1. Cookie Update 1: EDSA veröffentlicht Abschlussbericht der Arbeit der Task Force Cookiebanner
von Florian Schwind
Der Europäische Datenschutzausschuss (EDSA) hat am 18. Januar 2023 den Abschlussbericht der Task Force Cookiebanner veröffentlicht und offiziell angenommen. Der Bericht zeigt neben den gemeinsamen Ansichten auch vereinzelt unterschiedliche Sichtweisen der Aufsichtsbehörden. Bemängelt wurde insbesondere die täuschende Gestaltung von Links, beispielsweise in der Form, dass der Button zum Ablehnen der Cookies im Cookiebanner in einem Fließtext versteckt wird. Zudem setzt sich der Bericht intensiv mit dem Design von Cookiebanner auseinander und kommt zu dem Ergebnis, dass stets eine Einzelfallbetrachtung notwendig ist und eine einheitliche Gestaltung für alle Verantwortlichen nicht möglich ist.
Fazit: Unternehmen sollten ihre Cookiebanner unter Zugrundelegung des Berichts nochmals evaluieren und möglicherweise überarbeiten. Mehr auf unserem Blog.
2. Cookie Update 2: Orientierungshilfe für Telemedienanbieter (Cookie-OH) der deutschen Datenschutzbehörden: Final aber nicht wirklich praktisch
von Dr. Andreas Splittgerber
Die deutschen Datenschutzbehörden (DSK) haben Ende 2022 die nun finale Orientierungshilfe für Telemedienanbieter (OH TM) veröffentlicht. Die DSK hatte den Entwurf dieser Orientierungshilfe Ende 2021 bereitgestellt und zu Kommentierungen aufgerufen. Die Antworten der DSK auf diese Kommentare sind in einem zweiten Dokument veröffentlicht, das eine gute Quelle zum Nachlesen von Detailfragen ist. Die neue OH TM ist etwas anbieterfreundlicher als der Entwurf, gibt aber gerade in relevanten Fragen immer noch keine praktischen Antworten. Es bleibt z.B. offen, ob und wann Statistik- und Analysetools ohne Einwilligung eingesetzt werden dürfen.
Fazit: Auch wenn die OH TM nicht immer praktische Antworten bereithält, sollten sich Website- und Appbetreiber unbedingt daran orientieren. Die OH TM entspricht hier auch den Positionen anderer EU-Behörden (wie dem Abschlussbericht der Task Force Cookiebanner) und auch dem 5 Mio. EUR Bussgeld der CNIL gegen TikTok (Ende 2022 wegen unzureichendem „Ablehnen-Button“).
3. Cookie Update 3: LG München I: Gestaltung von Cookiebanner
von Sven Schonhofen, LL.M.
Das LG München I hat mit Urteil vom 29. November 2022 (Az.: 33 O 14766/19) über die Gestaltung einer Einwilligung in einem Cookiebanner entschieden. In dem konkret geprüften Cookiebanner konnten Nutzer im ersten Layer mit Klick auf den „Akzeptieren“-Button in die Nutzung von Cookies einwilligen oder durch Klick auf „Einstellungen“ in den zweiten Layer gelangen. Im zweiten Layer konnte der Nutzer individuelle Einstellungen für 100 Drittanbieter treffen und hatte die Auswahl zwischen den (optisch hervorgehobenen) Buttons „Alle akzeptieren“ und „Auswahl speichern“ sowie dem Link „Alle ablehnen“ in blasser Schrift. Dem LG München I zufolge fehle es an einer freiwilligen Einwilligung, da der Nutzer die Website nicht ohne Interaktion mit dem Cookiebanner nutzen kann, das Ablehnen der Cookies einen nicht unerheblichen Mehraufwand verlange und die Einwilligungs-Buttons farblich klar hervorgehoben seien.
Fazit: Das LG München I folgt der Auffassung einiger Datenschutzbehörden, dass neben einem „Akzeptieren“-Button auch eine Ablehnmöglichkeit ohne Mehraufwand, also mit der gleichen Anzahl von Klicks möglich sein muss. Unternehmen sollten ihre Cookiebanner hierauf prüfen.
