Deutsche Datenschutzbehörden prüfen internationale Datentransfers

Gestern wurde bekannt, dass insgesamt 10 deutsche Landesdatenschutzbehörden in der nächsten Zeit ca. 500 deutsche Unternehmen und durch diese vorgenommene Datenübermittlungen in Drittstaaten außerhalb des EWR prüfen.

Beteiligt sind die Behörden folgender Bundesländer: Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt.
Die Landesbeauftragte aus Nordrhein-Westfalen informiert zum Hintergrund der Aktion:

Nach den bisherigen Erfahrungen der Aufsichtsbehörden ist mit bestimmten Produkten und Leistungen regelmäßig eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden. Relevant sind beispielswiese Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer Relationship Management oder Bewerbermanagement. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird im Rahmen der Prüfaktion gezielt nach dessen Einsatz gefragt. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu benennen.

Den Fragebogen der Behörden können Sie hier abrufen (pdf).

Unter anderem wird darin auch nach Datentransfers gefragt, die auf dem neuen EU-US Datenschutzschild (Privacy Shield) basieren. Zudem wird bei den möglichen Auswahlkriterien auch noch „Safe Harbor“ erwähnt. Der Beschluss der EU-Kommission zu Safe Harbor wurde jedoch bereits am 6. Oktober 2015 durch den Europäischen Gerichtshof für ungültig erklärt. Datenübermittlungen in die USA können seitdem nicht mehr zulässig auf dieser Grundlage erfolgen.

EU-U.S. Privacy Shield: Übersicht zum Safe Harbor-Nachfolger für Datentransfers in die USA.

Am 12. Juli 2016 hat die Europäische Kommission das EU-U.S. Privacy Shield angenommen. Hierbei handelt es sich um die Nachfolgeregelung der im Oktober 2015 durch den europäischen Gerichtshof für ungültig erklärten Safe Harbor-Entscheidung. Zweck Privacy Shield ist es, die Übermittlung personenbezogener Daten an Unternehmen in den USA datenschutzrechtlich zulässig zu ermöglichen.

Gerne stellen wir Ihnen hier unsere Kundeninformation mit einem kurzen Überblick über die zentralen Aspekte des Privacy Shield zum Download bereit.

Neue Tätigkeitsberichte der Aufsichtsbehörden in Hessen und Rheinland-Pfalz vorgestellt

Diese Woche haben die Datenschutzaufsichtsbehörden in Hessen und auch in Rheinland-Pfalz ihre Tätigkeitsberichte für die Jahre 2014/15 veröffentlicht.

Tätigkeitsbericht Hessen (pdf)

Tätigkeitsbericht Rheinland-Pfalz (pdf)

Wie immer gilt, dass die Tätigkeitsberichte der Aufsichtsbehörden für den Datenschutz Praxis relevante Informationen zur Anwendung des Datenschutzrechts liefern.

So befasst sich der hessische Datenschutzbeauftragte etwa mit der sehr relevanten Frage der Zulässigkeit von konzerninternen Datentransfers zwischen Unternehmen. Wenn keine Auftragsdatenverarbeitung vorliegt, muss für Datenübermittlungen eine Einwilligung der Beschäftigten oder ein gesetzlicher Erlaubnistatbestand vorliegen. Nähere Informationen zu dieser Thematik finden Sie im Blog von Carlo Piltz.

OVG Hamburg bestätigt: Facebook darf zunächst weiter Klarnamen fordern

Am 29 Juni 2016 hat das Oberverwaltungsgericht entschieden (Beschluss, pdf), dass Facebook weiterhin die Angabe des Klarnamens seiner Nutzer fordern darf. Damit bestätigte das Gericht die zuvor ergangene Entscheidung des Verwaltungsgerichts.

In der Sache selbst ließ das Gericht die Frage offen, ob die Datenschutzbehörde aus Hamburg zuständig sei und entsprechend auch behördliche Maßnahmen gegenüber der irischen Gesellschaft durchsetzen kann. Zudem beantwortete das Gericht nicht die Frage, ob auf Facebook deutsches Datenschutzrecht anwendbar sei. Die Rechtslage sei hier, so das Gericht, zumindest unklar. Zumal liege derzeit ein Vorabentscheidungsersuchen des Bundesverwaltungsgrichts beim Europäischen Gerichtshof (Rs. C-210/16), in dem es unter anderem um die Zuständigkeit einer deutschen Datenschutzbehörde (konkret aus Schleswig-Holstein) gegenüber dem Betreiber des sozialen Netzwerkes geht.

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe für Einwilligungserklärungen

Der sogenannte Düsseldorfer Kreis, die deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat eine neue „Orientierungshilfe zu datenschutzrechtlichen Einwilligungserklärung in Formularen“ (pdf) veröffentlicht. In dem Dokument (Stand: März 2016) liegen die deutschen Aufsichtsbehörden ihre Ansichten zu den Voraussetzungen für die Abgabe einer zulässigen, datenschutzrechtlichen Einwilligungserklärung in Formularen dar. Dabei beziehen sich die Ausführungen sowohl auf schriftliche Einwilligungserklärung (§ 4a BDSG) als auch auf elektronische Erklärungen (§  13 Abs. 2 und 3 TMG). Weitere Informationen hierzu finden Sie im Blog von Carlo Piltz.

