Neue Tätigkeitsberichte der Aufsichtsbehörden in Hessen und Rheinland-Pfalz vorgestellt

Diese Woche haben die Datenschutzaufsichtsbehörden in Hessen und auch in Rheinland-Pfalz ihre Tätigkeitsberichte für die Jahre 2014/15 veröffentlicht.

Tätigkeitsbericht Hessen (pdf)

Tätigkeitsbericht Rheinland-Pfalz (pdf)

Wie immer gilt, dass die Tätigkeitsberichte der Aufsichtsbehörden für den Datenschutz Praxis relevante Informationen zur Anwendung des Datenschutzrechts liefern.

So befasst sich der hessische Datenschutzbeauftragte etwa mit der sehr relevanten Frage der Zulässigkeit von konzerninternen Datentransfers zwischen Unternehmen. Wenn keine Auftragsdatenverarbeitung vorliegt, muss für Datenübermittlungen eine Einwilligung der Beschäftigten oder ein gesetzlicher Erlaubnistatbestand vorliegen. Nähere Informationen zu dieser Thematik finden Sie im Blog von Carlo Piltz.

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe für Einwilligungserklärungen

Der sogenannte Düsseldorfer Kreis, die deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat eine neue „Orientierungshilfe zu datenschutzrechtlichen Einwilligungserklärung in Formularen“ (pdf) veröffentlicht. In dem Dokument (Stand: März 2016) liegen die deutschen Aufsichtsbehörden ihre Ansichten zu den Voraussetzungen für die Abgabe einer zulässigen, datenschutzrechtlichen Einwilligungserklärung in Formularen dar. Dabei beziehen sich die Ausführungen sowohl auf schriftliche Einwilligungserklärung (§ 4a BDSG) als auch auf elektronische Erklärungen (§  13 Abs. 2 und 3 TMG). Weitere Informationen hierzu finden Sie im Blog von Carlo Piltz.

Berliner Datenschutzbeauftragte legt Tätigkeitsbericht 2015 vor

Heute hat die Berliner Landesbeauftragte für Datenschutz und Informationsfreiheit ihren Jahresbericht für 2015 vorgelegt (PDF).

Themenschwerpunkte des Berichts sind unter anderem der Durchbruch zu einem neuen Rechtsrahmen für Europa, vernetzte Fahrzeuge und moderne Verkehrstelematik und die Bestimmung und Begrenzung der Risiken von Datenverarbeitungen.

Landgericht Düsseldorf: Social Media-Buttons einbinden nur nach Einwilligung des Nutzers

Gestern hat das Landgericht Düsseldorf in einem Verfahren der Verbraucherzentrale NRW und eine Onlineshop-Betreiber ein Urteil zu datenschutzrechtlichen Fragen rund um den Facebook Like-Button gefällt. Es ging vor allem um zwei Aspekte: Die deutliche und rechtzeitige Information des Nutzers und die Frage, ob der Button zudem mit aktivierter Funktion nur in die Internetseite eingebunden sein darf, nachdem der Nutzer seine Einwilligung in die mit dem Button verbundene Kommunikation von Daten erklärt hat. Zu beiden Aspekten enthält das Urtiel klare Ausagen. Vor allem sei eine Einwillung erforderlich, so das Gericht.

Carlo Piltz hat dazu einen Beitrag veröffentlicht, der das Verfahren aus rechtlicher Sicht einmal näher beleuchtet. Auch wenn davon auszugehen ist, dass das Verfahren in die nächte Instanz gehen wird, ist das Urteil des LG Düsseldorf aber erst einmal ein Wort. Gerade im Online-Bereich sind die Datenschutzfragen also immer noch „im Fluss“ und müssen laufend neu gedacht werden.

Landesdatenschutzbeauftragter für Sachsen-Anhalt veröffentlicht Tätigkeitsbericht

Heute hat der Landesdatenschutzbeauftragte für Sachsen-Anhalt, Dr. Harald von Bose, seinen Tätigkeitsbericht (pdf) für den Berichtszeitraum 01.04.2013 bis 31.03.2015 vorgestellt.

