Moderation:
Was ist in der KW 49 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Empfehlungen & Lesetipps:
- Europäische Datenschutzausschuss (EDSA) veröffentlicht Leitlinien zu Artikel 48 DSGVO über Datenübermittlungen an Behörden in Drittländern
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/recaptcha-setzt-keine-technisch-erforderlichen-cookies-datenschutz-news-kw-49-2024/↗
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Wir starten heute wieder mit euch
und einem Datenschutz-Rückblick auf die vergangenen Tage ins Wochenende.
Hier bei der Migosens behalten wir ja die Nachrichtenlage die ganze Woche nach
Möglichkeit für euch im Blick.
Heute ist Freitag, der 6.12.2024.
Unser Rektionsschluss wie immer um 9.30 Uhr am ersten Freitag im Monat.
Mein Name ist Heiko Gossen.
Und mein Name ist Natalia Wosniak.
6.12. Natalia, da klingelt es ja.
Nikolaus.
Nikolaus, hast du was im Stiefel heute Morgen?
Ich habe leider vergessen, die rauszustellen. Oh nein. Oh nein,
aber vielleicht kommt der Nikolaus noch mal später noch mal rum.
Ja, ich hatte Glück. Ich hatte sie zwar nicht geputzt, das habe ich vergessen,
aber er stand sowieso draußen und dann war halt morgen noch was drin.
Ich hatte einen großzügigen Nikolaus, sagen wir es mal so.
Wahnsinn. Bei dir hingegen muss man schon eher wohnen als bei mir.
Okay, dann lass uns einsteigen. Was hast du heute mitgebracht für uns und unsere Zuhörer?
Ich habe heute einmal ein Urteil des EuGH zu Artikel 14 DSGVO,
ein Urteil vom OLG Schleswig-Holstein zu Paragraph 31 BDSG und der Interessenabwägung
und einmal die Zulassung von Neub als qualifizierte Einrichtung.
Spannende Themen. Ich hätte heute mit dabei ein Urteil aus Österreich zum Thema
Recapture, was auf vielen Webseiten eingesetzt wird.
Dann gucken wir auf eine Warnung der Bundesnetzagentur vor smarten Geräten und
zum Schluss noch eine Veröffentlichung mit im Rucksack.
Dann würde ich sagen, lass uns nicht weiter unsere Zuhörer auf die Folter spannen
und erklär uns mal, was der EuGH zu Artikel 14 gesagt hat.
Genau. Der EuGH hat sich mit der Auslegung von Artikel 14 beschäftigt,
vor allem Artikel 14 Absatz 5 Buchstabe c.
Für diejenigen, die Absatz 5 und Buchstabe c nicht so präsent haben,
dieser besagt, dass die Absätze 1 bis 4 nicht gelten und dass dementsprechend
eine Informationspflicht gegenüber den Betroffenen nicht gilt in dem Fall des
Artikel 14 Absatz 5a und die weiteren Buchstaben unter anderem eben c.
Der EuGH hat sich konkret mit drei Vorlagefragen beschäftigt.
Zu der ersten Vorlagefrage stellt der EuGH fest, dass Artikel 14 Absatz 5 Buchstabe C bzw.
Die darin vorgesehene Ausnahme, also die Ausnahme von der Informationspflicht.
Sich nicht auf personenbezogene Daten beschränkt, die der Verantwortliche von
einer anderen Person als dem Betroffenen erhalten hat,
sondern dass auch Daten, die der Verantwortliche selbst im Rahmen der Erfüllung
seiner Aufgaben aus solchen Daten erzeugt hat, dass die ebenfalls nicht ausgeschlossen sind.
Der EuGH begründet dies mit der Abgrenzung zu Artikel 13 DSGVO und demnach gehören
in den Anwendungsbereich von Artikel 14 alle Fälle,
in denen die Daten eben nicht bei der betroffenen Person erhoben wurden und damit auch Daten,
die der Verantwortliche selbst erzeugt hat.
