä­gnan­tem Doku­men­ta­ti­ons­stil machen deut­lich, dass Inhal­te, Neu­tra­li­tät und Trans­pa­renz von die­ser Behör­de sehr ernst genom­men wer­den. Mit kla­ren Wor­ten und auf­ge­lo­ckert durch Kari­ka­tu­ren (wie etwa auf Sei­te 49) Ver­mit­telt der vor­lie­gen­de Bericht The­men, die an Stamm­ti­schen ger­ne als Ver­schwö­rungs­theo­rien abge­tan wer­den, auf sach­li­che und kon­struk­ti­ve Weise. 

Dash­cams erlaubt? Im Daten­schutz Check

Wer hat nicht schon ein­mal mit einer sol­chen gelieb­äu­gelt? Der Kom­fort und die Rechts­si­cher­heit der Dash­cams, klei­ne Kame­ras hin­ter der Wind­schutz­schei­be, am Len­ker oder wel­che Vehi­kel auch immer bevor­zugt wer­den, erschei­nen als ein­deu­ti­ges Ver­hält­nis­mä­ßig­keits­kri­te­ri­um. Aller­dings sind sie durch­aus nicht unein­ge­schränkt und in jedem Land erlaubt. Was zu beach­ten ist, erklärt die­ser Beitrag. 

Die Funk­ti­ons­wei­se  

Dash­cams sol­len ins­be­son­de­re das Ver­kehrs­ge­sche­hen und ‑unfäl­le auf­zeich­nen, um tat­sa­chen­wid­ri­gen bzw. par­tei­ischen Aus­sa­gen ent­ge­gen­zu­wir­ken und eine ein­deu­ti­ge Beweis­füh­rung zu ermög­li­chen. Dass die Vide­os jeden Auf­ge­nom­me­nen belas­ten kön­nen — ein­schließ­lich des Dash­cam Besit­zers, muss nicht geson­dert erwähnt wer­den. Ange­schlos­sen an die Bord­elek­tro­nik und /​ oder per Akku sind sie in der Lage, auf Micro SD Kar­ten im Giga­byte Bereich in End­los­schlei­fe auf­zu­zeich­nen. Diver­se Model­le haben auch Bewe­gungs­sen­so­ren und Infrarotsicht. 

Dash­cams in der prak­ti­schen Anwen­dung 

Die Auf­zeich­nung amt­li­cher Kenn­zei­chen und Per­so­nen ist eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Das online Stel­len kennt­li­cher Inhal­te ist selbst­ver­ständ­lich ein­deu­tig ein Ver­stoß gegen die infor­ma­tio­nel­le Selbst­be­stim­mung. Aus behörd­li­cher Daten­schutz­sicht geht der Tenor dahin, dass der Betrieb von Dash­cams auch dann als unzu­läs­sig zu betrach­ten ist, wenn kurz und anlass­be­zo­gen auf­ge­zeich­net wird, da natur­ge­mäß kei­ne Infor­ma­ti­ons­pflich­ten über Zweck etc. mit­ge­teilt wer­den kön­nen. Nicht umsonst ach­tet man bei Video­über­wa­chung in Fir­men und ande­ren Ein­rich­tun­gen auf Beschil­de­rung außer­halb des Erfas­sungs­be­reichs u.a. mit den Zwe­cken und den Daten des Aufzeichnenden. 

Die Kri­te­ri­en einer daten­schutz­kon­for­men Video­auf­zeich­nung sind nicht in Stein gemei­ßelt, aber klar defi­nier­bar. Gene­rell geht es um die Kennt­nis der kon­kre­ten Umstän­de und einer sach­ge­rech­ten Abwä­gung der Rechtsgüter. 

Auch Gene­rell Iin Fra­gen der rich­ti­gen Beur­tei­lung und der rechts­si­che­ren daten­schutz­kon­for­men Pro­zess­ge­stal­tung steht Ihnen unser Team als exter­ne Daten­schutz­be­auf­trag­te und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te zur Sei­te

Die Fra­ge zur Zuläs­sig­keit von Dash­cams vor dem BGH 

In sei­ner Ent­schei­dung VI ZR 233/​17 vom 15.05.2018 ent­schied der Bun­des­ge­richts­hof, dass Dash­cam-Auf­zeich­nun­gen im Unfall­haft­pflicht­pro­zess aus zivil­recht­li­cher Sicht ver­wert­bar sein kön­nen. Im Ein­zel­fall sei jeden­falls eine Inter­es­sen- und Güter­ab­wä­gung vorzunehmen. 

Über­wie­gen­de Inter­es­sen beim Ein­satz von Dash­cams 

Grund­sätz­lich wird man wohl das Inter­es­se des Dash­cam Betrei­bers den schutz­wür­di­gen Inter­es­sen ande­rer Ver­kehrs­teil­neh­mer unter­ord­nen müs­sen, ins­be­son­de­re dann, wenn per­ma­nen­te und nicht anlass­be­zo­ge­ne Auf­zeich­nun­gen vor­ge­nom­men wer­den. Ande­ren­falls wäre das Rechts­gut der infor­mel­len Selbst­be­stim­mung gefähr­det. Aller­dings ist die Anwen­dung von Dash­cams auch hin­sicht­lich der Ver­wer­tungs­fra­ge wei­ter­hin umstritten. 

