vzbv: Privatsphäre muss es auch in der digitalen Kommunikation geben

Die Bundesregierung hat in der heutigen Sitzung des EU-Ministerrats ihre Positionierung gegenüber der ePrivacy-Verordnung vorgestellt. Die Verhandlungen im EU-Rat können damit voranschreiten, so dass das Gesetz noch vor der EU-Parlamentswahl im Frühjahr 2019 beschlossen werden könnte. Klaus Müller, Vorstand des vzbv, fordert eine verbraucherfreundliche und starke Regulierung der digitalen Kommunikation:

„Der vzbv begrüßt, dass sich die Bundesregierung endlich auf eine Position zur ePrivacy-Verordnung festgelegt hat. Positiv ist, dass es Telekommunikationsdiensten nur mit Einwilligung oder zu statistischen Zwecken erlaubt werden soll, Kommunikationsmetadaten, wie beispielsweise Standortdaten zu verarbeiten. Dabei müssten sie geeignete Schutzmaßnahmen treffen und die Datenschutzgrundverordnung beachten. Dies ist ein annehmbarer Kompromiss.

Cookies und ähnliche Technologien, mit denen Unternehmen das Verhalten und die Interessen von Verbrauchern online auswerten, sollen ebenfalls nur mit deren Einverständnis oder zu eng definierten Zwecken eingesetzt werden dürften. Für Surfer ist das ein Fortschritt.

Die Bundesregierung möchte Anbietern jedoch erlauben, die Nutzung ihrer Angebote von einer solchen Einwilligung abhängig zu machen. Das ist nicht akzeptabel. Damit unterläuft sie die Datenschutzgrundverordnung und spielt großen Unternehmen wie Google und Facebook in die Hände. Denn den Konzernen würde es aufgrund ihrer Marktmacht leichter als kleineren Anbietern fallen, ihren Nutzern eine solche Einwilligung abzuringen. Bedauerlich ist außerdem, dass sich die Bundesregierung nicht für datenschutzfreundliche Voreinstellungen von Webbrowsern einsetzt.“

Faktenblatt des vzbv

DS-GVO: Das neue Gesetz wird uns noch lange beschäftigen

Mit dem Start der Datenschutz-Grundverordnung heute am Freitag, 25. Mai beginnt in Europa eine neue Zeitrechnung für den Datenschutz. Doch in einigen Punkten fehlt Unternehmen, Selbständigen und auch den Aufsichtsbehörden noch Rechtssicherheit. „Die neuen Regeln werden uns noch lange über den 25. Mai hinaus beschäftigen“, sagt BvD-Vorstand Thomas Spaeing.

Rechtsunklarheit besteht unter anderem beim Beschäftigtendatenschutz und in der Abstimmung mit der ePrivacy-Verordnung, die aller Voraussicht erst Ende 2019 an die DS-GVO angepasst wird. Ein vielfach diskutiertes Thema ist auch der Medienbruch bei den Informationspflichten, z. B. bei der Videoüberwachung oder auch der einfachen Kontaktaufnahme im Geschäftsleben.

Die Hoffnung besteht, dass die Aufsichtsbehörden mit dem Start der DS-GVO zunächst „mit Augenmaß“ Unternehmen bei der Umsetzung der Richtlinien begleiten werden. „Auch die Aufsichtsbehörden wissen um die vielen Fragen, die noch ungeklärt sind“, sagte Spaeing. „Deshalb sollten Unternehmen sie nicht als Gegner, sondern als Partner verstehen“. Wichtig sei allerdings, dass die Unternehmen auch die Bereitschaft zeigten, das neue Regelwerk umzusetzen.

BayLDA: DSB-Meldung noch nicht am Start

Nach Art. 37 Abs. 7 DS-GVO hat ein Verantwortlicher oder ein Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten (DSB) nicht nur zu veröffentlichen, sondern auch der Aufsichtsbehörde mitzuteilen. Das BayLDA entwickelt derzeit einen neuen Online-Service, der es Verantwortlichen ermöglicht, die hierzu erforderlichen DSB-Meldungen für den nicht-öffentlichen Bereich in Bayern einfach und bequem online durchzuführen. Dieses befindet sich in der finalen Testphase, wird aber wohl erst (kurz) nach dem 25.05.2018 verfügbar sein.

