Archiv der Kategorie: Datenschutzrecht

Gastbeitrag: Nochmal Datenschutzrecht und Cookies!


Und wieder erreicht die Kanzlei eine Information unseres Kooperationspartners im Datenschutzrechts, dem Institut für Datenschutzrecht, konkret Herrn Sascha Weller, die für alle unsere Mandanten von hoher Wichtigkeit ist. Diese Mitteilung schließt an Beiträge aus Anfang Oktober und Mitte November 2019 an:

„Sowohl der Bundesbeauftragte für den Datenschutz, wie auch diverse Datenschutzaufsichtsbehörden der Länder haben nochmals darauf hingewiesen, dass im Falle der Einbindung von Dritt-Diensten, deren Anbieter personenbezogene Daten auch für eigene Zwecke nutzen, auf Websites eine Einwilligung der Nutzer eingeholt werden muss. Anderenfalls ist der Einsatz dieser Dienste, zu denen beispielsweise auch Google Analytics zählt, unzulässig.

Die Websites sollten daher auf Dritt-Inhalte und Tracking-Mechanismen überprüft werden. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss diese entweder einholen oder die Funktion entfernen. Eine Einwilligung ist nur dann wirksam, wenn die Nutzer der Datenverarbeitung eindeutig und informiert zustimmen. Die Aufsichtsbehörden weisen abermals darauf hin, dass ein Cookie Banner, welches beispielsweise davon ausgeht, dass reines Weitersurfen auf der Website oder Ähnliches eine Einwilligung bedeutet, unzureichend ist. Dasselbe gilt, wenn die Einwilligung durch ein bereits aktiviertes Kästchen vorgegeben bzw. durch Entfernen des Häkchens widerrufen werden soll (Opt-out). Vielmehr muss der Nutzer das Kästchen selbst aktiv anklicken (Opt-in).

Diese Hinweise ergingen, nachdem seit dem Urteil des Europäischen Gerichtshofs vom 1. Oktober 2019 vermehrt Beschwerden und Hinweise hinsichtlich dieser Thematik bei den Aufsichtsbehörden eingingen. Die Aufsichtsbehörden erklärten in diesem Zusammenhang auch, zukünftig schneller entsprechende Kontrollverfahren einzuleiten und etwaige Verstöße zu ahnden.

Sascha Weller
IDR Weller – Institut für Datenschutzrecht

Michael Hill
Rechtsanwalt | Partner

Gastbeitrag: Millionenbußgeld im Datenschutzrecht verhängt!


Unser Kooperationspartner, das Institut für Datenschutzrecht GmbH, hier wieder konkret, Herr Rechtsanwalt Sascha Weller, führt heute zu einem Millionenbußgeld aus, welches in Berlin gegen eine Immobiliengesellschaft verhängt wurde. Derartige Risiken sind aber auch in der Energiewirtschaft denkbar:

„Möglicherweise haben Sie bereits aus den Medien erfahren, dass die Berliner Beauftragte für Datenschutz und Informationsfreiheit am 30. Oktober 2019 ein Bußgeld in Höhe von rund EUR 14,5 Mio. wegen Verstößen gegen die DSGVO gegen die Immobiliengesellschaft Deutsche Wohnen SE erlassen hat. Dieses Bußgeld übertrifft den bisherigen deutschen Höchstwert von rund EUR 200.000 gegen Delivery Hero Germany bei weitem und gehört zu den höchsten bisher in Europa wegen Datenschutzverstößen verhängten Bußgeldern.

Hintergrund

Von der Berliner Datenschutzbeauftragten wurde festgestellt, dass das Unternehmen personenbezogene Daten von Mietern in einem Archivsystem gespeichert hat, bei dem nicht mehr erforderliche Daten nicht gelöscht wurden. Gemäß Art. 5 DSGVO dürfen Unternehmen personenbezogene Daten nur so lange speichern und verarbeiten, wie sie für den Zweck, für den sie erhoben wurden, erforderlich sind. Zudem müssen Unternehmen, die personenbezogene Daten verarbeiten, laut Art. 25 DSGVO durch Technikgestaltung und datenschutzfreundliche Voreinstellungen dafür sorgen, dass Datenschutzgrundsätze wirksam umgesetzt werden. Dies war bei der Deutsche Wohnen SE nicht gewährleistet.

