1. Internationale Datentransfers: Länderbewertungen für die USA, China, Indien und Russland zur Unterstützung von Transfer Impact Assessments
von Dr. Andreas Splittgerber
Kürzlich haben der EDPS und die deutschen Datenschutzbehörden Länderbewertungen für die USA, China, Indien und Russland veröffentlicht, die Datenexporteure und -importeure bei der Übermittlung von Daten aus der EU in diese Länder unterstützen sollen. Die Bewertungen konzentrieren sich auf Aspekte, die vom EuGH in der Schrems II-Entscheidung untersucht wurden und können hier abgerufen werden: EDPS-Studie über den Datenzugang von Regierungen (nur auf Englisch) und Expertenmeinung zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbehörden. Die Bewertungen enthalten keine Vorschläge für mögliche ergänzende Maßnahmen, so dass die nicht erschöpfende Liste des EDSA in seinen Empfehlungen 01/2020 zu Maßnahmen, die die Übermittlungsinstrumente ergänzen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten sicherzustellen, weiterhin als Ausgangspunkt für die Festlegung solcher Maßnahmen dienen wird.
Fazit: Diese neuen Bewertungen sind für den Anfang hilfreich und es ist positiv zu sehen, dass die Datenschutzbehörden auf EU- und lokaler Ebene erkennen, dass es der Privatwitschaft nicht zugemutet werden kann, solche Länderbewertungen für einzelne Datentranfers selbst zu erstellen. Die Bewertungen sind jedoch sehr allgemein gehalten und müssen von den an der Verlagerung beteiligten Parteien auf die jeweilige Situation angewendet werden. Für die bewerteten Länder müssen die Parteien zusätzliche Maßnahmen festlegen, um Datentransfers zu ermöglichen - wobei zu beachten ist, dass die Liste der zusätzlichen Maßnahmen des EDSA nicht erschöpfend ist.
2. Datenschutzbehörden: Cookie Update
von Sven Schonhofen, LL.M.
Die Datenschutzbehörden sind derzeit sehr aktiv bezüglich Cookies:
- Die Datenschutzkonferenz hat den Entwurf ihrer Handreichung zu den neuen Cookievorschriften im TTDSG Ende letzten Jahres veröffentlicht. Die Datenschutzbehörden verlangen darin u.a. eine Ablehnmöglichkeit im ersten Layer einer Cookie-Einwilligungs-Lösung. Die Datenschutzbehörde Baden-Württemberg hat außerdem ein umfassendes Cookie-FAQ mit vielen Praxisbeispielen veröffentlicht.
- Der belgischen Datenschutzbehörde zufolge verstoße das IAB Einwilligungs-System gegen die DSGVO, vor allem hinsichtlich der Rechtsgrundlagen und Informationspflichten. Das IAB hat jetzt 6 Monate, um die Verstöße zu beseitigen.
- Die österreichische Datenschutzbehörde hat entschieden, dass der Einsatz von Google Analytics (nach dem alten Setup aus August 2020) datenschutzrechtswidrig war, da kein ausreichender Datentransfermechanismus vorgelegen habe. Die Behörde hat aber nicht festgestellt, dass Google Analytics mit seinem heutigen Setup gegen Datenschutzrecht verstößt.
- Auch die französische Datenschutzbehörde CNIL hat den Einsatz von Google Analytics (wohl auch nach dem alten Setup) wegen unzulässiger Datentransfers als rechtswidrig eingestuft. Die Maßnahmen von Google seien nicht ausreichend, um den Zugriff der US-Geheimdienste zu verhindern. Die CNIL habe sich hierzu mit anderen EU-Datenschutzbehörden abgestimmt.
- Der Europäische Datenschutzbeauftragte verwarnte das Europäische Parlament wegen des Einsatzes von Google Analytics- und Stripe-Cookies auf einer Website, ohne dass ein ausreichendes Datenschutzniveau bezüglich der Datentransfers nachgewiesen wurde.
- Eine positive Nachricht: Es wird berichtet, dass sich der Nachfolger zur EU-US Privacy Shield Adäquanzentscheidung in den finalen Zügen befinde und im Q2 finalisiert werden könnte.