Aus diesem Grund und weil den Verantwortlichen ausreichend Zeit zur Meldung eingeräumet werden soll, verlängert das BayLDA die Meldefrist bis zum 31. August 2018. Bis zu diesem Termin wird das BayLDA dann selbstverständlich eine noch nicht erfolgte Meldung nicht bemängeln und auch diesbezüglich kein Ordnungswidrigkeitsverfahren einleiten.

Von einer Meldung in Papierform ist abzusehen, da diese dem BayLDA unnötigen bürokratischen Aufwand verursacht – die vorhandenen Kapazitäten sollen stattdessen lieber wie bisher in die Bereitstellung von Informationen verwendet werden.

BSI: Phishing – Augen auf bei E-Mails zur DSGVO

Zurzeit kursieren viele Mails, in denen Unternehmen neue Nutzungsbedingungen vorstellen und darum bitten, diese zu bestätigen. Hintergrund ist das Inkrafttreten der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) zum 25. Mai 2018. Leider nutzen Betrüger dies auch, um mit gefälschten Mails Personen zu schädigen. Sie versenden unter anderem im Namen von Online-Shops wie Amazon, eBay und Paypal wie auch von namhaften Banken Phishing-E-Mails, in denen sie auf um die Eingabe von sensiblen Informationen bitten. Es sind sogar schon Fälle aufgetreten, in denen Opfer dazu gebracht wurden, Ausweise einzuscannen und an den Absender zu versenden. Eine solche Vorgehensweise würden seriöse Unternehmen niemals anwenden. Deshalb sollten Sie solche E-Mails immer direkt löschen.

Um sich vor Phishing-Betrügern zu schützen, überprüfen Sie Ihre E-Mails am besten immer kritisch hinsichtlich Absender, Inhalt und Links. Worauf Sie dabei konkret achten sollten, hat das BSI für Bürger zusammengestellt.

Zur Meldung der Verbraucherzentrale.NRW: Betrüger missbrauchen die DSGVO für Phishing-Mails.

BvD News: Aktuelle Infos zur Mitteilungspflicht des Datenschutzbeauftragten nach Art 37 Abs. 7 DS-GVO

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat bezüglich dieses Themas recheriert und die aktuelle Siluation bei den einzelnen Landesbehörden zusammengestellt. Der Link zum Artikel.

Stellungnahme der GDD zum TMG: Tracking nach der Datenschutz-Grundverordnung in Grenzen erlaubt

Zulässigkeit des Tracking nach der Datenschutz-Grundverordnung – die GDD bezieht Stellung zur Position der Datenschutzkonferenz

Am 26. April 2018 hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ihre Position zur Anwendbarkeit des Telemediengesetzes (TMG) als nationales Gesetz neben der Datenschutz-Grundverordnung (DS-GVO) veröffentlicht. Nach Auffassung der DSK stellt der 4. Abschnitt des TMG keine Umsetzung der ePrivacy-Richtlinie dar und genießt deswegen keinen Anwendungsvorrang als spezialgesetzliche Regelung für die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste auf Grundlage des Art. 95 DS-GVO. Die GDD stimmt mit der DSK überein, dass für die Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen ab dem 25.05.2018 ausschließlich die DS-GVO einschlägig ist. Folglich kommen als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien Art. 6 Abs. 1, insbesondere lit. a, b und f DS-GVO in Betracht.