Zu den weiteren Vorlagefragen, zu der Frage 2 und 3, hat der EuGH zusammenfassend
erläutert, dass die Aufsichtsbehörde im Rahmen eines Beschwerdeperfahrens auch prüfen darf,
ob das Recht des Mitgliedstaates dem der Verantwortliche unterliegt,
im Zusammenhang mit der Anwendung der Artikel 14 Buchstabe c des Absatzes 5
der DSGVO vorgesehenen Ausnahme geeignete Maßnahmen zum Schutz der berechtigten
Interessen der Betroffenen vorsieht.
Die Geeignetheit der Maßnahmen, zu deren Durchführung der Verantwortlichen Artikel
32 verpflichtet ist, ist jedoch nicht Gegenstand dieser Prüfung.
Bei dem zugrunde liegenden Sachverhalt ging es um das Bestehen einer Informationspflicht
bezüglich der Verarbeitung von personenbezogenen Daten durch eine Regierungsbehörde
der Hauptstadt Budapest.
Die konkrete Bezeichnung erspare ich mir an der Stelle.
Diese Behörde war konkret für die Ausstellung von Impfzertifikaten oder Immunitätszertifikaten
für Personen zuständig, die gegen Covid-19 geimpft wurden oder sich mit dieser
Krankheit infiziert hatten.
Die konkreten Inhalte der Zertifikate ergaben sich dabei aus dem ungarischen
Recht und ebenfalls aus dem ungarischen Recht ergab sich die Möglichkeit oder
die Verpflichtung der Behörde, Informationen teilweise auch bei anderen Stellen zu beziehen.
Von daher, ich glaube, der wichtige Punkt dabei ist einfach,
dass wir uns merken, dass Artikel 14, auch wenn das Urteil jetzt wirklich auf
Absatz 5 bezogen ist, Buchstabe C konkret,
dass insgesamt Artikel 14 auch für die Daten anwendbar ist, die eben nicht bei
den Betroffenen erhoben wurden,
aber potenziell auch selbst bei dem Verantwortlichen erzeugt wurden.
Gut, schauen wir nach Österreich. Das österreichische Bundesverwaltungsgericht
hat entschieden, dass Webseitenbetreiber die volle Verantwortung für Datenschutzverstöße
durch implementierte Dienste wie Google ReCapture tragen,
auch ohne direkten Zugriff auf die technische Gestaltung.
Das Bundesverwaltungsgericht in Österreich hat entschieden, die BetreiberInnen
einer Webseite haben bei der Nutzung von Google ReCapture gegen das Recht auf
Geheimhaltung verstoßen, im konkreten Fall hier.
Der Grund, sie haben keine wirksame Einwilligung der NutzerInnen eingeholt, so das Gericht.
Es hat klargestellt, dass das verwendete Cookie-GRE-CAPTCHA nicht notwendig
war, um die Webseite zu betreiben.
Es hätte also eine klare Zustimmung gebraucht. Außerdem wurden Nutzer hier nicht
ausreichend darüber informiert, dass Daten gesammelt und verarbeitet werden.
Das heißt, selbst wenn die technische Umsetzung ausgelagert wurde,
sind die Betreiber für die Datenschutzverstöße mit verantwortlich oder verantwortlich.
Die Betreiber argumentierten hier in dem konkreten Fall, dass sie nicht als
verantwortlich im Sinne der DSGVO gelten, da die technische Umsetzung der Webseite
von einem externen Dienstleister durchgeführt wurde.
Zudem hielten sie eine Einwilligung wohl nicht für erforderlich,
da Nutzer durch die Cookie-Einstellungen selbst entscheiden könnten,
wann Daten verarbeitet werden.
Sie vertraten also die Ansicht, dass die Nutzung von Google Recapture durch
frühere Einwilligungen der Nutzer, zum Beispiel bei anderen Webseiten oder auf
ihrem Endgerät wohl schon bereits gedeckt sein.