Fazit: Die am meisten kritisierten Punkte der Datenschutzbehörden im Zusammenhang mit dem Einsatz von Cookies sind derzeit die Rechtsgrundlagen, internationale Datentransfer und die Gestaltung von Cookiebannern. Unternehmen müssen ihr Cookie-Setups auf Compliance mit dem anwendbaren Recht und Behördenanforderungen prüfen. Aufgrund der Vielzahl der derzeitigen Behördenaktivitäten sind Behördenverfahren bei fehlender Compliance sonst nicht unwahrscheinlich.
3. OVG Schleswig: Fanpage verstößt gegen Datenschutzrecht
von Christian Leuthner
Nach 10 Jahren Verfahren bis zum EuGH hat das OVG Schleswig (Urteil vom 25. November 2021, Az.: 4 LB 20/13) final entschieden, dass die Wirtschaftsakademie Schleswig-Holstein die von ihr betriebene Facebook Fanpage abschalten muss. Die von der Aufsichtsbehörde festgestellten Mängel an Transparenz der Datenverarbeitung sowie weitere fehlende Rechtsgrundlage wurden vom OVG bestätigt. Nachdem der EuGH bereits über die gemeinsame Verantwortung entschieden hatte, stellte das OVG fest, dass auch der Betreiber einer Fanpage im Rahmen der gemeinsamen Verantwortlichkeit Adressat von Maßnahmen der Aufsichtsbehörde sein kann, wenn die Datenverarbeitung rechtswidrig ist.
Fazit: Nutzer von Social Media Plattformen müssen eine datenschutzkonforme Verarbeitung sicherstellen und insbesondere transparente Informationen bereitstellen.
4. OLG Hamm: Reichweite und Grenzen des Auskunftsanspruchs
von Dr. Thomas Fischl
Das OLG Hamm hat am 15. November 2021 (Az.: 20 U 269/21) entschieden, dass ein Auskunftsbegehren nach Art. 15 DSGVO als rechtsmissbräuchlich anzusehen ist, wenn es dabei nicht tatsächlich um die Überprüfung einer datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht. Der Verantwortliche der Datenverarbeitung kann in solchen Fällen eine Auskunft ablehnen. Der Entscheidung lag ein Begehren eines privat krankenversicherten Klägers zugrunde, der durch die Auskunftsanfrage die Korrektheit einer Prämienerhöhung kontrollieren wollte. Das hielt das OLG für rechtsmissbräuchlich und billigte der beklagten Versicherung ein Weigerungsrecht zu.
Fazit: Reichweite und Grenzen des Auskunftsanspruchs sind weiter umstritten, viele Gerichte und Datenschutzbehörden haben sich damit schon befassen müssen. Für Unternehmen kommt es weiter darauf an, sich gut vorzubereiten und Konzepte und Prozesse an der Hand zu haben, um rechtskonform agieren zu können.
5. OLG Dresden: Aufbewahrungspflichten rechtfertigen Datenspeicherung nicht ohne Weiteres
von Friederike Wilde-Detmering, M.A.
Mit Urteil vom 14. Dezember 2021 (Az.: 4 U 1278/21) entschied das OLG Dresden, dass gesetzliche Aufbewahrungspflichten keine Rechtfertigung darstellen, um nicht rechtmäßig erhobene Daten dauerhaft zu speichern. Nach Ansicht des Gerichts müssen Verantwortliche ihre Datenbestände so organisieren, dass Prüfer nur auf aufzeichnungspflichtige und aufbewahrungspflichtige Daten zugreifen können. Ergänzende Daten, die eine Identifizierung erlauben, müssen gelöscht werden.
Fazit: Verantwortliche müssen genau und bezogen auf konkrete Daten und Dokumente prüfen, ob die von ihnen gespeicherten Daten und Dokumente gesetzlichen Aufbewahrungspflichten unterfallen.
6. OLG Karlsruhe: Online-Shops, die ihren Kunden zur Angabe ihres Geschlechts lediglich die Optionen „Frau“ oder „Herr“ anbieten, diskriminieren Personen mit nichtbinärer Geschlechtsidentität
von Dr. Philipp Süss, LL.M./Dr. Alexander Hardinghaus, LL.M.