Technisch notwendige Verarbeitungen für die Bereitstellung eines Dienstes sind unstrittig nach Art. 6 Abs. 1 lit. b oder f DS-GVO zulässig. Divergenz besteht hingegen hinsichtlich der Rechtsgrundlage beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Der Auffassung der DSK nach ist das Tracking von Nutzern wie z.B. durch Analysetools wie Google Analytics oder durch Werbetracker nur noch durch eine explizite Einwilligung des Nutzers legitimiert, auch wenn es lediglich in pseudonymisierter Form erfolgt. Werbung stellt jedoch nach der DS-GVO grundsätzlich ein berechtigtes Interesse im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO dar, das dem Regelungsverständnis der DS-GVO nach jedenfalls grundsätzlich nicht von einer Einwilligung abhängig ist. Wenn nach ErwG. 47 DS-GVO die Direktwerbung ein berechtigtes Interesse des werbenden Unternehmens sein kann, muss in der Konsequenz auch das Tracking von Nutzerverhalten als weniger stark in das Persönlichkeitsrecht eingreifende Maßnahme grundsätzlich zulässig sein. Danach dürften Cookies im Rahmen der Werbung, die keine sensiblen Daten betreffen und nicht auf Personenbezug schließen lassen (wie sie derzeit nach § 15 Abs. 3 TMG gestattet sind), ein berechtigtes Interesse der datenverarbeitenden Unternehmen darstellen. Die Anzeige etwaiger zielgerichteter Werbung ist in der Regel transparent für die betroffene Person. Insofern bestehen gerade bei pseudonymer Nutzung der personenbezogenen Daten der betroffenen Person für die Zwecke des Online-Marketings und der Online-Werbung keine Bedenken, im Rahmen des Art. 6 Abs. 1 lit. f DS-GVO die Abwägung zu Gunsten des Verantwortlichen zuzulassen. Entscheidend für die Zulässigkeit nach Art. 6 Abs. 1 lit. f DS-GVO ist, welche Ziele bei der Datenverarbeitung verfolgt werden. Sofern Daten in Verbindung mit Personendaten von Nutzern gebracht werden oder Daten über ein umfassendes Werbenetzwerk hinweg erhoben werden, lässt sich die Beeinträchtigung des Betroffenen als erheblich qualifizieren. Die beim Online-Tracking webseiten- und sogar geräteübergreifend erstellten Nutzungsprofile sind nicht derart schwerwiegend, dass sie „die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“. Durch die Pseudonymisierung wird den schutzwürdigen Interessen der Nutzer Rechnung getragen.

Link zur GDD

Die Kommentierung dieser Thematik von Schwartmann/Klein finden Sie im Heidelberger Kommentar der DS-GVO/BDSG ab Rn. 138 ff. frei abrufbar unter: https://mediendb.cfmueller.de/cfmueller/texte/leseprobe/9783811447127_leseprobe_02.pdf#page=3.

DS-GVO: wie hoch ist das Abmahnrisiko?

Machen wir uns nichts vor, die Angst vor hohen Bußgeldern und Abmahnwellen sind der Hauptantrieb für Unternehmen, sich mit der DS-GVO zu beschäftigen. Bei allem Elan dürfte es für viele dennoch schwierig werden, alle Anforderungen fristgemäß zu erfüllen. Was also tun, wenn ab dem 25. Mai tatsächlich Post von den einschlägig bekannten Kanzleien ins Haus geflattert kommt?

Ansprüche aus dem Wettbewerbsrecht sind umstritten

Die Frage, ob die Konkurrenz einen Anspruch auf Unterlassen auf Grund von Vorschriften aus der Datenschutz-Grundverordnung (DS-GVO) haben, richtet sich nach dem Wettbewerbsrecht, ist hoch umstritten und keinesfalls richterlich geklärt. Zu den einzelnen rechtlichen Fragestellungen hat die Kanzlei Löffel Abrar einen hervorragenden Blogbeitrag geschrieben.

Bevor Sie also in einem Anflug von Panik eine Unterlassungserklärung unterschreiben und die Anwaltskosten der gegnerischen Seite sowie Schadensersatz leisten, sollten Sie sich folgende Überlegungen vor Augen führen:

a. Die DS-GVO ist juristisches Neuland
Wir befinden uns auf neuem Rechtsgebiet. Egal wie selbstsicher die Abmahnungen klingen mögen, seien sie sich bewusst, dass die Gegenseite nur behauptet einen Anspruch zu haben. Ob dieser Anspruch wirklich besteht, müssen ein oder mehrere Gerichte entscheiden. Genauso wie Sie überlegen müssen, ob Sie die Unterlassungserklärung abgeben, muss die Gegenseite entscheiden, ob sie den Fall wirklich vor Gericht bringen will. Im schlimmsten bzw. besten Fall entscheiden nämlich die Gerichte, dass es keine wettbewerbsrechtlichen Ansprüche auf Grund von DS-GVO-Verstößen gibt und dann ist das ganze schöne neue Geschäftsmodell der Abmahnkanzleien zum Teufel. Sie können sich also sicher sein, dass die Gegenseite mindestens genauso viel zu verlieren hat wie Sie. Denken Sie auch daran, dass Richter in den meisten Fällen auch Menschen sind und denkbar ungehalten werden können, wenn Sie das Gefühl bekommen, dass die Gerichte für unlautere Ansprüche instrumentalisiert werden sollen. Wenn Sie zu der Überzeugung gelangen, dass die Ansprüche der Gegenseite definitiv ungerechtfertigt sind, ließe sich sogar über eine Gegenabmahnung nachdenken.

b. Bewahren Sie Ruhe
Wichtig ist vor allem: bewahren sie Ruhe. Diese Devise sollte im Übrigen bei allen DSGVO-bedingten Umsetzungsmaßnahmen gelten.

c. Kontaktieren Sie einen Anwalt
Um einen letzten Ratschlag im Falle einer Abmahnung kommen wir allerdings trotzdem nicht herum: Reden Sie mit einem Anwalt. Möglichst einen mit Expertise im Wettbewerbs- und Datenschutzrecht. Denn ob ein Anspruch gerechtfertigt oder ungerechtfertigt ist, kann eben am besten doch ein Rechtsanwalt entscheiden.

Das TMG ist nach dem 25.05.2018 nicht mehr anwendbar!

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat am 26. April 2018 ihre Position zum TMG ab dem 25.05.2018 festgelegt. Das Papier ist hier abrufbar. Kaum überraschen dürfte es, dass die Aufsichtsbehörden zu dem Ergebnis kommen, dass die Datenschutzbestimmungen des Telemediengesetzes (§§ 11 ff TMG) durch die DS-GVO verdrängt werden. Die Veröffentlichung einer klaren Position der deutschen Datenschutz-Aufsichtsbehörden ist erfreulich, da hiermit ein „zitierfähiges“ Papier vorliegt.

Die Folgen der Positionsbestimmung der Aufsichtsbehörden wird in der Praxis aber erst auf den zweiten Blick erkennbar. Für Betreiber von Internetdiensten bedeutet dies:

  • die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, können ab dem 25.Mai 2018 nicht mehr angewendet werden.
  • als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien kommt folglich nur Artikel 6 Absatz 1 DSGVO , insbesondere die Einwilligung (Buchstabe a), die Vertragsanbahnung oder -erfüllung (Buchstabe b) und das berechtigte Interesse (Buchstabe f) in Betracht. Darüber hinaus sind die allgemeinen Grundsätze aus Artikel 5 Absatz 1 DSGVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“, „Zweckbindung“, „Datenminimierung“, „Richtigkeit“, „Speicherbegrenzung“ und „Integrität und Vertraulichkeit“), sowie die besonderen Vorgaben z. B. aus Artikel 25 Absatz 2 DSGVO („Datenschutz durch durch datenschutzfreundliche
    Voreinstellungen“) einzuhalten.
  • auch § 15 Abs. 3 TMG, welche die Erstellung von Online-Nutzungsprofilen regelt („… für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile …“), greift nicht mehr

Die Schlußfolgerung der Aufsichtsbehörden: es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

Die Aussagen der DSK bedeuten konkret, dass für eine Nutzung von Cookies – sofern diese nicht für die reine Funktionalität der Website erforderlich sind (das dürfen dann aber nur Session-Cookies sein) – eine ausdrückliche, informierte und freiwillige Einwilligung erforderlich ist, die den Anforderungen des Art. 7 DSGVO erfüllt! Dies dürfte wesentliche Auswirkungen auf die Gestaltung (fast) aller Websites haben.