Das BayL­DA kün­dig­te an, dass Über­mitt­lun­gen von Dash­cam-Auf­zeich­nun­gen an Poli­zei und Ver­si­che­run­gen als Ver­stoß gewer­tet und mit einem Buß­geld geahn­det wer­den könnten. 

Infor­ma­ti­ons­si­cher­heit — IT-Sicher­heits­lü­cken und Daten­pan­nen 2019 und 2020 — Teil 2

Nach­fol­gend die Fort­set­zung des Bei­trags vom 18.04.2020 zu Cyber-Angrif­fen und Pan­nen in der Infor­ma­ti­ons­si­cher­heit /​ im Daten­schutz der letz­ten 12 Monate. 

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich 

Wer im Begriff war, ein Anlie­gen vor dem Ober­lan­des­ge­richt von Ber­lin (=Kam­mer­ge­richt Ber­lin) ver­han­deln zu las­sen, hat hof­fent­lich recht­zei­tig davon Abstand neh­men kön­nen. Denn damit konn­te er ver­hin­dern, dass sen­si­bels­te per­so­nen­be­zo­ge­ne und juris­ti­sche Infor­ma­tio­nen bei die­ser his­to­ri­schen Daten­pan­ne kom­pro­mit­tiert wur­den. Hier­mit wird nicht gesagt, dass es in ande­ren Berei­chen der Ber­li­ner Ver­wal­tung  bes­ser um die Infor­ma­ti­ons­si­cher­heit bestellt ist. Gene­rell ist in man­gel­haft gesi­cher­ten Berei­chen meis­tens nur die Stär­ke des Ver­mark­tungs- /​ Sabo­tag­einter­es­ses poten­zi­el­ler Hacker das maß­geb­li­che Kri­te­ri­um der tat­säch­li­chen Informationssicherheit. 

Im Sep­tem­ber 2019 wur­de fest­ge­stellt, dass von Sys­te­men des Kam­mer­ge­richts mit Ser­vern ver­bun­den war, die für die Fern­steue­rung schäd­li­cher Soft­ware typisch sind. 7 Tage spä­ter erfolg­te eine Vor­ort­prü­fung durch den IT-Dienst­leis­ter T‑Systems, der Emo­tet-Infek­tio­nen in diver­sen Sys­tem­be­rei­chen fest­stell­te und wei­te­re 14 Tage spä­ter wur­de der mut­maß­li­che Erst­in­fek­ti­ons-PC unter­sucht. Ursprung des Angriffs, wie vie­le Daten abge­flos­sen sind und seit wann, konn­te nicht fest­ge­stellt wer­den. Lücken in der Ermitt­lung wur­den mit Zeit- und finan­zi­el­len Aspek­ten begrün­det. Die Schad­soft­ware könn­te über einen USB-Stick auf die Sys­te­me gelangt sein. Die Sicher­heits­rou­ti­nen des Kam­mer­ge­richts erkann­ten die Emo­tet-Infil­trie­rung nicht. Eine Seg­men­tie­rung des Netz­werks hat­te man nicht vor­ge­nom­men, sodass sich die Schad­soft­ware unge­hin­dert aus­brei­ten und über eine Fern­steue­rung Daten expor­tie­ren konn­te. Fer­ner hat­te man die Datei­grö­ße des Event­logs der­ge­stalt limi­tiert, dass die rele­van­ten Pha­sen der Ereig­nis­do­ku­men­ta­ti­on bereits über­schrie­ben waren, als mit den Unter­su­chun­gen begon­nen wur­de. Wie­der­holt wur­de auf die beson­de­re Raf­fi­nes­se des Hackings hin­ge­wie­sen und „Sicher­heits­krei­se“ ver­mu­ten hin­ter dem Angriff orga­ni­sier­te Kri­mi­na­li­tät unter Feder­füh­rung des Nach­rich­ten­diens­tes der rus­si­schen Regie­rung. Wenn James Bond das wüsste … 

Der Bericht über den Vor­fall und die Unter­su­chun­gen vom Sep­tem­ber 2019 wur­de auf den 23.12.2019 datiert und Ende Janu­ar 2020 der Ber­li­ner Daten­schutz­be­auf­trag­ten zeit­gleich mit der Ver­öf­fent­li­chung vor­ge­legt. Die­se war hier­über „not amu­sed“ und for­der­te, dass „aus­schließ­lich mit dienst­li­chen Gerä­ten über eine zen­tral zur Ver­fü­gung gestell­te und aus­rei­chend abge­si­cher­te Infra­struk­tur“ Daten­ver­ar­bei­tun­gen zu erfol­gen haben. 

Es ist abzu­war­ten, ob Kon­se­quen­zen aus dem Vor­fall gezo­gen und die Stan­dards der Infor­ma­ti­ons­si­cher­heit in den Ver­wal­tungs­ein­rich­tun­gen der Haupt­stadt einer pro­fes­sio­nel­len Prü­fung unter­zo­gen wer­den oder ob wei­ter­hin Sicher­heits­vor­fäl­le fest­ge­stellt /​ öffent­lich gemacht werden. 