Wie jeder Tätigkeitsbericht der Landesdatenschutzbehörden enthält auch dieser einige für die Praxis interessante Ausführungen zu verschiedensten Themen des Datenschutzes und der Datensicherheit. In seinem aktuellen Tätigkeitsbericht geht der Landesdatenschutzbeauftragte etwa auf die Thematik internationaler Datentransfers nach dem Safe Harbor-Urteil des EuGH ebenso ein, wie auf die Frage der datenschutzkonformen Organisationen von Arztpraxen. Mit Blick auf den Bereich der Telemedien (Internet, Apps) befasst sich der Tätigkeitsbericht unter anderem mit Fragen der datenschutzrechtlichen Zulässigkeit des Tracking durch Cookies oder mittels Device-Fingerprinting.

Bayerische Aufsichtsbehörde versendet Fragebogen zur Datenschutzorganisation

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat auf seiner Webseite den Beginn einer Prüfaktion von über 50 Unternehmen in Bayern bekanntgegeben. Für diese Prüfung zur Datenschutzorganisation im ersten Halbjahr 2016 wurden nach Angaben des BayLDA über 50 Unternehmen ausgewählt und in einem ersten Schritt mit einem Fragebogen angeschrieben. Den Fragebegogen finden Sie hier.

Abgefragt wird unter anderem, ob ein Datenschutzbeauftragter bestellt wurde, welche technischen und organisatorischen Maßnahmen im Unternehmen umgesetzt sind und es wird um die Übersendung des Verfahrensverzeichnisses gebeten.

Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg u.a. zu Kunden-Hotlines, Krankenhausinformationssystemen und E-Mail-Marketing

Neuer Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg: Interessantes zu Kunden-Hotlines, Krankenhausinformationssystemen und E-Mail-Marketing

Der Landesbeauftragte für den Datenschutz Baden-Württemberg, die Datenschutzaufsichtsbehörde im Bundesland, hat ihren Tätigkeitsbericht für 2014/2015 veröffentlicht. Wie immer findet sich darin eine Vielzahl von interessanten Hinweisen für die Praxis. Dieses Jahr unter anderem:

  • Jeder, der bei einer Kunden-Hotline anruft, kennt diesen oder einen ähnlichen Ansagetext: „Aus Gründen der Qualitätssicherung und für Schulungszwecke werden einzelne Gespräche aufgezeichnet.“ Nach Auffassung der Behörde ist es datenschutzrechtswidrig, auf der Grundlage einer solchen Ansage und eines darauf folgenden Schweigens der Anrufers das Telefonat oder Teile von ihm aufzuzeichnen. Der Grund: Eine Aufnahme sei nur möglich, nachdem der Anrufer ausdrücklich eingewilligt habe (Opt-in). Die Widerspruchslösung („Nein, ich möchte nicht, dass das Gespräch aufgezeichnet wird“ = Opt-out) genüge hingegen den gesetzlichen Anforderungen nicht. Man muss diese Auffassung aus rechtlicher Sicht nicht teilen. Nicht bestreiten lässt sich aber die praktische Relevanz der Auffassung der Behörde, da davon auszugehen ist, dass sie zukünftigen Prüfungen in Baden-Württemberg erst einmal zu Grunde liegen wird.
  • Krankenhausinformationssysteme sind komplexe Software- und Datenbanksysteme, mit deren Hilfe eine Vielzahl von personenbezogenen Daten verarbeitet wird, darunter viele Daten, die dem strengeren Schutz der 3 Nr. 9 BDSG unterfallen („Angaben über die Gesundheit“). Die Behörde stellt fest, dass zwar alle geprüften Krankenhäuser mittlerweile über Rechte- und Rollenkonzepten verfügen (ohne solche Konzepte geht es auch in anderen Bereichen grundsätzlich nicht), dass aber noch nicht in notwendigen Umfang erfasst wird, wer wann welche personenbezogenen Daten abruft, verwendet usw. und dass Patientendaten noch viel zu selten gegen eine Verarbeitung gesperrt werden.
  • Zum E-Mail-Marketing bietet der Tätigkeitsbericht eine durchaus brauchbare Übersicht zu den Regelungen, die insgesamt zu beachten sind. Dabei handelt es sich gerade nicht nur um datenschutzrechtliche Normen, sondern auch um solche des UWG (Gesetz gegen den unlauteren Wettbewerb). Auch einige Musterformulare für entsprechend Einwilligungserklärungen werden angeboten. Man muss zu dieser Materie nicht alle Ansätze der Behörde überzeugend finden; der Bericht bietet hier aber in jedem Fall eine guten Einblick in die Fragen, die die Behörden den werbenden Unternehmen und ihren Dienstleisters stellt, wenn sie prüft.