Das sah das Gericht anders und da kommt sozusagen dann glaube ich auch recht
gut heraus, wenn man sich das Urteil nochmal ansieht, dass halt die Interessenabwägung,
also das Stützen auf 6.1.f.
Hier vom Gericht nicht anerkannt wurde, nicht nur weil die Informationspflichten
im Vorfeld fehlten, die wir nach 21 hier haben, sondern halt auch,
weil es halt nicht technisch erforderlich ist, um die Webseite zu betreiben.
Finde ich mal ganz gut, ist österreichisches Bundesverwaltungsgericht,
aber jetzt nicht irgendwie nur ein Amtsgericht oder sowas, hier eine Meinung
vertritt. Von daher, glaube ich, hat das schon Gewicht.
Auch in Deutschland sollte man da, glaube ich, nochmal genau hingucken,
inwieweit man Recapture bisher datenschutzrechtlich gestützt hat und ob man
es schon im Rahmen der Einwilligung im Cookie-Banner auch drin hat.
Ich glaube, es ist für die Praxis sehr relevant, weil tatsächlich viele Webseiten,
auch bei einigen Mandanten, die wir beraten, die Webseiten und das Recapture,
was dort implementiert ist, zum Teil immer noch auf 6.1.f.
Gestützt wird und nicht auf die Einwilligung.
Ich glaube, damit haben wir ein bisschen Klarheit gewonnen und finde ich gut.
So, ich habe ebenfalls in meiner nächsten Meldung den Artikel 6.1f.
Konkret geht es um ein Urteil des OLG Schleswig-Holstein.
Das OLG hat sich mit der Rechtsgrundlage für die Einmeldung von ruckständigen
Forderungen an eine Wirtschaftsauskunft teilbeschäftigt.
Die Parteien haben sich im zugrunde liegenden Fall im Berufungsverfahren um
den Widerruf eines Negativ-Eintrags gestritten.
Das Gericht sagt hier, dass die Rechtsgrundlage für die Einmeldung einzig Artikel
6 Absatz 1f, also das berechtigte Interesse, sein kann und damit einzig 6 Absatz 1f in Betracht kommt.
Die Beweislast für den Nachweis, dass die Verarbeitung der Daten rechtmäßig
erfolgt, trägt die Beklagte, hier die Schufa.
Insofern, die Interessenabwägung ist durch die Schufa durchzuführen und auch nachzuweisen.
Das Gericht stellt dabei jedoch auch fest, dass die Abwägungskriterien für die
widerstreitenden Interessen nach herrschender Auffassung auch durch § 31 Absatz
2 BDSG konkretisiert werden können,
beziehungsweise dass § 31 BDSG als Auslegungshilfe bei der Anwendung des Artikel
6 DSGVO, also 6.1f DSGVO, herangezogen werden kann.
Denn § 31 BDSG soll den Wirtschaftsverkehr bei Scoring- und Bonitätsauskunft
schützen, insofern wird, so das Gericht weiter,
durch den Gesetzgeber Stillschweigen vorausgesetzt, dass nur Forderungen,
die den Anforderungen des § 31 Absatz 2 BDSG entsprechend berechtigt übermittelt
und für die Ermittlung von Scorewerten verwendet werden dürfen.
Denn auch wenn § 31 nach seinem Wortlaut auf die Verwendung eines von Auskunftteilen
ermittelten Wahrscheinlichkeitswertes über die Zahlungsfähigkeit und Zahlungswilligkeit sich darauf bezieht.
Sind die Informationen über eine nicht vertragsgemäß abgewickelte fällige Forderung
in ähnlicher Weise schutzrelevant wie die Ermittlung des Korwertes.
Allerdings sind die Kriterien, die sich aus § 31 BDSG ergeben,
keinesfalls abschließend zu das Gericht weiter, sondern sollen nur beispielhaft
die Interessenabwägung im Rahmen des Artikel 6 Absatz 1f ausformen.
Die in § 31 BDSG für die Zulässigkeit des Scrollings enthaltenen Maßstäbe haben
insoweit allerdings indizielle Bedeutung.