4. Datenübermittlungen: Entwurf eines Angemessenheitsbeschlusses für die USA
von Christian Leuthner
Die Europäische Kommission hat am 13. Dezember 2022 den Entwurf eins Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA vorgelegt. Im Zusammenspiel mit der Executive Order vom 7. Oktober 2022 (Executive Order) kommt die Europäische Kommission zum Ergebnis, dass das Datenschutzniveau in den USA mit dem in der EU vergleichbar sei. Insbesondere stünden den Betroffenen aus der EU nun angemessene Rechtsbehelfe gegen rechtswidrige Datenverarbeitungen zur Verfügung (z.B. eine Schiedsstelle und ein Schlichtungsverfahren). Zudem beschränke die Executive Order Zugriffe auf Daten zum Zweck der Strafverfolgung und zum Schutz der nationalen Sicherheit auf ein angemessenes Maß und sähe eine ausreichende gerichtliche Prüfung der Datenverarbeitung vor, sollten sich Betroffene beschweren. Der Entwurf befindet sich nun in der Abstimmung mit dem EDSA und Vertretern der Mitglieder.
Die schon zur Executive Order geäußerte Kritik, dass die Executive Order nicht weit genug gehe, bleibt auch im Rahmen des Angemessenheitsbeschlusses bestehen. Max Schrems/NOYB hat bereits die Prüfung rechtlicher Schritte angekündigt. Ein Lichtblick bietet die Stellungnahme des Hamburgischen Beauftragen für Datenschutz und Informationsfreiheit zur Executive Order, der eine fundierte und ergebnisoffene Prüfung verlangt.
Fazit: Der neue Angemessenheitsbeschluss ist eine positive Entwicklung. Eine schnelle Umsetzung würde Rechtssicherheit in Bezug auf internationale Datenübermittlungen mit sich bringen, trotz eines etwaigen Verfahrens vor dem EuGH.
5. EuGH: Das Auskunftsrecht der betroffenen Person umfasst die Offenlegung der konkreten Empfänger
by Florian Schwind
Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 12. Januar 2023 (Az.: C-154/21) das Auskunftsrecht nach Art. 15 DSGVO verstärkt. Der EuGH entschied, dass Art. 15 Abs 1 lit. c DSGVO so ausgelegt werden muss, dass nicht nur die Offenlegung von Kategorien von Empfängern, sondern im Grundsatz auch die konkreten Empfänger genannt werden müssen. Dies gilt unabhängig davon, ob diesen Empfängern bereits Daten offengelegt worden sind oder noch offengelegt werden. Eine Ausnahme gilt nur bei Unmöglichkeit und bei offenkundig unbegründeten oder exzessiven Auskunftsersuchen.
Fazit: In Zukunft müssen Verantwortliche die konkreten Empfänger im Rahmen einer Auskunft benennen können und sollten sich entsprechend auf diese erhöhten Anforderungen einstellen.
6. EuGH: Generalanwalt zu Auskunftsumfang (Mitarbeiter als Empfänger)
von Dr. Thomas Fischl
In einer Vorlageanfrage an den EuGH in dem Verfahren C-579/21 empfiehlt der Generalanwalt in seinem Schlussantrag vom 15. Dezember 2022, dass die Auskunft nicht die Informationen umfasst, die dem Verantwortlichen zur Verfügung stehen, um Kenntnis von der Identität der Beschäftigten zu bekommen, die unter Aufsicht und auf Weisungen des Verantwortlichen die personenbezogenen Daten des Betroffenen abgefragt haben. In dem Fall geht es um das Auskunftsbegehren eines Mitarbeiters einer Bank, der bei seinem Arbeitgeber auch sein Konto unterhielt. Im Rahmen seines Auskunftsbegehrens geht es auch um die Frage, ob vom Auskunftsanspruch über die eigenen Daten auch die Informationen umfasst sind, wer wann und zu welchem Zweck auf diese Daten zugegriffen hat.
Fazit: Für den Fall, dass der EuGH der Auffassung des spanischen Generalanwalts folgt, wäre damit klar, dass Mitarbeiter innerhalb eines Verantwortlichen nicht als sog. Empfänger gemäß der DSGVO gelten. Sie wären folglich nicht im Rahmen eines Auskunftsanspruchs nach Art. 15 DSGVO zu nennen.
