News – kurz und knapp!

Heute, am 26.11.2019 ist es soweit: Die beschlossenen Änderungen des Bundesdatenschutzgesetzes treten in Kraft.

Was wurde jedoch genau geändert und welche Konsequenzen ergeben sich für Sie?

Neben Wortänderungen wie z.B. in § 4 BDSG und Änderungen, die den Bundesbeauftragten betreffen wie in § 9 BDSG, kommt es zu größeren Veränderungen, welche den § 22 BDSG betreffen. Wenn Sie besondere Kategorien personenbezogener Daten verarbeiten, lohnt sich ein neuer Blick in das Bundesdatenschutzgesetz.

Besonders interessant für die meisten Unternehmen ist die Änderung in § 38 Abs. 1 S. 1 BDSG, welcher regelt, dass Unternehmen nun erst mit mindestens 20 Personen, welche ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen müssen.

Veröffentlichung im Bundesgesetzblatt Teil I Nr. 41: https://www.bgbl.de/xaver/bgbl/start.xav#__bgbl__%2F%2F*%5B%40attr_id%3D%27I_2019_41_inhaltsverz%27%5D__1574679770668

http://www.xing-news.com/reader/news/articles/2741376?cce=em5e0cbb4d.%3AVsgRdG6ilLIpv8qzWmRlBM&link_position=digest&newsletter_id=52485&toolbar=true&top_articles_id=312646&xng_share_origin=email

Ein aktuelles Urteil des EuGHs erfordert eventuell Änderungen an Ihrer Webseite bzw. Ihrem Shop. Das Urteil bezieht sich auf Ihren Cookie-Banner und auch andere Trackingsoftware.

Was besagt das EuGH-Urteil?

Der Europäische Gerichtshof hat sich am 01.10.2019 klar für ausdrücklich eingeholte Cookie-Einwilligungen ausgesprochen. In dem Urteil ging es um eine Klage der Verbraucherzentrale Bundesverband gegen ein Unternehmen, welches im Rahmen von Gewinnspielen Daten für Werbezwecke Dritter sammelte.

Übertragen auf Webseiten entschied der EuGH, dass die sehr häufig genutzten Einwilligungsbanner wie z.B. „Wir nutzen Cookies-wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden“ nicht ausreichend und gesetzeskonform sind.

Die Weiternutzung der Webseite stellt keine klare und zweifelsfreie Einwilligung des Nutzers für den konkreten Fall der Cookie-Nutzung dar.

Cookies, welche nicht zwingend erforderlich sind, dürfen deshalb erst nach einer ausdrücklichen und informierten Einwilligung des Nutzers verarbeitet werden.

Wann sind Cookies für eine Webseite erforderlich?

Es wird unterschieden zwischen Cookies, die zwingend erforderlich sind und „Marketing-Cookies“. Welche Cookies erforderlich sind, wurde nicht entschieden, jedoch ist davon auszugehen, dass Warenkorb-Cookies eines E-Shops, der Log-In-Status einer Community und die Sprachauswahl auf einer internationalen Seite als erforderliche Cookies anzusehen sind.

Alle weiteren Cookies und vor allem Cookies für Zwecke des Marketings oder der Tracking-Softwares sind eindeutig nicht erforderliche Cookies und bei deren Verwendung muss eine ausdrückliche Einwilligung eingeholt werden.

Was bedeutet das für Sie/Ihr Unternehmen?

Das Urteil bezog sich zwar nur auf die Nutzung von Cookies, gemeint sind jedoch alle Technologien, die Daten auf den Geräten der Nutzer speichern und auslesen.

Die Einwilligung für die Nutzung von Cookies, Tracking-Softwares etc. muss somit ausdrücklich per Klick, am besten auf eine Schaltfläche oder einer Checkbox, erklärt werden. Spätestens nach dem Urteil ist es nicht mehr zulässig, dass die Cookies, etc. beim Betreten der Webseite bereits aktiv sind und der Nutzer sie deaktivieren muss.

