DSGVO

Datenschutz betrifft mich nicht! Oder doch?

Warum soll ich mich überhaupt als Privatperson für Datenschutz interessieren?

Der Datenschutz ist ein weites Feld. Was für Unternehmen häufig eine komplexe Aufgabe ist, um den hohen Bußgeldern zu entgehen, ist die Einstellung von Privatpersonen eine Frage der Gemütlichkeit.

Cookie-Banner erscheinen, ein Klick, alle Cookies sind akzeptiert und man kann ungestört weiter surfen. Deshalb die nicht unwichtige Frage, warum überhaupt Datenschutz als Privatperson?

“Berechtigte Frage”, könnte man denken. Schließlich spielt sich der Datenschutz in einer eigenen Blase ab. Diesem Irrtum unterliegen leider viele Leute.

Folgender Fall zeigt aber sehr schön, dass der Datenschutz Auswirkungen auf unseren Alltag haben und es sich dann vielleicht doch lohnen kann, diesen zu beachten. Ein Inkassounternehmen schickte einer Frau ein Schreiben wegen einer Forderung. Da die Forderung aus einem lange vergangenen Mietstreit stammte, wies die Frau die Forderung als unbegründet zurück. Viele Monate später kam es dann zu einer Sperrung ihrer Kreditkarte, sowie der Ablehnung einer Girokontoeröffnung. Das Inkassounternehmen hatte die Nichtzahlung der Forderung der Schufa gemeldet. Die Frau wandte sich mit einem Eilantrag an das Landgericht, welches das Inkassounternehmen verpflichtete, die Information der Nichtzahlung gegenüber der Schufa rückgängig zu machen.

Die einschlägige Rechtsgrundlage, in diesem Fall, Art. 6 Abs. 1 S. 1 lit. f DSGVO, wurde aber, im Hinblick der Interessenabwägung, zu wenig auf die Grundrechte und Grundfreiheiten der betroffenen Person geachtet.

Personen, welche einen negativen Eintrag haben, aber die Forderung bestreiten, müssen das Recht haben, sich rechtzeitig dagegen zur Wehr zu setzen, so die Kammer.

Der Fall zeigt ganz schön, dass Datenschutz starke Auswirkungen auf unseren Alltag haben kann. Gerade Daten bezüglich der Bonität sind häufig direkt mit Konsequenzen verknüpft.

Wer also den Datenschutz auf die leichte Schulter nimmt, sollte sich an den Fall erinnern und fragen, ob es sich nicht doch lohnt, ein wenig auf Datenschutz zu achten.

Q1: https://rsw.beck.de/aktuell/daily/meldung/detail/lg-frankenthal-datenschutz-schufa-eintrag-ist-bei-bestrittener-forderung-unzulaessig

Rechte der betroffenen Person

Es mag selten vorkommen, aber es besteht immer die Möglichkeit, dass die betroffenen Personen ihre Rechte geltend machen.

Mit unserer Unterstützung wird dein Unternehmen gut vorbereitet sein, wenn die Rechte der betroffenen Person geltend gemacht werden.

Kontakt aufnehmen

Auch schon abgemahnt worden?

Stolperfalle Google Fonts

Einige Monate sind ins Land gegangen seit dem Urteil des Landgerichts München vom 20.01.2022. Die gut informierten Datenschützer wissen wahrscheinlich schon Bescheid.

Anfang des Jahres hatte das Landgericht München entschieden, dass die Einbindung von Google Fonts über die Fonts API nicht datenschutzkonform ist.

Google Fonts ist, wie der Name schon vermuten lässt, ein Produkt des Google Konzern. Nutzer können auf ihrer Webseite Schriftarten verwenden und ändern, ohne dass diese dafür auf den eigenen Server hochgeladen werden müssen.

Und hier liegt auch die Problematik, welche das LG München damals untersuchte. Beim Aufrufen der Webseite werden Daten an den Google Server übermittelt und dieser steht nunmal in den Vereinigten Staaten von Amerika.

Das Urteil ist insoweit also wenig überraschend. Interessant ist jedoch, dass nun Monate später eine Welle von Abmahnungen über Deutschland rollt.

Die Lösung der Problematik liegt aber näher als man denkt. Denn Google Fonts kann auch heruntergeladen und dann auf der eigenen Webseite hochgeladen werden. Somit fällt die Übermittlung in die USA weg und Google Fonts sind datenschutzkonform eingebunden.

Für Webseitenbetreiber die Google Fonts nutzen, aber noch nicht auf den datenschutzkonformen Weg umgestiegen sind, ist es jetzt Zeit zu handeln, um den Abmahnungen und eventuellen Bußgeldern aus dem Weg zu gehen.

Q1: LG München , Urteil v. 20.01.2022 – 3 O 17493/20

Übermittlung in ein Drittland

Die Übermittlung in ein Drittland ist, nicht zuletzt durch das „Schrems-II“ Urteil des EuGH, kniffliger als viele denken.

Wir helfen ihnen sicherzustellen, dass die Datenübermittlung DSGVO-konform abläuft.