Fazit und Handlungsempfehlung

Die befürchteten Millionenbußgelder sind nun auch in Deutschland angekommen. Nach der Verhängung des Rekordbußgeldes gegen die Deutsche Wohnen SE drängt sich die Frage auf, ob noch weitere Unternehmen in ähnlicher Weise von den Datenschutzbehörden ins Visier genommen werden. Diese Frage ist ganz klar zu bejahen. Dies insbesondere auch vor dem Hintergrund, dass die Datenschutzaufsichtsbehörden erst vor wenigen Wochen ein neues Modell zur Berechnung von Bußgeldern veröffentlicht haben.

Die Entscheidung der Berliner Datenschutzbeauftragten zeigt auch, dass es nicht erst zu Datenpannen oder Datenmissbrauch kommen muss, um ein schmerzhaftes Bußgeld zu verhängen. Unternehmen sollten das Bußgeldverfahren gegen die Deutsche Wohnen SE zum Anlass nehmen, den eigenen Status hinsichtlich der Umsetzung der DSGVO zu hinterfragen, zu überprüfen und weiter zu optimieren. Das Bußgeld zeigt eindeutig, dass die Datenschutzbeauftragten der Länder mittlerweile auch von den hohen Bußgeldmöglichkeiten der DSGVO Gebrauch machen und – wie bereits vergangenes Jahr angekündigt – im Bereich von aktiven Prüfungen des Datenschutzes in Unternehmen immer aktiver werden.

Sascha Weller
IDR Weller – Institut für Datenschutzrecht

Michael Hill
Rechtsanwalt | Partner

Gastbeitrag: EuGH entscheidet zu Cookies!!


Unser Kooperationspartner, das Institut für Datenschutzrecht GmbH, hier konkret, Herr Rechtsanwalt Sascha Weller, führt heute zum Urteil des EuGH vom 01.10.2019 zur Cookie Einwilligung auf Webseiten aus:

„Der Europäische Gerichtshof (EuGH) hat am gestrigen Dienstag im Rahmen einer Klage gegen den Gewinnspielanbieter Planet 49 entschieden, dass Cookies grundsätzlich nur mit Einwilligung der Nutzer eingesetzt werden dürfen. Die bis dato eingesetzten Banner mit Texten wie beispielsweise „Wir nutzen Cookies – wenn Sie unsere Website weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung automatisch einverstanden“ sind daher nicht mehr ausreichend. Vielmehr müssen die Nutzer die Einwilligung ab sofort aktiv und ohne jeden Zweifel erteilen. Zudem sind die Nutzer über die eingesetzten Anbieter, die Arten und Funktionsweisen sowie die Speicherdauer der Cookies zu informieren.

Das Impressum und die Datenschutzerklärung sollten ohne Beschränkung durch ein Cookie-Banner erreichbar sein.

Mit diesem Urteil ist der EuGH der ePrivacy- Verordnung zuvorgekommen. In dieser soll unter anderem auch geregelt werden, dass nicht nur die Verarbeitung personenbezogener, sondern auch anonymer Cookies einer Einwilligung bedarf.

Ich empfehle daher dringend, dass schnellstmöglich eine sogenannten „Cookie-Weiche“ auf der Homepage integriert und die Einwilligung ausdrücklich per Klick, am besten auf eine Schaltfläche oder eine Checkbox, eingeholt wird. Nicht zulässig ist laut dem EuGH eine Opt-Out-Lösung, in deren Fall die Cookies bereits beim Betreten der Website aktiv sind und die Nutzer diese erst deaktivieren müssen.“

Sascha Weller, Institut für Datenschutzrecht

Michael Hill
Rechtsanwalt | Partner