Von daher, wenn die Einmeldung von Forderungen auf Artikel 6.1.f.
Gestützt wird, sollten auch die Kriterien des § 31 BDSG mit berücksichtigt werden
bei der Dokumentation der Interessenabwägung durch die Wirtschaftsauskunft ein.
Habe ich nur das Gefühl oder haben wir gerade im Moment echt so einen Schwerpunkt
zu den berechtigten Interessen in der Rechtsprechung und wir haben jetzt auch
die Leitlinien vom ETSA dazu?
Oder ist das nur so dieser Effekt, wie wenn man ein neues Auto hat,
dass man plötzlich nur noch diese Modelle verstärkt im Straßenverkehr sieht?
Nee, es ist schon so, oder? Im Moment haben wir sehr viel rund um das Thema
berechtigtes Interesse.
Also ich glaube, wie gesagt, das ist ein Thema, da sollte man wirklich,
wirklich ernst nehmen, nochmal drauf zu schauen im eigenen Unternehmen.
Ich glaube, es ist tatsächlich so, dass wir das wirklich vermehrt haben und
im Zusammenhang auch mit meinem letzten Thema, zu dem ich nachher nochmal komme,
glaube ich, sind Unternehmen tatsächlich gut beraten,
sich anzuschauen, welche Verarbeitungen werden tatsächlich, ob das berechtigte
Interesse gestützt und liegen die erforderlichen Dokumentationen dazu auch vor?
Ist die Abwägung tatsächlich durchgeführt worden? Vielleicht muss die aktualisiert
werden angesichts des Etzerpapiers, was wir vor ein paar Wochen auch hatten,
was jetzt neu gekommen ist.
Vielleicht sind die auch schon vollständig, aber es lohnt sich auf jeden Fall
einen Blick ins Verfahrensverzeichnis, um zu schauen, gibt es da Handlungsbedarf.
Und ich glaube, das Widerspruchsrecht, der Hinweis auf die Verarbeitung von
berechtigten Interessen und das damit einhergehende Widerspruchsrecht nach 21,
sollte man nicht unterschätzen, auch wenn es nicht Direktwerbung ist.
Also da sieht man doch in der Praxis an sehr vielen Stellen,
dass diese expliziten Hinweise, das reicht ja nicht, dass nur die Datenschutzhinweise
zu schreiben, sondern der Betroffene muss ja explizit darauf hingewiesen werden,
nicht zusammen mit anderen Hinweisen.
Also da glaube ich, ist auf jeden Fall auch immer Prüfungsbedarf sinnvoll.
Definitiv, ja.
Okay, gehen wir weiter. Die Bundesnetzagentur warnt vor smarten Geräten mit
versteckten Kameras und Mikrofonen.
Die BNSA warnt vor smarten Geräten, die heimlich Audio- oder Videoaufnahmen
machen und kabellos übertragen könnten, denn solche Produkte sind in Deutschland,
wie die meisten von euch wahrscheinlich wissen, verboten.
Smarte Spielzeuge, Saugroboter oder Brillen können praktisch sein,
natürlich, keine Frage, bergen aber Risiken für die Privatsphäre,
wenn sie nicht klar signalisieren, dass sie aufzeichnen.
Besonders problematisch sind versteckte Kameras und Mikrofone,
etwa in Überwachungskameras, die nicht gut sichtbar sind, oder in Geräten wie
Futterautomaten, wenn sie zum Beispiel Heimlichtdaten aufnehmen und versenden.
Dazu Klaus Müller, der Präsident der Bundesnetzagentur, betont,
wie wichtig es ist, dass Aufnahmen eindeutig erkennbar sind,
gerade natürlich in sensiblen Bereichen wie Kinderzimmern.
Weil die BNZ hat wohl wieder zahlreiche Spionagegeräte entdeckt,
wie Halsketten mit Mikrofonen oder Rasierapparaten mit versteckten Kameras.