Bereits 2017/​2018 waren Sys­te­me des Bun­des­tags gehackt wor­den, wodurch die per­sön­li­chen Twit­ter­da­ten hun­der­ter Poli­ti­ker, Schau­spie­ler und Fern­seh­mo­de­ra­to­ren erbeu­tet wurden. 

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler 

Bereits zum zwei­ten Mal inner­halb von 2 Jah­ren kam es zu einer Daten­pan­ne bei dem chi­ne­si­schen Smart­phone-Her­stel­ler One­Plus. Über einen nicht bekann­ten Zeit­raum hin­weg war der Zugriff auf Kun­den­da­ten für Unbe­fug­te mög­lich. Betrof­fen sei­en Stamm- und Kon­takt­da­ten der Käu­fer gewe­sen. Eine Benach­rich­ti­gung der betrof­fe­nen Per­so­nen sei erfolgt. 

2019-12 — Daten­pan­ne bei der Luft­hansa

Für Kun­den der Miles & More GmbH, Toch­ter der Luft­han­sa, war es auf Grund eines mut­maß­li­chen tech­ni­schen Pro­blems für 40 Minu­ten mög­lich, auf per­so­nen­be­zo­ge­nen Daten ande­rer ein­ge­logg­ter Nut­zer der Online-Platt­form zuzu­grei­fen. Laut Luft­han­sa sei­en höchs­tens die Daten von 9.885 Miles & More-Kun­den betrof­fen. Betrof­fe­ne Daten waren: Stamm‑, Kon­takt- Kun­den- und Transaktionsdaten. 

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung 

Über den Dienst „Find My Mobi­le“, womit Smart­phones über eine Platt­form des Her­stel­lers geor­tet wer­den, ver­sand­te Sam­sung an „einen klei­nen Kreis“ von Nut­zern eine unver­ständ­li­che Nach­richt. Als sich die Betrof­fe­nen in ihrem Online-Kon­to bei Sam­sung ein­logg­ten, um Ihre Log­in-Daten zu ändern, erhiel­ten sie auf Grund eines Ser­ver­pro­blems Zugriff auf Daten ande­rer Nut­zer. Dies umfass­te Stamm- und Kon­takt­da­ten sowie die letz­ten 4 Zif­fern der Kre­dit­kar­ten waren sicht­bar. Bei Fest­stel­lung des Pro­blems wur­de der Log­in vor­über­ge­hend gesperrt. 

Fra­gen wirft aller­dings der Umstand auf, dass die Nach­richt auch von Nut­zern emp­fan­gen wur­de, die das Ortungs-Fea­ture deak­ti­viert hatten. 

Die­sen Monat wur­de fer­ner bekannt, dass eine Kon­takt­ver­fol­gungs-Funk­tio­na­li­tät bereits Mit­te Mai als ver­bind­li­ches Update von iPho­nes, iPads ab iOS 13 und Android-Gerä­ten ab Ver­si­on 6 instal­liert wird. Im Fall von Apple vor­aus­sicht­lich als gän­gi­ges Firm­ware-Update, bei Android vor­aus­sicht­lich als Update der Goog­le Play Services. 

Mit Instal­la­ti­on die­ser Funk­ti­on und Erlaub­nis von Apple /​ Goog­le wird es Behör­den künf­tig mög­lich sein, Daten aus den Kon­takt­pro­fi­len der Tablet- und Han­dy­nut­zer auszuwerten. 

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin 

Durch Mit­tei­lung der Ber­li­ner Daten­schutz­be­auf­trag­ten wur­de Ende März 2020 eine gra­vie­ren­de Daten­pan­ne der IBB bekannt. Bei der Ver­ar­bei­tung der 150.000 ein­ge­gan­ge­nen Anträ­ge auf Coro­na-Unter­stüt­zung trat ein Pro­gram­mier­feh­ler auf, durch den Antrag­stel­lern per­so­nen­be­zo­ge­ne /​ Ergeb­nis­da­ten ande­rer Antrag­stel­ler ange­zeigt wur­den. Betrof­fen waren Ausweis‑, Bank‑, Steu­er- und Unternehmensdaten. 

Bei Fest­stel­lung der Daten­pan­ne wur­de das Antrags­ver­fah­ren bis zur Besei­ti­gung des Pro­gram­mier­feh­lers pausiert. 

Unnö­ti­ge Panik wegen des EuGH “Planet49” Urteils zu Coo­kies vom 01.10.2019

Grund­lo­se Panik zu Coo­kies durch das EuGH Urteil zu Planet49

Seit der Urteils­ver­kün­dung des EuGH am 01.10.2019 hat man das Gefühl, die Medi­en über­schla­gen sich mit auf­merk­sam­keits­er­ha­schen­den Eil­mel­dun­gen und Head­lines. Lei­der — und das im Kon­text der DSGVO nicht zum ers­ten Mal — mit Falsch­dar­stel­lun­gen und Aus­sa­gen, die der EuGH so gar nicht getä­tigt hat. Da das The­ma Coo­kies auch immer wie­der Gegen­stand von Anfra­gen Ihrer­seits an uns ist, ein paar Infor­ma­tio­nen zu den eigent­li­chen Inhal­ten des Urteils.