BvD: Tipps und Links für kleine Organisationen

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. unterstützt kleine Organisationen wie Vereine und Stiftungen, sich zum 25. Mai 2018 auf die Anforderungen der neuen Datenschutz-Grundverordnung (DS-GVO) rechtskonform vorzubereiten.

Manche Vereine blicken mit Schrecken auf die neuen Regeln, obwohl  die Anforderungen für kleinere Organisationen meist nicht neu und mit nur wenig Aufwand schnell umzusetzen sind. Freiwillige Feuerwehren, lokale Sport-Vereine oder Landfrauenverbände benötigten in der Regel keinen Datenschutzbeauftragten. Für Datenerhebungen über eine Internetseite, bei Kommentaren oder für Newsletter, bieten die meisten Dienstleister mittlerweile vorgefertigte Verträge an.

Im BvD-Blog erschien bereits ein Beitrag https://www.bvdnet.de/handreichungen-fuer-kleine-unternehmen-und-vereine/ zu Mustervorlagen speziell für Vereine, Stiftungen, Handwerksbetriebe und Selbstständige. Daneben bieten die Datenschutz-Aufsichtsbehörden der Länder Orientierungshilfen, Muster-Verzeichnisse der Verarbeitungsübersichten und Checklisten speziell für kleine Unternehmen und Organisationen an.

Unter anderen stellt das Bayerische Landesamt für Datenschutz speziell für Vereine unter https://www.lda.bayern.de/de/kleine-unternehmen.html ein Muster mit den wesentlichen Anforderungen der DS-GVO und mit Links auf alle Einzelanforderungen zur Verfügung.

Der Landesbeauftragte für den Datenschutz in Baden-Württemberg, Stefan Brink, gibt unter https://www.baden-wuerttemberg.datenschutz.de/schuetzenhilfe-fuer-vereine-lfdi-stellt-eine-orientierungshilfe-fuer-vereine-unter-der-datenschutz-grundverordnung-zur-verfuegung/ Orientierungshilfen für Verein.

Im Themenbereich der Internetseite www.zdh.de informiert der Zentralverband des Deutschen Handwerks darüber, wann die DS-GVO überhaupt für Handwerker zutrifft und welche Schritte dann notwendig sind.

Daten in der Cloud: 1,5 Milliarden Dokumente frei zugänglich

Im Internet sind rund 1,5 Milliarden Dokumente mit sensiblen Informationen aufgrund von falsch konfigurierten Servern und Cloud-Diensten frei zugänglich. Dazu gehören Gehaltsabrechnungen, Steuerbescheide, aber auch medizinische Daten, wie auf ZDNet zu lesen ist. Demnach ist es jedem mit geringen technischen Kenntnissen möglich, auf die sensiblen Daten zuzugreifen. Neben Informationen von privaten Anwenderinnen und Anwendern lassen sich auch Patente einfach abgreifen.

„Die hohe Anzahl und Sensibilität der öffentlich zugänglichen Daten ist erschreckend. Der Bericht zeigt erneut, wie sorglos manche Dienstleister mit sensiblen Daten ihrer Kunden umgehen“, betonte BSI-Präsident, Arne Schönbohm. „Unternehmen, die mit sensiblen Daten agieren, müssen ihrer Verantwortung zum Schutz dieser Daten endlich gerecht werden. Anbieter von Online-Dienstleistungen wie Cloud- oder Server-Dienstleistungen müssen es ihren Kunden durch entsprechende Vorkonfigurationen noch einfacher machen, die grundlegenden Sicherheitsprinzipien einzuhalten. Wir stehen erst am Anfang der Digitalisierung und müssen begreifen, dass Informationssicherheit die Voraussetzung für ihr Gelingen ist.“ Allen Anwenderinnen und Anwendern wird empfohlen, die IT-Sicherheit bei der Nutzung von Cloud-Diensten auch selbst im Blick zu behalten.

Zur BSI Meldung: Sicherheitsforscher finden 1,5 Milliarden sensible Daten

Zur Meldung auf ZDNet: Falsch konfigurierte Server und Cloud-Dienste geben 1,5 Milliarden vertrauliche Daten preis