Neben dem, dass natürlich die Menschen und gerade wenn es dann in sensible Bereiche
wie Kinderzimmer oder so geht,
ich glaube, das ist klar, da sollten wir als Menschen vom Fach vielleicht auch
immer wieder daran denken, unsere Umwelt auch zu sensibilisieren für solche Dinge.
Ich habe einen Freund, der weiß mittlerweile, wenn ich komme,
dann schaltet der Alexa aus zum Beispiel.
Anderes Thema. Nee, aber ich glaube, was halt hier an der Stelle halt auch mal
wichtig ist für Unternehmen daran zu denken, dass sie halt auch ihre Mitarbeiter
sensibilisieren hinsichtlich Homeoffice.
Also wenn ich natürlich solche, ja ich nenne es mal einfach Wanzen oder heimlichen
Spione im Unternehmen quasi nicht habe, aber dann bei den Mitarbeitern zu Hause,
die da Teams-Calls, Videokonferenzen, Telefonate mit vertraulichen Inhalten führen,
dann habe ich da natürlich auch ein tatsächliches ernsthaftes Sicherheitsrisiko.
Und deswegen rate ich halt immer dazu, dass man sowas halt auch die Mitarbeiter
sensibilisiert oder vielleicht sogar in die Homeoffice-Richtlinie mit aufnimmt,
dass sowas halt explizit auch ausgeschlossen wird.
Und wie gesagt, dazu gehören für mich halt auch Sprachassistenten,
die haben auch nichts im Homeoffice verloren.
Ich glaube, das ist auch sehr wichtig, vor allem, weil uns die Geräte immer
mehr in der Praxis auch begleiten.
Ich habe letztens für meinen Hund ein Fütterungsautomat, wenn der Hund alleine
ist, mit einer eingebauten Kamera gefunden.
Das heißt, auch mit einem Mikrofon, damit man auch hören kann,
ob der Hund gerade Unsinn macht.
Und ich glaube, das zieht sich immer mehr durch unser Leben und umso wichtiger
finde ich wirklich, die Mitarbeiter im Homeoffice zu sensibilisieren,
weil je nachdem, in welchem Bereich die Mitarbeiter tätig sind,
dabei auch eben sensible Informationen oder auch Geschäftsgeheimnisse in die
Cloud und wer weiß, wohin gehen können.
Genau, deswegen immer Obacht, wenn Geräte mit dem Internet verbunden werden wollen.
Okay, ich komme zu meiner letzten Meldung. Und zwar wurde Neub, None of Your Business,
eine Organisation, die sicherlich viele oder fast alle unsere Zuhörer mittlerweile
kennen, als qualifizierte Einrichtung zur Erhebung von Verbandsklagen in der
gesamten EU zugelassen.
Neub kann damit nach der Verbandsklagenrichtlinie, also eine EU-Richtlinie 2020-1828,
für die diesmal nachlesen möchten, Unterlassungsklagen und auch Abhilfeklagen einbringen.
Das EU-System für kollektiven Rechtsschutz erlaubt, nämlich nur gemeinnützige
Organisationen aktiv zu werden und diese müssen als qualifizierte Einrichtung
erstmal anerkannt werden.
Dementsprechend hat Neub in zwei Mitgliedstaaten die Genehmigung als qualifizierte
Einrichtung beantragt, nämlich in Irland und in Österreich.
Beide Genehmigungen wurden nun erteilt und gelten innerhalb dieser Mitgliedstaaten,
aber auch grenzüberschreitend in der gesamten EU. Damit kann Neub als qualifizierte
Einrichtung in jedem EU-Mitgliedstaat Klagen erheben.
Dazu gehören zum einen Unterlassungsklagen, die es Neub, genauso wie jeder anderen
qualifizierten Einrichtung, ermöglichen, ein Unternehmen aufzufordern,
eine bestimmte Praxis einzustellen.