OLG Frankfurt: Einsatz von Cookies für Werbezwecke erfordert kein Opt-in

Das OLG Frankfurt am Main hat mit Urteil vom 17.12.2015 (Az.: 6 U 30/15) über die Wirksamkeit der im Rahmen eines Gewinnspiels im Internet eingeholten Einwilligung in die Datenverarbeitung für Werbezwecke mittels Cookies entschieden. (Hinweis: JBB Rechtsanwälte waren an dem Rechtsstreit als Verfahrensbevollmächtigte beteiligt).

Das Urteil ist insbesondere deshalb interessant, weil es sich unter anderem mit der Frage auseinandersetzt, ob die sogenannte ePrivacy- oder Cookie-Richtlinie (RL 2002/58/EG in der Fassung der RL 2009/136/EG, PDF) und deren Vorgaben zur Einwilligung beim Einsatz von Cookies in Deutschland unmittelbar anwendbar sind. Diese Frage ist seit Jahren umstritten.

Ausgangslage

Im ursprünglichen Verfahren hat ein Verbraucherschutzverband gegen den Veranstalter eines Gewinnspiels im Internet geklagt. Angegriffen wurde hierbei unter anderem eine Einwilligungserklärung, in der sich Teilnehmer des Gewinnspiels damit einverstanden erklärten, dass nach ihrer Registrierung ein Cookie gesetzt wird, über das eine Auswertung des Surf- und Nutzungsverhaltens auf Webseiten von Werbepartnern und eine Verwendung für interessengerechte Werbung ermöglicht werden.

In der Einwilligungserklärung, die mittels eines bereits angekreuzten Kästchens (opt-out) eingeholt wurde, fand sich zudem ein Link auf weitere Informationen zum Einsatz des  Cookies und der damit zusammenhängenden Datenverarbeitung.

Urteil

Der vom Verbraucherschutzverband geltend gemachte Unterlassungsanspruch (§ 1 UKlaG) gegen die Einwilligungserklärung wurde vom OLG zurückgewiesen.

Die Einwilligungserklärungen qualifizierte das Gericht als eine Allgemeine Geschäftsbedingung und war damit nach Auffassung des Senats auch einer Inhaltskontrolle (§ 307 BGB) zugänglich. Jedoch verstößt die Einwilligungserklärung gegen keine der insoweit maßgeblichen gesetzlichen Vorgaben der §§ 4a, 28 Abs. 3a BDSG sowie §§ 13 Abs. 2, 15 Abs. 3 TMG).

Dies gilt, so das OLG, auch dann, wenn man diese Vorschriften nach Ablauf der Umsetzungsfrist der Neuregelung des Artikel 5 Abs. 3 ePrivacy-Richtlinie richtlinienkonform auslegen möchte.

Opt-out ausreichend

Das Gericht stellt fest, dass den genannten datenschutzrechtlichen Vorschriften das Erfordernis einer ausdrücklich erteilten Einwilligung (opt-in) nicht zu entnehmen ist. Vielmehr kann die Einwilligung auch dadurch erklärt werden, dass der Nutzer einen bereits gesetzten Haken in einem Kästchen nicht entfernt (opt-out). Das Gericht verweist hierzu auf das sogenannte Payback-Urteil des Bundesgerichtshofs.

