Mitglied im Bundesverband der Datenschutzbeauftragten (BvD) e. V.
Mitglied in der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD)

Koppenhöfer & Werner Beratungsgesellschaft

Datenschutz
Externe Datenschutzbeauftragte für Ihr Unternehmen.

Softwareentwicklung
StartUp-Unterstützung, Projektbegleitung, Unterstützung bei Engpässen und Großprojekten.

IT-Beratung
Projektmanagement. Organisationsberatung. Prozessberatung.

Erfolgreich seit mehr als 25 Jahren.

Cookie-Urteil des EuGH

Fotolia 88615486 Hammer transparent
Der EuGH urteilt: Cookies nur mit Einwilligung

Eine Voreinstellung für das Einsetzen von Cookies auf einer Webseite ist nach einem Urteil des Europäischen Gerichtshofs (EuGH) nicht zulässig.
Das bedeutet, Webseitenbetreiber müssen nachbessern.

Der Bundesgerichtshof hat beim EuGH um sog. Rechtshilfe gebeten. Der EuGH hat geurteilt und somit voreingestellte Cookies für unzulässig erklärt.
Der Bundesgerichtshof wird jetzt auf der Basis des EuGH-Urteils ein anschließendes Urteil zum konkreten Fall fällen, hier werden keine Überraschungen erwartet, deshalb sollten jetzt die Anforderungen umgesetzt werden.

Das Urteil stellt klar, dass der bisherige deutsche Sonderweg in Sachen Cookies nicht weiter Bestand hat. Gem. § 15 Abs. 3 TMG war bislang die Erfassung pseudonymisierter oder anonymisierter Profile für Werbezwecke erlaubt sofern der Benutzer nicht widerspricht. Dies hatte zur Folge, dass die Erlaubnis voreingestellt sein durfte (sog. Opt-Out).
Laut EU-Richtlinie RL 2009/136/EG bedarf es jedoch eine Einwilligung für das Setzen von Cookies.

Die Betreiber der Webseiten müssen nun sicherstellen, dass beim erstmaligen Besuch der Webseite vor dem Setzen der Cookies die Einwilligung eingeholt wird.
Die Einwilligung muss freiwillig, informiert und ausdrücklich erfolgen. Hierbei ist eine aktive Handlung des Benutzers notwendig, eine Opt-Out-Lösung mit vorbelegten Erlaubnis-Häkchen stellt keine wirksame Einwilligungserklärung dar und ist somit unzulässig. Es darf kein Zwang zum Setzen der Cookies bestehen, dies würde gegen das sog. Kopplungsverbot verstoßen. Ebenso muss eine Aufklärung über die Verwendung der Cookies und der damit verbundenen Datenerhebung erfolgen. Aus der Datenschutzerklärung muss die Grundlage, auf der die Verwendung der Cookies basiert, hervorgehen.

Eine Ausnahme bilden Cookies, die für den Betrieb der Seite notwendig sind:
  • Session-Cookies, die die Einstellungen des Nutzers speichern
  • Cookies, die für die Wiedergabe von Medieninhalten erforderlich sind
  • Cookies, die für den rechtssicheren Betrieb eines Consent-Tools (Cookie-Banner) erforderlich sind

Auf jeden Fall ohne aktiv erteilte Einwilligung unzulässig sind folgende Cookies:

  • Analyse-Tools wie beispielsweise Google Analytics
  • Social Media Plugins für Facebook, Instagram etc.
  • Marketing-Tools 

Für eine rechtskonforme Umsetzung der Anforderungen stehen sog. Consent-Tools zur Verfügung, die die entsprechenden Einwilligungen vor Setzen der Cookies einholen. Diese müssen auf den Webseiten integriert werden.

Quellen:

EuGH - Rechtssache C‑673/17

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
24.10.2019
Download als PDF

Berliner Datenschutzbeauftragte verhängt knapp 200.000 € Bußgeld

Fotolia 88043924 gelb 200
Die Berliner Datenschutzbeauftragte verhängt ein empfindliches Bußgeld gegen einen Lieferdienst
Laut einer Pressemeldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit Maja Smoltczyk hat Ihre Behörde ein Bußgeld in Höhe von 195.407 Euro inkl. Gebühren gegen die Delivery Hero Germany GmbH erlassen. Die Entscheidung sei rechtskräftig.

Das Bußgeld ergeht für mehrere Einzelverstöße gegen das Datenschutzrecht.
Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten.
Das Unternehmen hatte in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen teilweise seit mehr als 10 Jahren nicht mehr auf der Plattform aktiv gewesen waren. Einige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert. Ein Geschädigter, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt trotzdem 15 Werbe-E-Mails. In mehreren Fällen erteilte das Unternehmen gegenüber den betroffenen Personen die geforderten Auskünfte nicht oder erst, nachdem die Behörde eingeschritten war.

Das Datenschutzrecht sichert die Durchsetzung des Rechts auf informationelle Selbstbestimmung, ein Grundrecht, das sowohl im Grundgesetz als auch in der Grundrechtecharta der EU (Artikel 8) verankert ist. Das Recht auf informationelle Selbstbestimmung wurde in Deutschland 1983 vom Bundesverfassungsgericht im sogenannten Volkszählungsurteil (BVerfG, 1 BvR 209/83 vom 15.12.1983) als Grundrecht anerkannt.