Berliner Datenschutzbeauftragte legt Tätigkeitsbericht 2015 vor

Heute hat die Berliner Landesbeauftragte für Datenschutz und Informationsfreiheit ihren Jahresbericht für 2015 vorgelegt (PDF).

Themenschwerpunkte des Berichts sind unter anderem der Durchbruch zu einem neuen Rechtsrahmen für Europa, vernetzte Fahrzeuge und moderne Verkehrstelematik und die Bestimmung und Begrenzung der Risiken von Datenverarbeitungen.

Landgericht Hamburg untersagt fehlerhaften Einsatz von Google Analytics

Google Analytics ist eines der beliebtesten Analysetools für Webseitenbetreiber überhaupt. Bei der Einbindung dieses Dienstes auf der eigenen Webseite sind jedoch insbesondere datenschutzrechtliche Anforderungen (konkret vor allem jene des Telemediengesetzes und der Auftragsdatenverarbeitung) zu beachten. Sollten diese Voraussetzung nicht erfüllt werden, besteht unter anderem die Gefahr, von Wettbewerbern abgemahnt und auf Unterlassung und Ersatz der Abmahn- und Gerichtskosten in Anspruch genommen zu werden.
Genauso hat in einem aktuellen Fall das Landgericht Hamburg per Beschluss im Wege der einstweiligen Verfügung entschieden (Az. 312 O 127/16). In dem Fall wurde es einem Webseitenbetreiber untersagt, auf seinem Internetangebot den Analysedienst Google Analytics einzusetzen, ohne die Besucher des Internetangebots zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten. Den Streitwert hat das Gericht auf 20.000 € festgesetzt. Mehr Informationen zu der Entscheidung erhalten Sie im Blog von Carlo Piltz.

Landgericht Düsseldorf: Social Media-Buttons einbinden nur nach Einwilligung des Nutzers

Gestern hat das Landgericht Düsseldorf in einem Verfahren der Verbraucherzentrale NRW und eine Onlineshop-Betreiber ein Urteil zu datenschutzrechtlichen Fragen rund um den Facebook Like-Button gefällt. Es ging vor allem um zwei Aspekte: Die deutliche und rechtzeitige Information des Nutzers und die Frage, ob der Button zudem mit aktivierter Funktion nur in die Internetseite eingebunden sein darf, nachdem der Nutzer seine Einwilligung in die mit dem Button verbundene Kommunikation von Daten erklärt hat. Zu beiden Aspekten enthält das Urtiel klare Ausagen. Vor allem sei eine Einwillung erforderlich, so das Gericht.

Carlo Piltz hat dazu einen Beitrag veröffentlicht, der das Verfahren aus rechtlicher Sicht einmal näher beleuchtet. Auch wenn davon auszugehen ist, dass das Verfahren in die nächte Instanz gehen wird, ist das Urteil des LG Düsseldorf aber erst einmal ein Wort. Gerade im Online-Bereich sind die Datenschutzfragen also immer noch „im Fluss“ und müssen laufend neu gedacht werden.

Europäische Kommission veröffentlicht Texte zum Privacy Shield

Gestern hat die Europäische Kommission mehrere Dokumente zu dem geplanten Safe Harbor Nachfolger, dem EU-US Privacy Shield, veröffentlicht.

Auch eine eigene Seite mit „Häufig gestellten Fragen“ wurde durch die Kommission eingerichtet. Anhand der Informationen auf dieser Seite lässt sich ein erster, grober Eindruck der nun vorliegenden Texte erhalten.

In einem nächsten Schritt werden die Vertreter der europäischen Datenschutzbehörden, die Art. 29 Gruppe, die vorgelegten Texte analysieren und dann Mitte April eine Stellungnahme veröffentlichen.

Landesdatenschutzbeauftragter für Sachsen-Anhalt veröffentlicht Tätigkeitsbericht

Heute hat der Landesdatenschutzbeauftragte für Sachsen-Anhalt, Dr. Harald von Bose, seinen Tätigkeitsbericht (pdf) für den Berichtszeitraum 01.04.2013 bis 31.03.2015 vorgestellt.

Wie jeder Tätigkeitsbericht der Landesdatenschutzbehörden enthält auch dieser einige für die Praxis interessante Ausführungen zu verschiedensten Themen des Datenschutzes und der Datensicherheit. In seinem aktuellen Tätigkeitsbericht geht der Landesdatenschutzbeauftragte etwa auf die Thematik internationaler Datentransfers nach dem Safe Harbor-Urteil des EuGH ebenso ein, wie auf die Frage der datenschutzkonformen Organisationen von Arztpraxen. Mit Blick auf den Bereich der Telemedien (Internet, Apps) befasst sich der Tätigkeitsbericht unter anderem mit Fragen der datenschutzrechtlichen Zulässigkeit des Tracking durch Cookies oder mittels Device-Fingerprinting.