Mit Urteil vom 14. Dezember 2021 (Az.: 24 U 19/21) entschied das OLG Karlsruhe, dass die Auswahlmöglichkeit von nur zwei Geschlechtern („Frau“ oder „Mann“) beim Online-Shopping eine Person nichtbinärer Geschlechtsidentität unter Verstoß gegen das Allgemeine Gleichbehandlungsgesetz (AGG) unerlaubt diskriminiert. Geklagt hatte eine nichtbinäre Person gegen ein Bekleidungsunternehmen auf Schadensersatz und Unterlassung. Das OLG Karlsruhe lehnte zwar Ansprüche auf Entschädigung mangels ausreichender Intensität der Diskriminierung ab, stellt aber klar, dass grundsätzlich Unterlassungsansprüche durch die betroffene Person geltend gemacht werden können.
Fazit: Zur Vermeidung der Diskriminierung von Personen nichtbinärer Geschlechtsidentität im elektronischen Geschäftsverkehr sollte stets eine geschlechtsneutrale Anrede ausgewählt werden können (etwa: Divers / Keine Anrede).
7. LG Essen: Bestimmte Bedingungen für die Teilnahme an einem Gewinnspiel müssen bereits im Rahmen der Werbung mitgeteilt werden.
von Joana Becker
Mit Urteil vom 2. Oktober 2021 (Az.: 44 O 6/20) entschied das LG Essen, dass die streitgegenständlichen Werbeanzeigen für ein Gewinnspiel wettbewerbswidrig waren, da der nur allgemeine Verweis auf ein weiteres Medium bezüglich „aller Infos und Teilnahmebedingungen des Gewinnspiels“, unzureichend ist. Nach Ansicht des LG Essen muss dem Kunden bezüglich des Gewinnspiels eine informierte geschäftliche Entscheidung ermöglicht werden. Die hierfür relevanten Informationen sind ihm rechtzeitig, also bereits in der Werbeanzeige selbst, mitzuteilen. Solche für die Entscheidung relevanten Informationen sind insbesondere die Teilnahmebedingungen, welche auch die Modalitäten der Teilnahme (z.B. die Beschränkung des Teilnehmerkreises) umfassen und die Art der Gewinnermittlung.
Fazit: Teilnahmebedingungen eines Gewinnspiels, wie Beschränkungen des Teilnehmerkreises, oder die Art der Gewinnermittlung, die für eine informierte, geschäftliche Kundenentscheidung relevant sind, sollten bereits in der Werbeanzeige mitgeteilt werden.
8. LG Stendal: Keine Werbung in DOI-Bestätigungsmail
von Irmela Dölle
Das LG Stendal hat mit Urteil vom 12. Mai 2021 (Az.: 22 S 87/20) entschieden, dass eine E-Mail, die im Rahmen des Double-Opt-In-Verfahrens (DOI) versendet wird, keinerlei Werbung enthalten darf. Der Begriff der Werbung sei weit auszulegen.
Der Kläger hatte sich gegen die im Rahmen des DOI-Verfahrens versandte Bestätigungsmail der Beklagten gewandt. Den Versand einer reinen Bestätigungsmail befand das Gericht zwar ausdrücklich als zulässig. Unzulässig seien jedoch die darin ebenfalls enthaltenen werbenden Angaben der Beklagten "Welcome to XY" und "Hast du Fragen zum Newsletter? Kontaktiere uns über: info@XY.de" samt Verwendung ihres Logos. Die streitgegenständliche Bestätigungsmail erhalte dadurch einen „werbenden Charakter“, da ihr Inhalt über den einer zulässigen, schlichten Transaktionsmail hinausgehe. Durch diese Ergänzung sei die streitgegenständliche Bestätigungsmail insgesamt unzulässig.
Fazit: Die im Rahmen des DOI-Verfahrens versandte Check-E-Mail sollte keine über die konkrete Bestätigung hinausgehende Informationen enthalten.
Lesehinweise zum IT und Datenschutzrecht
von Sven Schonhofen, LL.M.
- Entwurf des Data Acts – mehr in unserem Client Alert
- Europäischer Datenschutzausschuss:
- Datenschutzkonferenz:
- Orientierungshilfe Direktwerbung
- FAQ zur Verarbeitung von Beschäftigtendaten im Zusammenhang mit der Corona-Pandemie
- Datenschutzbehörde Sachsen-Anhalt:
- BayLDA:
- CNIL: Auskunftsansprüche im Beschäftigtenverhältnis
- Adäquanzentscheidung für Südkorea – mehr auf unserem Blog
- BVerfG zu Hate Speech – mehr auf unserem Blog
- Unser Blog zu Binding Corporate Rules und Standardvertragsklauseln