Das Bußgeld zeigt wie wichtig die ordentliche Gewährung von Betroffenenrechten durch die Verantwortlichen (datenverarbeitenden Stellen) ist. Hierzu müssen entsprechende Prozesse existieren und die zuständigen Personen (Mitarbeiter) entsprechend geschult sein. In Zukunft werden sicherlich noch weitaus höhere Bußgelder wegen Nichtgewährung von Betroffenenrechten verhängt werden.

Die Berliner Datenschutzbeauftragte Maja Smoltczyk:
„Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DS-GVO wirkt dem entgegen. Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft..."

Quellen:
Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 19.09.2019
Bundesverfassungsgericht (BVerfG), Urteil des Ersten Senats vom 15. Dezember 1983 - 1 BvR 209/83 -
Charta der Grundrechte der Europäischen Union (HTML-Version in allen Amtssprachen der EU)

Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
19.09.2019

2. DSAnpUG-EU veröffentlicht

Fotolia 55916403 hemdparagraph 200
Heute wurde das „Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (U) 2016 / 679 und zur Umsetzung der Richtlinie (EU) 2016 / 680" (2. DSAnpUG-EU) sowie das „Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 um Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679" (DSUmsAG) im Bundesgesetzblatt Teil I Nr. 41 veröffentlicht.

Dieses Gesetz ändert das Bundesdatenschutzgesetz (BDSG) sowie bereichsspezifische Regelungen in weiteren 153 anderen Gesetzen. Siehe auch unser Blogbeitrag vom 21.09.2019.

Die Änderungen des BDSG treten somit morgen, am 26. November 2019 in Kraft.

Die wichtigste Änderung im BDSG für Unternehmen ist die Änderung des § 38 Abs. 1 UA 1, hier wird die Grenze für die in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen, die zur Pflicht zur Benennung einer oder eines Datenschutzbeauftragten führt, von 10 auf 20 angehoben.

Wie in unserem Blogbeitrag vom 21.09.2019 bereits erwähnt, ist diese Änderung stark umstritten, erweckt sie doch den Eindruck, die datenschutzrechtlichen Erfüllungsanforderungen an die verarbeitenden Stellen werden geringer.

Kleinen Unternehmen, Vereinen etc. wird dringend empfohlen, nicht auf fachkompetente Unterstützung zu verzichten, auch deshalb weil die Bußgeldpraxis der Aufsichtsbehörden gerade für kleine Unternehmen eine echte Bedrohung sein könnte. Siehe auch unser Blogbeitrag zum Bußgeld der Berliner Datenschutzbeauftragten gegen die Delivery Hero Germany GmbH.

Quellen:
Deutscher Bundestag: Textarchiv 2019/Anpassung des Datenschutzrechts
Deutscher Bundestag: Drucksache 19/4674
Bundesrat: Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richt-linie (EU) 2016/680
Bundesgesetzblatt Teil I Nr. 41
Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
25.11.2019
Download als PDF

Bundesrat stimmt Änderung des BDSG zu

Fotolia 77050028 Paragraph 200
Am 27. Juni 2019 hat der Deutsche Bundestag dem Zweiten Gesetz zur Anpassung des Datenschutzrechts an die EU-Verordnung 2016 / 679 und zur Umsetzung der EU-Richtlinie 2016 / 680 zugestimmt.
Am 20.09.2019 hat der Bundesrat dem Gesetzt ebenfalls zugestimmt. Somit wird nun das Gesetzt dem Bundespräsidenten zur Unterzeichnung vorgelegt. Es soll direkt nach Verkündung im Bundesgesetzblatt in Kraft treten.

Dieses Gesetz wird das Bundesdatenschutzgesetz sowie bereichsspezifische Regelungen in weiteren 153 anderen Gesetzen ändern. Es erfolgen inhaltliche Änderungen und Begriffskorrekturen und -apassungen.
Die für Unternehmen sicherlich wichtigste Änderung ist die Pflicht zur Benennung eines Datenschutzbeauftragten. Hier wird die Bedingung für die Benennungspflicht von 10 auf 20 Personen, die ständig mit personenbezogenen Daten umgehen, angehoben.

Diese Änderung ist stark umstritten, erweckt sie doch den Eindruck, die datenschutzrechtlichen Erfüllungsanforderungen an die verarbeitenden Stellen werden geringer. Es dürfte vielmehr der Fall sein, dass die Änderung dafür sorgt, das kleine Unternehmen versuchen ohne fachkompetente Unterstützung eines Datenschutzbeauftragten auszukommen und somit der Datenschutz geschwächt wird. Schließlich ändern sich die Erfüllungsanforderungen durch die Anpassung nicht.

Kleinen Unternehmen, Vereinen etc. wird dringend empfohlen, nicht auf fachkompetente Unterstützung zu verzichten, auch deshalb weil die Bußgeldpraxis der Aufsichtsbehörden gerade für kleine Unternehmen eine echte Bedrohung sein könnte. Siehe auch unser Blogbeitrag zum Bußgeld der Berliner Datenschutzbeauftragten gegen die Delivery Hero Germany GmbH.

Quellen:
Deutscher Bundestag: Textarchiv 2019/Anpassung des Datenschutzrechts
Deutscher Bundestag: Drucksache 19/4674
Bundesrat: Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richt-linie (EU) 2016/680
Bild: © Trueffelpix - Fotolia.com

Boris Koppenhöfer
21.09.2019