Aus­gangs­la­ge — Bun­des­ver­band der Ver­brau­cher­zen­tra­len klagt wegen einer bereits vor­ausge­wähl­ten Check­box für Coo­kies im Kon­text Werbung

Die Planet49 GmbH führ­te ein Gewinn­spiel zu Wer­be­ze­cken durch. Dem Besu­cher wur­den hier­bei die übli­chen Ein­wil­li­gun­gen bzw. Zustim­mun­gen in Form von zwei Check­bo­xen vor dem dann fol­gen­den Teil­neh­men-But­ton ange­zeigt. Bei der Check­box Num­mer 1 han­del­te es sich um eine Ein­wil­li­gung in Post- und Tele­fon­wer­bung der Koope­ra­ti­ons­part­ner und Spon­so­ren des Gewinn­spiels. Die­se Check­box war nicht ange­kreuzt, der Teil­neh­mer muss­te die Check­box also selbst akti­vie­ren, sofern er die Ein­wil­li­gung ertei­len woll­te. Im Fall der zwei­ten Check­box war die­se bereits ange­kreuzt und ent­hielt fol­gen­den Text im Wortlaut:

„Ich bin ein­ver­stan­den, dass der Web­ana­ly­se­dienst Rem­in­trex bei mir ein­ge­setzt wird. Das hat zur Fol­ge, dass der Gewinn­spiel­ver­an­stal­ter nach Regis­trie­rung für das Gewinn­spiel Coo­kies setzt, wel­ches Planet49 eine Aus­wer­tung mei­nes Surf- und Nut­zungs­ver­hal­tens auf Web­sites von Wer­be­part­nern und damit inter­es­sen­ge­rich­te­te Wer­bung durch Rem­in­trex ermög­licht. Die Coo­kies kann ich jeder­zeit wie­der löschen. Lesen Sie Nähe­res hier.“

Der Bun­des­ver­band der Ver­brau­cher­zen­tra­len war nun — wenig ver­wun­der­lich — der Ansicht, die bereits ange­kreuz­te Check­box Num­mer 2 ver­stößt durch die bereits vor­ein­ge­stell­te Akti­vie­rung gegen das  Gesetz gegen unlau­te­ren Wett­be­werb, kurz UWG. Man mahn­te den Sach­ver­halt fol­ge­rich­tig ab. Der nun fol­gen­de Rechts­streit ging bis zum BGH. Die­ser brach­te für die Bewer­tung die EU-Daten­schutz­richt­li­nie für elek­tro­ni­sche Kom­mu­ni­ka­ti­on ins Spiel und rief daher den EuGH zur Beur­tei­lung an.

So weit, so gut: Der geneig­te Leser weiß seit lan­gem, dass vor­an­ge­kreuz­te Ein­wil­li­gun­gen bereits die for­ma­len Anfor­de­run­gen an eine Ein­wil­li­gung nicht erfül­len und damit hin­fäl­lig sind. Den Umweg hät­te man sich daher spa­ren kön­nen. Aber gut.

Was kon­kret frag­te der BGH den EuGH im Zuge des Planet49-Vorgangs?

Der BGH woll­te vom EuGH meh­re­re Fra­gen beant­wor­tet haben. Ob Coo­kies nun gene­rell alle zustim­mungs­pflich­tig sind, war expli­zit nicht Gegen­stand der Anfra­ge. Wis­sen woll­te man sei­tens des BGH, ob

  1. eine sol­che bereits ange­kreuz­te Check­box, wel­ches der­ar­ti­ge Coo­kies setzt, eine nach den vor­ge­nann­ten Rechts­grund­la­gen „wirk­sa­me Ein­wil­li­gung“ darstellt,
  2. ob es einen Unter­schied macht, ob der Coo­kie „per­so­nen­be­zo­ge­ne Daten“ ver­ar­bei­tet oder nicht,
  3. ob die vor­lie­gen­de Ein­wil­li­gung nach DSGVO wirk­sam wäre und
  4. wel­che Infor­ma­tio­nen für eine wirk­sa­me Ein­wil­li­gung kon­kret zu ertei­len sind.

Und jetzt schau­en wir mal auf das gest­ri­ge Urteil.

Was hat der EuGH zu Coo­kies denn nun ent­schie­den? Ein­wil­li­gung zwin­gend notwendig?

Glaubt man dem media­len Hype, dann sind seit dem 01.10.2019 Coo­kies nur noch mit Ein­wil­li­gung mög­lich. Wie heißt es so schön: Wer lesen kann, ist klar im Vor­teil. Genau das hat der EuGH eben nicht entschieden.

Der EuGH wenig über­ra­schend dahin­ge­hend geant­wor­tet, dass eine bereits akti­vier­te Check­box weder nach altem noch nach neu­em Daten­schutz­recht eine wirk­sa­me Ein­wil­li­gung dar­stellt. Nix Neu­es! Des­wei­te­ren hat der EuGH klar­ge­stellt, dass sich im Sin­ne der og. Richt­li­nie kein Unter­schied zwi­schen Coo­kies mit und ohne per­so­nen­be­zo­ge­ne ergibt. Die Richt­li­nie selbst spricht hier rein von “Infor­ma­tio­nen”, nicht von per­so­nen­be­zo­ge­nen Daten. Auch nicht wirk­lich über­ra­schend bzw. abseh­bar. Im Hin­blick auf die not­wen­di­ge “infor­mier­te Ein­wil­li­gung” stell­te der EuGH u.a. auf die Anga­ben aus den Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO ab. Was Wunder!