7. OLG Celle: Mit DSGVO-Auskunftsanspruch dürfen auch datenschutzfremde Zwecke verfolgt werden
von Tim Sauerhammer
Mit dem Urteil des OLG Celle vom 15. Dezember 2022 (Az.: 8 U 165/22) gibt es eine weitere Entscheidung zu der umstrittenen Frage, inwiefern mit dem Auskunftsanspruch aus Art. 15 DSGVO datenschutzfremde Ziele verfolgt werden können (hier: Auskunft gegenüber einer privaten Krankenkasse über in der Vergangenheit vorgenommene Prämienerhöhungen). Obwohl es sich dabei um ein datenschutzfremdes Ziel handle, sei es jedenfalls nicht als offenkundig unbegründet oder exzessiv zu bewerten, wenn kein Fall von häufiger Wiederholung vorliege. Auch die Motivationslage des Anspruchsinhabers sei unerheblich. Das Urteil wendet sich damit gegen eine Reihe von Landgerichtsentscheidungen, die einen solchen Antrag als rechtsmissbräuchlich werteten; zuletzt LG Magdeburg, Urteil vom 17. November 2022 (Az.: 11 O 466/22) und LG Gießen, Urteil vom 08. September 2022 (Az.: 2 O 186/22).
Fazit: Die Rechtsprechung zur Rechtmäßigkeit von Auskunftsansprüchen zu datenschutzfremden Zwecken bleibt weiter uneinheitlich und Antragsteller sollten vorab eine prozesstaktische Analyse vornehmen.
8. EuGH: Suchmaschine muss unrichtige Informationen aus Suchergebnissen löschen
von Friederike Wilde-Detmering, M.A.
Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 8. Dezember 2022 (Az.: C-460/20) entschieden, dass Suchmaschinenbetreiber Informationen aus Suchergebnissen „auslisten“ müssen, wenn nachgewiesen wird, dass diese offensichtlich unrichtig sind. Damit das Persönlichkeitsrecht der betroffenen Person hinreichend gewahrt werden kann, muss diese gemäß EuGH lediglich die Beweise beibringen, die von ihr vernünftigerweise verlangt werden können, was auf für das Beibringen von gerichtlichen Entscheidungen als Beweis nicht der Fall ist. Der Suchmaschinenbetreiber ist andererseits aber nicht verpflichtet, bei der Suche nach Tatsachen, die die Unrichtigkeit beweisen, mitzuwirken.
Fazit: Die Entscheidung des EuGH veranschaulicht, dass das Recht auf Schutz personenbezogener Daten unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte (hier: auf Informationsfreiheit) auf Basis von Beweisen abgewogen werden muss. Die Beweise müssen zu einer Offensichtlichkeit der Unrichtigkeit von Informationen führen, es dürfen an sie jedoch keine übersteigerten Anforderungen gestellt werden.
9. LG Nürnberg-Fürth: Keine Ausnahme vom Einwilligungserfordernis für Email-Werbung, wenn die zugrunde liegende Bestellung bereits storniert worden ist
von Dr. Alexander Hardinghaus, LL.M.
Mit Urteil vom 21. September 2022 (Az.: 4 HKO 655/21) entschied das LG Nürnberg-Fürth, dass die Ausnahmevorschrift des § 7 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG), wonach unter bestimmten Voraussetzungen bei bestehenden Geschäftsbeziehungen ausnahmsweise keine Einwilligung für Email-Marketing für ähnliche Produkte erforderlich ist, dann nicht gilt, wenn die einzige die Geschäftsbeziehung zwischen Werbenden und Kunden begründende Bestellung in der Zwischenzeit wieder storniert worden ist. Gleichzeitig hielt das Gericht eine Ähnlichkeit zwischen den ursprünglich bestellten FFP3-Masken und den in der Folge beworbenen Schutzprodukten (Helme, Gehörschutz, Sicherheitsschuhe) für nicht gegeben.
Fazit: Deutsche Gerichte legen die Ausnahmevorschrift des § 7 Abs. 3 UWG traditionell eng aus. Direktwerbung per Email ist in der überwiegenden Mehrzahl der Fälle nur auf Grundlage einer vorherigen Einwilligung des Empfängers möglich.
