Archiv der Kategorie: Datenschutzrecht

Gastbeitrag: Millionenbußgeld wegen unzulässiger Datennutzung verhängt!


Heute wieder ein aktueller Gastbeitrag unserer Kooperationskanzlei zum Datenschutzrecht, das Institut für Datenschutzrecht:

Vor wenigen Tagen wurde durch den Landesbeauftragten für Datenschutz in Baden-Württemberg das erste Millionenbußgeld wegen eines Datenschutzverstoßes in Süddeutschland verhängt. Die Krankenkasse AOK wurde insoweit mit einem Bußgeld in Höhe von 1,24 Mio. EUR belegt. Hintergrund ist, dass die AOK personenbezogene Daten aus einem Gewinnspiel zu Werbezwecken verwendet hatte, von denen jedoch ca. 500 Personen diese Verwendung nicht autorisiert hatten. Es handelt sich dabei um das höchste Bußgeld, das bis dato im Süden Deutschlands wegen eines Fehlers beim Datenschutz verhängt wurde.

Allgemein ist festzustellen, dass die Aufsichtsbehörden ihre Ankündigung dahingehend, auch nicht „datengetriebene“ Unternehmen stärker in den Fokus zu nehmen, offensichtlich umsetzen.

Sofern auch in Ihrem Unternehmen derartige, kritische Prozesse vorhanden sind, sollte insbesondere das Einwilligungs- und Widerspruchsmanagement nochmals kritisch durchleuchtet werden. Hierbei ist natürlich auch insbesondere auf die sorgfältige Auswahl von Auftragsverarbeitern zu achten. Sollte Anlass dazu bestehen, dass einer der eingesetzten Dienstleister mit personenbezogenen Daten nicht sorgfältig umgeht, müssen diesbezüglich umgehend klare Maßnahmen ergriffen werden.

Abschließend gehe ich davon aus, dass die Aufsichtsbehörden zukünftig Unternehmen, deren Kerntätigkeit gerade nicht in der Verarbeitung von Daten liegt, noch stärker in den Fokus nehmen werden.

Rückfragen wie immer jederzeit sehr gerne!

Sascha Weller, Geschäftsführer des Instituts für Datenschutzrecht Weller

Bitte beachten Sie daher umso mehr die Anforderungen aus der DSGVO, gerade (auch) bei der Durchführung von Gewinnspielen.

Michael Hill
Rechtsanwalt | Partner

Datenschutzrecht-Gastbeitrag: Und wieder Cookies! Der BGH entschied (ein bisschen)


Heute wieder ein Gastbeitrag von Sascha Weller, Geschäftsführer des Instituts für Datenschutzrecht:

Am gestrigen Donnerstag hat nun auch das höchste deutsche Zivilgericht, der BGH, für Deutschland entschieden, dass Cookies in der Regel einer Einwilligung des Nutzers bedürfen. Nachdem der EuGH diese Frage vergangenes Jahr bereits bejaht hatte, wurde diese Rechtsprechung nun auch konkret für Deutschland bestätigt.

Der BGH wies in seiner Entscheidung ausdrücklich darauf hin, dass die bis dato häufig verwendeten Einwilligungsbanner nicht ausreichend sind. Auch die reine Weiternutzung einer Website stellt keine klare und zweifelsfreie Einwilligung für den zulässigen Einsatz von Cookies dar. Cookies dürfen daher erst nach einer ausdrücklichen und informierten Einwilligung auf den Geräten der Nutzer verarbeitet werden, es sei denn, sie sind unbedingt erforderlich oder – was nicht zweifelsfrei aus der Entscheidung ersichtlich ist – sie dienen nicht der Werbung und Marktforschung.

Der Einsatz unbedingt erforderlicher Cookies bedarf keiner Einwilligung der Nutzer. Die Meinungen, welche Cookies jedoch unbedingt erforderlich sind, gehen leider weit auseinander. Als hinreichend sicher können die folgenden Cookies als erforderlich betrachtet werden:

Warenkorb-Cookies eines Shops

Sprachauswahl

– Cookies, die eine Cookie-Einwilligung speichern

– Cookies, die dem Load Balancing dienen.

Empfehlung:

Bei allen übrigen Cookies (Komfortfunktionen, Webanalyse, Marketing, etc.) empfehle ich dringend die Einholung einer Einwilligung mithilfe eines entsprechenden Cookie-Consent-Tools.