Das EuGH-Urteil hat nur klar­ge­stellt, was zu Coo­kies und Ein­wil­li­gun­gen eh schon lan­ge bekannt war

  1. Eine Ein­wil­li­gung ist stets ein Opt in, kein Opt out!
  2. Die Infor­ma­ti­ons­pflich­ten nach Art. 12, 13 DSGVO sind durch den Web­sei­ten­be­trei­ber auch für Coo­kies einzuhalten!
  3. Ein­wil­li­gun­gen sind auch für Coo­kies ein­zu­ho­len unter Ver­weis auf die EU-Richt­li­nie für elek­tri­sche Kommunikation!

Und damit ende­te das Urteil.

Also jetzt doch Ein­wil­li­gun­gen für alle Coo­kies, oder?

Der EuGH hat auf die besag­te EU-Daten­schutz­richt­li­nie für elek­tro­ni­sche Kom­mu­ni­ka­ti­on abge­stellt. In Art. 5 Abs. 3 die­ser Richt­li­nie heißt es:

“Die Mit­glied­staa­ten stel­len sicher, dass die Speiche­rung von Infor­ma­tio­nen oder der Zugriff auf Infor­ma­tio­nen, die bereits im End­ge­rät eines Teil­neh­mers oder Nut­zers gespei­chert sind, nur gestat­tet ist, wenn der betref­fen­de Teil­nehmer oder Nut­zer auf der Grund­la­ge von kla­ren und umfas­sen­den Infor­ma­tio­nen, die er gemäß der Richt­li­nie 95/​46/​EG* u. a. über die Zwe­cke der Ver­ar­bei­tung erhält, sei­ne Ein­wil­li­gung gege­ben hat. Dies steht einer tech­ni­schen Spei­cherung oder dem Zugang nicht ent­ge­gen, wenn der allei­ni­ge Zweck die Durch­füh­rung der Über­tra­gung einer Nach­richt über ein elek­tro­ni­sches Kom­mu­ni­ka­ti­ons­netz ist oder wenn dies unbe­dingt erfor­der­lich ist, damit der Anbie­ter eines Diens­tes der Infor­ma­ti­ons­ge­sell­schaft, der vom Teil­neh­mer oder Nut­zer aus­drück­lich gewünscht wur­de, die­sen Dienst zur Ver­fü­gung stel­len kann.”

Ent­schei­dend ist hier Satz 2. Denn das heißt nichts ande­res, als das zum Bei­spiel tech­nisch erfor­der­li­che Spei­che­run­gen von Infor­ma­tio­nen ( wie eben Coo­kies) ohne Ein­wil­li­gung gesetzt wer­den kön­nen, über den Ein­satz aber aus­rei­chend zu infor­mie­ren ist. Tech­nisch für den Betrieb der Sei­te nicht erfor­der­li­che Coo­kies wie Web­track­ing durch bzw. über Drit­te, Wer­bung etc. sind einwilligungspflichtig.

Die pau­scha­le Aus­sa­ge “Coo­kies nur noch mit Ein­wil­li­gung” ist daher falsch und ver­gif­tet erneut die Dis­kus­si­on um das The­ma Daten­schutz. Sicher mag die Wer­be­indus­trie über ein sol­ches Urteil flu­chen. Soll sie doch. Einer­seits Mil­lio­nen und Mil­li­ar­den mit der Erhe­bung und Nut­zung und Wei­ter­ga­be von per­so­nen­be­zo­ge­nen Daten ver­die­nen, aber zum Schutz der Pri­vat­sphä­re der ana­ly­sier­ten Nut­zer nichts bei­tra­gen wol­len — selt­sa­mes Geschäfts­mo­dell. Dabei hat der EuGH jetzt nur noch mal fest­ge­schrie­ben, was eh schon gegol­ten hat (aber nicht immer ein­ge­hal­ten wurde).

Kurz­form des Urteils des EuGH zum Umgang mit Cookies

  • Kei­ne Ein­wil­li­gung, aber aus­rei­chen­de Infor­ma­ti­on über tech­ni­sche, für den Betrieb der Web­sei­te zwin­gend not­wen­di­ge Cookies.
  • Ein­wil­li­gung und aus­führ­li­che Infor­ma­ti­on für alle ande­ren Cookies.

Die­se Posi­ti­on haben unse­re Auf­sichts­be­hör­den übri­gens bereits in der DSK Ori­en­tie­rungs­hil­fe für Anbie­ter von Tele­me­di­en nach­voll­zieh­bar erläutert.

Gute beschrie­be­ne Infor­ma­tio­nen zum The­ma fin­den Sie beim Lan­des­be­auf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Württemberg:

Unsi­cher­hei­ten im Umgang mit Coo­kies kön­nen Sie übri­gens auch mit Ihrem Daten­schutz­be­auf­trag­ten klä­ren. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten und auch sonst kei­ne bera­ten­de Unter­stüt­zung zum The­ma Daten­schutz? Dann spre­chen Sie uns doch ein­fach unver­bind­lich an.