 

Kontakt aufnehmen

Engel links, Teufel rechts – Der DSB im Dilemma

Interessenkonflikt beim Datenschutzbeauftragten

 

Die Rolle des Datenschutzbeauftragten ist ein Kernpunkt im Datenschutz.

Es gibt interne und externe Datenschutzbeauftragte. Manche kommen aus der IT, andere hingegen aus der Juristerei.

Häufig wird die Rolle auch missverstanden, als derjenige, der sich um den Datenschutz kümmert. Eine Sache ist dabei aber immer essentiell wichtig: Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten übernehmen, aber diese dürfen nicht zu einem Interessenkonflikt führen.

Diese Anforderung stellt die DSGVO in Art. 38 Abs. 6 S. 2 klar auf. Diese Anforderung findet in der Praxis wenig Beachtung. Häufig sind Kompetenzen oder Motivation im Bereich entscheidender, um diese Rolle zu bekleiden. Übergeht man die Anforderung, kann das aber harte Konsequenzen nach sich ziehen.

Eine Tochtergesellschaft eines Berliner E-Commerce-Konzerns hatte einen Datenschutzbeauftragten benannt, der als Geschäftsführer von Dienstleistern, die wiederum auch Teil des Konzerns waren, tätig war.

Ein Bußgeld in Höhe von 525.000 € wurde verhängt. Dies ist allerdings noch nicht rechtskräftig.

Der Fall zeigt, dass man bei der Bestellung des DSB die Interessenlage zumindest mal prüfen sollte, bevor man handelt.

DSB

Mit unserer Unterstützung als externer Datenschutzbeauftragter machen wir das Unternehmen fit im Thema Datenschutz.

Kontakt aufnehmen

Cookie-Banner Chaos

Cookie-Banner sind lästig?

Cookie-Banner sind notwendig! In diesem Zwiespalt befindet man sich als datenschutzaffiner Internetnutzer oder Webseitenbetreiber aktuell.

Beim Öffnen einer Seite sind sie meistens als Erstes zu sehen. Manche sind kurz und knapp gestaltet. Andere hingegen sind kompliziert, lang und nur mit mehreren Klicks zu bewältigen.

Abhilfe sollte in der Vergangenheit eine Regelung des „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ (kurz TTDSG) schaffen, wodurch Consent-Management-Tools genutzt werden, um Cookies und Einwilligungen zu verwalten.

Leider führten diese Tools in der Praxis nicht zu dem gewünschten Erfolg, sodass sich nun das Bundesministerium für Digitales und Verkehr der Problematik angenommen hat. Neuerungen soll es in der inhaltlichen Gestaltung geben, wonach es den Unternehmen untersagt wird, durch Designtricks und Voreinstellungen den Nutzer zu beeinflussen.

Zudem soll die Masse an Bannern dadurch reduziert werden, dass generelle Einwilligungen in die Nutzung gegeben werden können. Da die Vorhaben aber bisher nicht offiziell geäußert wurden, bleibt abzuwarten in welcher konkreten Gestaltung diese präsentiert werden.

Das Spannungsverhältnis von Informiertheit der betroffenen Person und userfreundlicher Nutzung von Webseiten wird aber wohl weiterhin bestehen bleiben.

Cookie-Banner

Genau wie Cookies müssen Pixel über den Cookie-Banner eingebunden werden, um die betroffene Person zu informieren.

Wir helfen dir dabei, einen DSGVO-konformen Cookie-Banner zu erstellen.

Kontakt aufnehmen

Big Brother is watching you!

Europäische Tochterunternehmen von US-Cloud-Anbietern

In einem so neuen Rechtsgebiet, wie es das Datenschutzrecht ist, spielt die Rechtsprechung eine besonders wichtige Rolle. Immer wieder leiten Urteile eine neue Strömung ein oder sind so wegweisend, dass sich die Praxis neu einstellen muss. Im Datenschutz behandeln die angesprochenen Urteile meist die Rolle der USA.

Den meisten wird nun das Schrems-II Urteil in den Sinn kommen und beinahe hätten wir den nächsten Kracher erhalten. Am 13.07.2022 veröffentlichte die Vergabekammer Baden-Württemberg einen Beschluss, der den Anspruch im öffentlichen Vergabeverfahren für europäische Tochterunternehmen von US-amerikanischen Cloud-Anbietern verneinte. Grund für das Nichtbestehen des Anspruchs sei das Risiko von Zugriffen auf personenbezogene Daten durch US-Behörden. Folglich wären Anbieter wie Amazon Web Service bei einer öffentlichen Ausschreibung ausgeschlossen gewesen.

Die Vergabekammer konnte auch nicht dadurch überzeugt werden, dass nach Angaben der Anbieter die personenbezogenen Daten nur auf Servern in Europa verarbeitet werden und nur die deutsche Gesellschaft auf diesen Zugriff hätte.
Aber das Beben dieses Beschlusses hielt nur kurz an. Anfang September hob das OLG Karlsruhe den Beschluss der Vergabekammer auf.