In der Cookie-Box sollte bestenfalls eine Schaltfläche „Ablehnen“ oder „Nur notwendige Cookies akzeptieren“ vorhanden sein. Vorausgewählt dürfen allenfalls die unbedingt erforderlichen Cookies sein. Zudem muss den Nutzern ersichtlich sein, wo sie die Einstellungen ändern und Detailinformationen (Identität der Dienstleister, die die Cookies verarbeiten; Art und Funktionsweise; Lebensdauer) zum jeweiligen Cookie erhalten können. Bitte vergessen Sie im Übrigen auch nicht, die Datenschutzerklärung um eine Passage hinsichtlich des eingesetzten Cookie-Consent-Tools zu ergänzen.

Fazit:

Leider beantwortet das Urteil des BGH nicht sämtliche Fragen. Dies insbesondere hinsichtlich der für Nutzer kaum schädlichen Reichweitenmessung/Webanalyse. Es wird daher bedauerlicherweise auch zukünftig so sein, dass dieses Thema  zwischen den Unternehmen und Websitebetreiber einerseits und den Datenschutzaufsichtsbehörden andererseits weiterhin umstritten sein wird. Angesichts der Menge der Einwilligungen, die man bereits heute auf den Websites schlichtweg gedankenlos „wegklickt“, um endlich auf die Seite zu kommen, erscheint mir persönlich eine gesetzliche Regelung weitaus sinnvoller, als die Flut der klickbedürftigen Einwilligungen. Es bleibt diesbezüglich jedoch abzuwarten, ob der deutsche Gesetzgeber hier ansetzt und entsprechende Anpassungen vornimmt.

Ich werde Sie diesbezüglich auf jeden Fall auf dem Laufenden halten und wünsche Ihnen ein angenehmes und erholsames Pfingstwochenende!

Sascha Weller, Geschäftsführer Institut für Datenschutzrecht – Weller

Gastbeitrag: Nochmal Datenschutzrecht und Cookies!


Und wieder erreicht die Kanzlei eine Information unseres Kooperationspartners im Datenschutzrechts, dem Institut für Datenschutzrecht, konkret Herrn Sascha Weller, die für alle unsere Mandanten von hoher Wichtigkeit ist. Diese Mitteilung schließt an Beiträge aus Anfang Oktober und Mitte November 2019 an:

„Sowohl der Bundesbeauftragte für den Datenschutz, wie auch diverse Datenschutzaufsichtsbehörden der Länder haben nochmals darauf hingewiesen, dass im Falle der Einbindung von Dritt-Diensten, deren Anbieter personenbezogene Daten auch für eigene Zwecke nutzen, auf Websites eine Einwilligung der Nutzer eingeholt werden muss. Anderenfalls ist der Einsatz dieser Dienste, zu denen beispielsweise auch Google Analytics zählt, unzulässig.

Die Websites sollten daher auf Dritt-Inhalte und Tracking-Mechanismen überprüft werden. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss diese entweder einholen oder die Funktion entfernen. Eine Einwilligung ist nur dann wirksam, wenn die Nutzer der Datenverarbeitung eindeutig und informiert zustimmen. Die Aufsichtsbehörden weisen abermals darauf hin, dass ein Cookie Banner, welches beispielsweise davon ausgeht, dass reines Weitersurfen auf der Website oder Ähnliches eine Einwilligung bedeutet, unzureichend ist. Dasselbe gilt, wenn die Einwilligung durch ein bereits aktiviertes Kästchen vorgegeben bzw. durch Entfernen des Häkchens widerrufen werden soll (Opt-out). Vielmehr muss der Nutzer das Kästchen selbst aktiv anklicken (Opt-in).

Diese Hinweise ergingen, nachdem seit dem Urteil des Europäischen Gerichtshofs vom 1. Oktober 2019 vermehrt Beschwerden und Hinweise hinsichtlich dieser Thematik bei den Aufsichtsbehörden eingingen. Die Aufsichtsbehörden erklärten in diesem Zusammenhang auch, zukünftig schneller entsprechende Kontrollverfahren einzuleiten und etwaige Verstöße zu ahnden.

Sascha Weller
IDR Weller – Institut für Datenschutzrecht

Michael Hill
Rechtsanwalt | Partner