Abmah­nung für den Ein­satz von Goog­le Analytics

Goog­le Ana­ly­tics als Web­track­ing- und Ana­ly­se-Tool ist bei Web­mas­tern recht beliebt. Eine aus Daten­schutz­sicht bean­stan­dungs­freie Umset­zung ist seit gerau­mer Zeit mög­lich. Dabei gilt es jedoch, eini­ges zu beach­ten. Wer sich dar­um nicht küm­mert, kann zukünf­tig vom Wett­be­werb dazu mit recht­li­chen Mit­teln — im Zwei­fel mit­tels Abmah­nung — gezwun­gen werden.

In einer einst­wei­li­gen Ver­fü­gung des Land­ge­richts Ham­burg vom 10.03.2016 mit dem Akten­zei­chen 312 O 127/​16 unter­sagt das Gericht dem Betrei­ber einer Web­sei­te den Ein­satz von Goog­le Ana­ly­tics auf­grund feh­len­der Hin­wei­se auf den Ein­satz, bei­spiel­wei­se im Rah­men der Daten­schutz­er­klä­rung. Das Land­ge­richt Ham­burg droht dem Web­sei­ten­be­trei­ber für den Fall der Zuwi­der­hand­lung gegen die­se Anord­nung ein Ord­nungs­geld von bis zu 250.000 Euro an (als Ersatz Ord­nungs­haft bis zu 6 Monaten).

Nicht ein­deu­tig geklärt ist bis­her, ob § 13 Absatz 1 Satz 1 Tele­me­di­en­ge­setz (TMG) Grund­la­ge für eine Abmah­nung sein kann. Das Ober­lan­des­ge­richt (OLG) Mün­chen hat 2012 die­sen Sach­ver­halt ver­neint. Dem ent­ge­gen hat das OLG Ham­burg in 2013 die Abmahn­fä­hig­keit bestätigt.

Wer dem­nach zur Zeit Abmah­nung und wei­te­res Unge­mach wegen des Ein­sat­zes von Goog­le Ana­ly­tics ver­mei­den will, tut gut dar­an, die Emp­feh­lun­gen aus 2011 für die Ein­füh­rung und Nut­zung von Goog­le Ana­ly­tics als Web­track­ing- und Ana­ly­se-Tool umzusetzen:

  1. Abschluss einer Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG. Eine gemein­sam erar­bei­te­te Vor­la­ge samt Anlei­tung fin­den Sie unter www​.goog​le​.com/​a​n​a​l​y​t​i​c​s​/​t​e​r​m​s​/​d​e​.​pdf oder Sie suchen bei goog​le​.de nach „ana­ly­tics +tos.pdf“.
  2. Detail­lier­te For­mu­lie­rung der Nut­zung in der Daten­schutz­er­klä­rung Ihrer Web­sei­te zusam­men mit dem Hin­weis auf die Wider­spruchs­mög­lich­keit durch das Goog­le Tool „gaop­t­aut“ inkl. Down­load­link.
  3. Akti­vie­rung der anony­mi­zeIP-Funk­ti­on (Ach­tung: hier­für ist ein geson­der­ter Track­ing-Code notwendig!)
  4. Löschen ALLER bis­her zu Unrecht erho­be­nen Daten

Viel Erfolg beim daten­schutz­kon­for­men Ein­satz von Goog­le Ana­ly­tics. Wer es unkom­pli­zier­ter mag, setzt auf das Open Source Tool PIWIK, wie in unse­rem Blog­bei­trag beschrieben.

Safe Har­bor 2.0 — Wunsch oder Wirklichkeit

Was ist mit Safe Har­bor 1.0 passiert?

Am 06.10.2015 hat für eini­ge der größ­te Durch­bruch der letz­ten Jahr­zehn­te im Daten­schutz statt­ge­fun­den und für ande­re end­lich die lang­jäh­ri­ge bewuß­te Selbst­täu­schung ein Ende gefun­den. Die Rede ist vom soge­nann­ten Safe Har­bor Urteil des Euro­päi­schen Gerichts­hofs. Voll­kom­men zu Recht hat der EuGH die­ses Zuläs­sig­keits­ver­fah­ren für Daten­über­mitt­lun­gen in die USA in Fra­ge gestellt und am Ende für nich­tig erklärt. Wer sich mit den Hin­ter­grün­den befasst hat, ist davon wenig überrascht.
Was jedoch in der Pra­xis in den ers­ten Wochen der Unsi­cher­heit nach die­sem Urteil nun statt­fand, war teil­wei­se purer markt­schreie­ri­scher Aktio­nis­mus gepaart mit einer gehö­ri­gen Por­ti­on Weltfremdheit.