10. DSK: Auswirkungen der neuen Verbrauchervorschriften über digitale Produkte im BGB auf das Datenschutzrecht
von Joana Becker
Die Datenschutzkonferenz (DSK) hat im Oktober 2022 einen Beschluss zu den Auswirkungen der neuen Verbrauchervorschriften über digitale Produkte im BGB auf das Datenschutzrecht veröffentlicht.
Die DSK geht insbesondere auf das durch Plattformen, soziale Medien oder Suchmaschinen bereits schon lange praktizierte Modell „Bezahlen mit Daten“ ein. Die neuen BGB-Vorschriften seien erst dann anwendbar, wenn tatsächlich ein Vertrag über digitale Produkte geschlossen wurde. Nicht jede Nutzung einer Website sei aber zugleich als Abschluss eines solchen Vertrags zu sehen.
Kommen die neuen Verbrauchervorschriften zur Anwendung, so lassen diese jedenfalls die Bestimmungen der DSGVO unberührt.
Fazit: In der Praxis ist genau zu prüfen, ob die neuen Vorschriften überhaupt Anwendung finden. Die Anwendbarkeit der neuen Vorschriften ersetzt jedoch nicht die Prüfung der Rechtmäßigkeit der Datenverarbeitung gemäß der DSGVO.
11. Petersberger Erklärung der DSK: Forderungen und Empfehlungen zum Gesundheitsdatenschutz in der wissenschaftlichen Forschung
von Irmela Dölle
Mit der Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung hat die Datenschutzkonferenz (DSK) am 24. November 2022 insbesondere folgende Forderungen ausgesprochen: (1) Betroffene sind stets einzubinden, auch wenn eine gesetzliche Rechtsgrundlage vorliegt. (2) Besonders weitreichende Schutzmaßnahmen sind erforderlich, soweit Forschende personenbezogene Daten aus verschiedenen Datenbanken verknüpfen. (3) Einführung eines zentralen Registerverzeichnisses für mehr Transparenz und Vermeidung von Doppelungen. (4) Einführung eines Forschungsgeheimnisses mit dem Ziel, die unbefugte Offenlegung von Forschungsdaten unter eine Strafe zu stellen. (5) Einführung neuer Befugnisse der Datenschutzbehörden (sofortiger Vollzug von Maßnahmen).
Fazit: Neben allgemeinen Grundsätzen adressiert die DSK vor allem den Gesetzgeber und fordert ihn zum Handeln im Bereich des Gesundheitsdatenschutzes auf.
12. LG Köln: Unzulässigkeit einer verpflichtenden Passwortabfrage im Rahmen des Kündigungsbuttons
von Florian Schwind
Mit Beschluss vom 29. Juli 2022 (Az.: 33 O 355/22) hat das LG Köln entschieden, dass die verpflichtende Abfrage des Kundenkennworts im Rahmen des zweistufigen Kündigungsverfahren bei dem Kündigungsbutton unzulässig ist. Nach § 312k Abs. 2 BGB sind Unternehmen, die über ihre Webseite den Abschluss von Dauerschuldverhältnissen ermöglichen, verpflichtet, den Verbrauchern durch einen Kündigungsbutton die Möglichkeit zur Erklärung der ordentlichen oder außerordentlichen Kündigung zu geben. Die verpflichtende Angabe des Kundenkennworts führe allerdings dazu, dass eine Hürde gegenüber dem Verbraucher aufgebaut wird, die gesetzlich nicht vorgesehen ist und geeignet ist, diesen von einer Kündigung abzuhalten.
Fazit: Um ein Abmahnrisiko zu minimieren, sollten Unternehmen bei der Gestaltung des Kündigungsbuttons die Vorgaben aus § 312 k BGB genauestens beachten und zugleich immer den Gesetzeszweck einer möglichst einfachen Kündigung für den Verbraucher bedenken.
Lesehinweise zum IT und Datenschutzrecht
von Sven Schonhofen, LL.M.
Hören Sie sich den Reed Smith Podcast, Tech Law Talks, an. In unserem Podcast besprechen unsere Tech und Data Anwälte regelmäßig aktuelle Themen aus den Bereichen Datenschutz, Datensicherheit, Risikomanagement, IP, Social Media und mehr. Unsere aktuellen Folgen beschäftigten sich mit dem Metaverse, Unified Patent Court und eComms Compliance.
Um immer aktuelle Informationen zu bekommen, besuchen Sie unseren Blog Technology Law Dispatch.