Ohne Erfolg berief sich der Verbraucherschutzverband darauf, dass nach Ablauf der Umsetzungsfrist der ePrivacy-Richtlinie das nationale Recht richtlinienkonform dahingehend ausgelegt werden müsste, dass ein solches Opt-Out Verfahren nicht ausreiche. Art. 5 Abs. 3 ePrivacy-Richtlinie enthält nämlich keine Regelung, die ein Ort in Verfahren zwingend vorschreiben würde. Danach haben die Mitgliedstaaten sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Hierzu das Gericht:

Dort ist jeweils nur von der klaren und umfassenden bzw. verständlichen Information die Rede, die dem Nutzer vor Abgabe der Einwilligungserklärung gegeben werden muss. Dem steht ein “opt-out”-Verfahren nicht generell entgegen.

Zudem, lässt sich zusätzlich anführen, dass der Begriff der „Einwilligung“ in der ePrivacy-Richtlinie genau derselbe ist wie in der europäischen Datenschutzrichtlinie (RL 95/46/EG) (vgl. Art. 2 f) ePrivacy-Richtlinie).

Der Verbraucherschutzverband argumentierte zudem mit einer Stellungnahme der europäischen Art. 29 Datenschutzgruppe vom 8.12.2011. Dabei handelt es sich aber nach Auffassung des Gerichts

nur um eine unverbindliche Meinungsäußerung dieses Beratungsgremiums.

Dieser Meinungsäußerung folgt das OLG Frankfurt nicht. Zwar fordert die Art. 29 Datenschutzgruppe eine „bejahende Handlung“ des Nutzers, durch die das Setzen des Cookies und die danach erfolgende Datenverarbeitung akzeptiert werden müsse. Dies beziehe sich jedoch nicht auf die Frage, ob eine Einwilligungserklärung auch im Rahmen des Opt-Out-Verfahrens eingeholt werden kann.

Möglichkeit der Verweigerung

Zudem stellt das OLG fest, dass der durchschnittliche Internetnutzer heute weiß, dass er ein Häkchen in einem Kästchen durch Anklicken des Feldes entfernen und damit seine Einwilligung verweigern kann. Ein ausdrücklicher Hinweis auf diese Möglichkeit ist daher nicht erforderlich.

Hervorhebung der Einwilligungserklärung

Auch ist es nicht unzulässig, dass wesentliche Informationen zum Einsatz des Cookies unter Datenverarbeitung nicht schon in der Einwilligungserklärung selbst, sondern erst in der verlinkten Erläuterung erteilt werden. Zwar verlangt § 28 Abs. 3a S. 2 BDSG hier, dass die Einwilligung „in drucktechnisch deutlicher Gestaltung besonders hervorzuheben” ist. Dies war jedoch der Fall. Denn die besondere Hervorhebung bezieht sich nur auf die Einwilligungserklärung selbst, und nicht auf die weiteren erläuternden Informationen, die durchaus (über einen deutlich gekennzeichneten Link) auf einer weiteren Informationsebene erteilt werden können.

Auch inhaltlich beanstandete das OLG Frankfurt die Einwilligungserklärung nicht. Insbesondere würden die Funktionen des Cookies richtig herausgestellt werden. Dabei müssen sich die Anforderungen an die erforderlichen Informationen für den Nutzer (wenn sie denn ihren Sinn erfüllen sollten) auch an der Fähigkeit und Bereitschaft des Nutzers orientieren, sich mit diesen Fragen überhaupt tatsächlich zu befassen.

Fazit

Die Frage, ob die ePrivacy-Richtlinie in Deutschland tatsächlich umgesetzt wurde oder nicht, stellt das OLG nicht. Selbst bei einer richtlinienkonform Auslegung der Richtlinie würde die Einholung einer Einwilligung für Werbezwecke im Rahmen eines Opt-Out-Verfahrens genügen. Die ausdrückliche Erteilung der Einwilligung (etwa durch aktives Ankreuzen eines Kästchens) ist also beim Einsatz von Cookies für Werbezwecke nicht erforderlich.

Post