06.10.2015 Das Safe Har­bor Urteil des Euro­päi­schen Gerichtshofs

Jede Daten­über­mitt­lung benö­tigt eine recht­li­che Grund­la­ge zur Zuläs­sig­keit. Dies schrei­ben unse­re deut­schen und euro­päi­schen Daten­schutz­ge­set­ze so vor. Zur ver­ein­fach­ten Legi­ti­ma­ti­on von Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in die USA durch euro­päi­sche Unter­neh­men wur­de vor 15 Jah­ren (also auch lan­ge vor dem NSA Skan­dal) Safe Har­bor ins Leben geru­fen. Der “siche­re Hafen” defi­nier­te Richt­li­ni­en zum Daten­schutz und zur Daten­si­cher­heit, unter denen die Über­mitt­lung per­so­nen­be­zo­ge­ne Daten in die USA als zuläs­sig ein­ge­stuft wur­de. Ame­ri­ka­ni­sche Anbie­ter konn­ten sich die­sen Richt­li­ni­en unter­wer­fen und an zen­tra­ler Stel­le dies doku­men­tie­ren las­sen. Eine Über­prü­fung, ob die gefor­der­ten Stan­dards wirk­lich in die Tat umge­setzt waren, fand nicht statt. Allei­ne schon des­we­gen stand die­ses Ver­fah­ren von Anfang an unter Beschuss sei­tens Ver­tre­tern des Datenschutzes.

Zusätz­lich bot Safe Har­bor kei­nen Schutz vor US-geheim­dienst­li­chen Zugrif­fen auf Daten deut­scher /​ euro­päi­scher Bür­ger, selbst wenn deren Daten in euro­päi­schen Rechen­zen­tren die­ser ame­ri­ka­ni­schen Unter­neh­men gespei­chert waren.

Die­sem Umstand trug der EuGH in sei­nem Urteil vom 06.10.2015 Rech­nung und hat Safe Har­bor für unzu­läs­sig erklärt. In der Urteils­be­grün­dung wur­de wei­ter­hin die Auto­no­mie der Daten­schutz­be­hör­den der Mit­glieds­län­der in die­ser Sache bekräf­tigt. Und ab hier wird es bunt …

Die Bun­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­si­cher­heit spricht von einem “Mei­len­stein für den Daten­schutz”.

Das ULD pos­tu­lier­te “Das ULD wird prü­fen, ob Anord­nun­gen gegen­über nicht­öf­fent­li­chen Stel­len getrof­fen wer­den müs­sen, auf deren Basis Daten­über­mitt­lun­gen in die USA aus­ge­setzt oder ver­bo­ten wer­den müs­sen.” 

Recht blau­äu­gig reagiert hin­ge­gen die EU Kom­mis­si­on, die für das bis­he­ri­ge Safe Har­bor Ver­fah­ren ver­ant­wort­lich zeich­net. Das Urteil wird als “Wei­ter so” betrach­tet, in Form von  Neu­ver­hand­lun­gen zu Safe Har­bor. Bis die­se nicht abge­schlos­sen sind, wäre kein Grund zum Han­deln laut der Kommission.

Doch es gibt auch Erfreu­li­ches zu berichten

Die Arti­kel 29 Grup­pe (der Zusam­men­schluss der EU Daten­schutz­be­auf­trag­ten) zeigt hier etwas mehr Augen­maß. Sie sieht die Not­wen­dig­keit einer gemein­sa­mem Linie in der wei­te­ren Vor­ge­hens­wei­se. Bis dahin sol­len zumin­dest die EU stan­dard clau­ses für Rechts­si­cher­heit bei den Unter­neh­men auf bei­den Sei­ten des Atlan­tiks sor­gen. Die­se wur­den vom EuGH nicht für unzu­läs­sig erklärt, obwohl sich die Kri­tik an Safe Har­bor auch auf die clau­ses anwen­den lässt.

Vera Jou­ro­va, EU-Kom­mis­sa­rin für Jus­tiz, Ver­brau­cher­schutz und Gleich­stel­lung, äußer­te sich vor kur­zem in einer öster­rei­chi­schen Tages­zei­tung zuver­sicht­lich, ein neu­es Safe Har­bor Abkom­men mit den USA schon bald abschlie­ßen zu kön­nen. Bei dem Nach­fol­ger von Safe Har­bor dürf­te es sich tat­säch­lich um ein Abkom­men han­deln, nicht um eine ein­sei­ti­ge Ent­schei­dung der Kom­mis­si­on (mit einer der Kri­tik­punk­te an der frü­he­ren Regelung).

„Idea­ler­wei­se soll­ten wir uns über alle Streit­fra­gen bis Mit­te Jän­ner 2016 eini­gen“, so Vera Jour­ava im Inter­view. Das mag opti­mis­tisch klin­gen, aber der Druck auf bei­den Sei­ten des Atlan­tiks ist enorm. Unter­neh­men in den USA und ihre Ver­trags­part­ner auf Sei­ten der EU müs­sen sich plötz­lich mit den EU-Stan­dard­ver­trags­klau­seln beschäf­ti­gen. Und auch die­se stel­len schlimms­ten­falls nur eine Inte­rims­lö­sung dar.