Hier können das Klagen sein gegen Tracking von Nutzerdaten, ohne gültige Einwilligung
oder im Falle einer Verwendung von Dark Patterns oder bei einem unrechtmäßigen
Verkauf von personenbezogenen Daten,
aber auch bei nicht transparenten oder unzulässigen Formulierungen in Datenschutzrichtlinien
oder bei Übermittlungen in Drittstaaten,
die eben keinen angemessenen Schutz bieten.
Die zweite Art von Verfahren könnten dann die Abhilfeverfahren sein,
die Neub demnächst auch vorantreiben kann.
Abhilfeverfahren greifen bei vergangenen und andauernden Verstößen,
wie etwa bei einer rechtswidrigen Datenverarbeitung.
In der Regel umfassen solche Fälle immateriellen Schadensersatz,
können aber auch zum Beispiel auf die Rückgabe des Gewinns, der durch eine unzulässige
Datennutzung erzielt wurde, gerichtet werden.
Insofern sind Unternehmen gut beraten, demnächst tatsächlich,
so wie wir das vorhin schon angedeutet haben,
ihre internen, aber auch externen Prozesse gut nochmal zu prüfen,
zu aktualisieren, denn Neub war in der Vergangenheit aktiv und es ist nicht
davon auszugehen, dass es jetzt an der Aktivität wieder mangeln wird.
Ich glaube, hier hat man Neub ein scharfes Schwert in die Hand gedrückt.
Ja.
Gut, kommen wir zu einer Veröffentlichung,
die ich noch mitgebracht habe und zwar der Europäische Datenschutzausschuss
hat auf seiner letzten Plenartagung Leitlinien zu Artikel 48 DSGVO über Datenübermittlungen
an Behörden in Drittländer veröffentlicht.
Die Leitlinien sind bis zum 27. Januar 25 Gegenstand einer öffentlichen Konsultation
und sie sollen den Umgang mit Anfragen von Behörden aus Drittstaaten regeln.
Grundsätzlich dürfen solche Anfragen ja nur auf Grundlage eines internationalen
Abkommens wie einem Rechtshilfevertrag anerkannt und umgesetzt werden.
Und der Ziel des Ätzers ist es halt hier auch weiterhin die Souveränität des
EU-Rechts zu wahren und sicherzustellen, dass der Datenschutzstandard der DSGVO
halt dadurch nicht unterlaufen wird.
Besonders im Fokus stehen direkte Anfragen von Drittstaatenbehörden an private
Unternehmen in der EU, wie etwa durch Steuer- oder Sicherheitsbehörden.
Der ETSA empfiehlt, jede Anfrage sorgfältig zu prüfen und sicherzustellen,
dass sie mit den Datenschutzvorgaben der EU im Einklang steht.
Dem kann ich mich natürlich nur anschließen und die Empfehlung aussprechen,
sich dann, wenn man solche Anfragen hat, auf jeden Fall mit diesen Leitlinien
dann auch intensiv zu beschäftigen.
Dem kann ich nichts mehr hinzufügen.
Wunderbar, dann sind wir durch für heute.
Wir wünschen euch natürlich noch einen schönen Nikolaustag, eine gute Adventszeit natürlich.
Er hört uns weiterhin regelmäßig. Vielleicht noch ein kleiner Hinweis,
wir werden dieses Jahr auch wieder eine kleine Silvestershow machen,
kleine in Anführungszeichen geschrieben. Wir haben jetzt auch schon einige Zusagen, was Gäste angeht.
Ich kann es so viel schon mal verraten. Es ist auch wieder eine Aufsichtsbehörde mit dabei.
Wir haben aber auch Leute aus der Wirtschaft. Also es wird wieder interessant.
Von daher merkt euch gerne den 30.12., glaube ich, veröffentlichen wir sie.
Oder einen 30. Mal sehen.
Egal, also wie gesagt, Ende des Jahres auf jeden Fall an die Silvester-Show
denken. Und in diesem Sinne, dir herzlichen Dank, Natalia.
Dir ebenfalls, Heiko.
Euch, wie gesagt, noch schönen Nikolaustag. Und bleibt uns gewogen. Und auf bald.
Bis zum nächsten Mal.