In der Pressemitteilung hieß es zur Sache, dass die Zusage der Anbieter ausreichend sei, dass die Daten nicht in ein Drittland übermittelt und nur in Deutschland verarbeitet werden. Die Konzernzugehörigkeit der europäischen Tochterunternehmen indiziert noch keinen direkten Zugriff durch die Muttergesellschaft aus den USA. In der Sache überzeugt die Argumentation des OLG Karlsruhe.

Es dürfte aber auch praktische Konstellationen geben, in denen sich die Bedenken der Vergabekammer konkret niederschlagen. Die Thematik rund um die Übermittlung in ein Drittland bleibt also heiß.

Q1: Vergabekammer Baden-Württemberg, Entscheidung vom 13.7.2022, Aktenzeichen: 1 VK 23/22

Q2: Oberlandesgericht Karlsruhe, Beschluss vom 7.9.2022, Aktenzeichen: 15 Verg 8/22

Übermittlung in ein Drittland

Die Übermittlung in ein Drittland ist, nicht zuletzt durch das „Schrems-II“ Urteil des EuGH, kniffliger als viele denken.

Wir helfen Ihnen sicherzustellen, dass die Datenübermittlung DSGVO-konform abläuft.

Kontakt aufnehmen

Schreibtisch auf – Job weg?

Nicht abgeschlossener Schreibtisch kann den Job kosten!

Von Datenschützern wird immer wieder gepredigt, dass die Thematik lebendig sein muss.

„Tote“ Dokumente, die in Schubladen verweilen und wenig mit der Praxis zu tun haben, helfen nicht, um das Datenschutzniveau anzuheben. Eine durchaus bedeutende Rolle spielen hier die internen Anweisungen.

Häufig gibt es interne Anweisungen, die dann aber in der Praxis kaum umgesetzt werden. Sowohl Arbeitgeber als auch Arbeitnehmer müssen hier grundsätzlich in die Pflicht genommen werden. Gehen beide Parteien nachlässig mit dem Thema um, wird der Verantwortliche die Konsequenzen tragen müssen.

Anders war es nun in Sachsen. Das Landesarbeitsgericht kam zu dem Schluss, dass die wiederholte Nichteinhaltung der internen Datenschutz- und Informationssicherheitsrichtlinien, eine Pflichtverletzung aus dem Arbeitsvertrag darstellt. Die Klägerin verstieß mehrfach gegen die Richtlinien, worauf mehrere Abmahnungen folgten. Die Klägerin hatte Schreibtischfächer nicht abgeschlossen, in denen sich sensible Daten befanden.

Die eingangs geschilderte Problematik der „toten“ Dokumenten und Richtlinien, welche nur auf dem Papier existieren und in der Praxis nicht gelebt werden, bewahrheitet sich hier erneut.

Q1: LAG Sachsen, 07.04.2022 – 9 Sa 250/21

Schulungen

Datenschutz ist Teamsache! Nur gemeinsam lassen sich die Vorgaben der DSGVO einhalten.

Mit unserer Datenschutzschulung ist dein Team perfekt aufgestellt, sodass keine Lücken bleiben.

Kontakt aufnehmen

Millionenstrafe für Meta

Instagram-Patzer kostet 405 Mio. Euro

Hohe Bußgelder sind im Datenschutz keine Seltenheit. Dass diese Bußgelder häufig amerikanische Konzerne treffen, ist auch nicht selten. Und immer wieder im Blick der Aufsichtsbehörde ist der Meta-Konzern.

Dieses Mal trifft es Instagram mit Sage und Schreibe 405 Millionen Euro. Grund für dieses Bußgeld ist der kritische Umgang mit Daten von Kindern und Jugendlichen. In der Vergangenheit war es Kindern und Jugendlichen möglich, ihren Account auf ein Geschäftskonto hoch zu stufen. Dadurch werden persönliche Daten, wie Kontaktdaten veröffentlicht, genau so, wie es im Geschäftskontext üblich ist.

Dass diese Verarbeitungen von Daten Minderjähriger äußerst kritisch zu betrachten sind, ist relativ offensichtlich.

Meta hat bereits angekündigt, sich gegen das Bußgeld zu wehren. Der Ausgang des Falls ist offen und es dürfte auch noch etwas Zeit verstreichen, bis eine Entscheidung gefällt wird.

Q1: https://www.spiegel.de/netzwelt/netzpolitik/datenschutz-instagram-muss-in-irland-405-millionen-euro-strafe-zahlen-a-50fe2d10-c014-4a68-9cb8-b0b590d7cca5

Rechte der betroffenen Person

Es mag selten vorkommen, aber es besteht immer die Möglichkeit, dass die betroffenen Personen ihre Rechte geltend machen.

Mit unserer Unterstützung wird dein Unternehmen gut vorbereitet sein, wenn die Rechte der betroffenen Person geltend gemacht werden.

Kontakt aufnehmen
Cookie Consent mit Real Cookie Banner