Bis hier­über Klar­heit herrscht, soll­ten bis­he­ri­ge Ver­ein­ba­run­gen zur Daten­über­mitt­lung, die sich aus­schließ­lich auf Safe Har­bor bezie­hen, auf die EU-Stan­dard­ver­trags­klau­seln umge­stellt wer­den. Die Erfah­run­gen der letz­ten Wochen zei­gen, dass ame­ri­ka­ni­sche Anbie­ter hier kon­struk­tiv mit­ar­bei­ten und die Umstel­lung unter­stüt­zen. Ende Janu­ar 2016 wird man sehen, was die Zukunft bringt. Die Zeit soll­te man jedoch nicht unge­nutzt ver­strei­chen las­sen. Denn recht­lich sind unse­re deut­schen Lan­des­da­ten­schutz­be­hör­den durch­aus in der Lage, den “Ste­cker zu zie­hen”.

Micro­soft führt zur Zeit einen Mus­ter­pro­zess in den USA (2nd U.S. Cir­cuit Court of Appeals, No. 14–2985). Das Unter­neh­men will die Her­aus­ga­be von per­so­nen­be­zo­ge­nen Daten an US-Behör­den ver­hin­dern, die auf euro­päi­schen Ser­vern gespei­chert sind. Geht die­ses Urteil zuguns­ten von Micro­soft aus, wäre das ein wirk­li­cher Pau­ken­schlag. Im ande­ren Fall wird eine gan­ze Bran­che mit Gigan­ten wie Micro­soft, Apple, Goog­le, Face­book & Co. schwer zu kämp­fen haben. Das Wall Street Jour­nal berich­tet noch am Tag des Urteils über die Bemü­hun­gen ame­ri­ka­ni­scher Unter­neh­men, die per­so­nen­be­zo­ge­nen Daten euro­päi­scher und deut­scher Bür­ger dem Zugriff der US-Behör­den zu entziehen.

Was kön­nen Sie tun?

Trotz der Panik­ma­che sei­tens der deut­schen Lan­des­da­ten­schutz­be­hör­den hilft purer Aktio­nis­mus nicht wei­ter. Auch wenn sich deut­sche und euro­päi­sche Anbie­ter nun die Hän­de rei­ben, sie müs­sen sich an Leis­tung und Preis der trans­at­lan­ti­schen Kon­kur­renz mes­sen las­sen. Und selbst den Daten­schutz­be­hör­den soll­te klar sein, dass die Migra­ti­on eines lang­jäh­rig genutz­ten CRM Sys­tems oder ande­rer ele­men­ta­rer Bau­stei­ne nicht auf Knopf­druck erfol­gen kann, selbst wenn ein alter­na­ti­ver Anbie­ter gefun­den wurde.

  1. Umschau­en scha­det nicht: Ob und wie eine Ersatz­re­ge­lung für Safe Har­bor gefun­den wer­den kann, steht zur Zeit in den Ster­nen. Wer also per­so­nen­be­zo­ge­ne Daten zu US-ame­ri­ka­ni­schen Anbie­tern über­trägt und /​ oder deren Ser­vices nutzt, soll­te zumin­dest den euro­päi­schen und deut­schen Markt nach geeig­ne­ten mög­li­chen Alter­na­ti­ven sondieren.
  2. Aus­wei­chen auf die EU stan­dard clau­ses: Noch sind die­se nicht per Urteil außer Kraft gesetzt und kön­nen daher bis auf wei­te­res aus Sicht der Art.29-Gruppe als Legi­ti­ma­ti­ons­er­satz die­nen. Gera­de Nut­zer der Micro­soft Cloud­ser­vices haben es hier rela­tiv ein­fach, hat das Unter­neh­men doch mit sei­nen Rege­lun­gen den Segen der Art.29-Gruppe erhal­ten. Die Doku­men­te für die Micro­soft Ser­vices fin­den Sie hier.
  3. Ein­wil­li­gung der Betrof­fe­nen statt ver­trag­li­cher Rege­lun­gen mit den US-Unter­neh­men: Hier schei­den sich die Geis­ter. Wäh­rend bei­spiels­wei­se der ehe­ma­li­ge Bun­des­da­ten­schutz­be­auf­trag­te Peter Schaar als einer von vie­len eine sau­ber für die­sen Zweck for­mu­lier­te und ein­ge­hol­te Ein­wil­li­gung samt aus­führ­li­cher Infor­ma­ti­on über die Risi­ken der Daten­über­mitt­lung in die USA oder an US-Unter­neh­men für zuläs­sig hält, sehen das eini­ge Lan­des­da­ten­schutz­be­auf­trag­te anders. In deren Augen kann die Ein­wil­li­gung — als eigent­lich stärks­tes Zuläs­sig­keits­in­stru­ment — dies nicht leisten.
  4. Küh­len Kopf bewah­ren: Bei aller Panik­ma­che sei­tens der Schutz­be­hör­den soll­te das The­ma nun ruhig und kon­zen­triert ange­gan­gen wer­den. Bei­de Sei­ten des Atlan­tiks sind hier auf­ein­an­der ange­wie­sen, gera­de auch wirt­schaft­lich. Gan­ze Bran­chen kön­nen hier nicht wech­sel­sei­tig auf­ein­an­der ver­zich­ten. Von daher steht zu erwar­ten, dass auf bei­den Sei­ten Bewe­gung in die Sache kom­men. Eine Garan­tie gibt es hier­für jedoch kei­ne. Daher gilt wie­der Punkt 1 Umschau­en scha­det nicht” 🙂
Die mobile Version verlassen