Das EuGH-Urteil regelt weiterhin auch, dass der Nutzer über die Art und Funktionsweise, die Lebensdauer der Cookies und die Identität der Dienstleister, die die Cookies verarbeiten, informiert werden muss.

Der Nutzer muss auch gem. Art. 13 und 14 DS-GVO informiert werden, wer der Verantwortliche der Webseite ist und welche Rechte ihm zustehen, er muss vor allem auch auf sein Widerrufsrecht hingewiesen werden.

Es ist weiterhin zu beachten, dass der Nutzer die Möglichkeit haben muss, zu den einzelnen Cookies und Tracking-Softwares seine Einwilligung zu erteilen. Es darf somit nicht eine allgemeine Einwilligung für alle genutzten Cookies und Tracking-Softwares eingeholt werden.

Wir empfehlen weiterhin, darauf zu achten, dass die Häkchen zu den einzelnen Cookies und Tracking-Softwares nicht schon voreingestellt gesetzt sind. Der Nutzer muss aktiv seine Einwilligung erteilen und selbst die Häkchen setzen.

Da der Nutzer jederzeit seine Einwilligung widerrufen kann, empfehlen wir, die Möglichkeit, die Einstellungen zu ändern, deutlich und an einem gut sichtbaren Platz auf der Webseite zu platzieren.

Wer was geklickt hat, muss dokumentiert werden, damit es im Streitfall nachweisbar ist.

Um dieser Pflicht nachzukommen, empfehlen wir, einen externen Dienstleister einzubeziehen. Alternativ kann das natürlich auch selbst programmiert werden.

Am 18.10.2019 haben die Datenschutzbehörden in Deutschland ein einheitliches Bußgeldmodell veröffentlicht. Die Datenschutz-Aufsichtsbehörden des Bundes und der Länder in Deutschland haben sich im Grundsatz auf einen gemeinsamen Ansatz zur Bußgeldzumessung im Rahmen der DSGVO geeinigt. Zweck ist, den „Bußgeldkatalog“ der DSGVO zumindest in Deutschland zu vereinheitlichen.

Wenn in der gesamten EU zu einem späteren Zeitpunkt eine weitere Vereinheitlichung erfolgen sollte, ersetzt das EU-Modell dann das nun vorgelegte Modell. Ob die gesamte EU allerdings einen einheitlichen Bußgeldkatalog bekommt, ist bislang noch unklar.

Auszug aus den Anwendungshinweisen zur Bußgeldbemessung:

„Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2.), dann ein wirtschaftlicher Grundwert ermittelt (3.), dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.) und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.).“

Wir hatten in der Kanzlei schon für einige Mandanten Konversation mit den Datenschutzbehörden. Wir freuen uns, dass wir bisher alle, unseren Mandanten drohenden Bußgelder erfolgreich abwehren konnten.

Bisher verhängten die deutschen Datenschutzaufsichtsbehörden ungefähr 100 Bußgelder (keine Angabe von 2 Bundeländern), wobei das höchste verhängte Bußgeld 200.000 € betrug. Dies wurde gegen ein Berliner Unternehmen wegen nicht gelöschter Kundendatensätze und unzulässigen Werbemails verhängt. Das deutsche Unternehmen Knuddels.de musste das erste seit der DSGVO-Einführung verhängte Bußgeld in Höhe von 20.000 Euro wegen einer Datenpanne zahlen. Das Flirt-Netzwerk konnte wohl davon profitieren, dass es seinen Meldepflichten vorbildlich nachgekommen ist. Das Bußgeld von 80.000 Euro wurde in Deutschland wegen geleakter Gesundheitsdaten aufgrund unzureichender interner Kontrollmechanismen fällig. Wegen eines fehlenden Vertrags zur Auftragsverarbeitung musste das Versandunternehmen Kolibri Image 5.000 Euro zahlen. Die Datenschutzbehörde teilte mit, dass das Unternehmen den Dienstleister erst nach Vertragsschluss hätte beauftragen dürfen und verhängte das Bußgeld.

Europaweit waren die Bußgelder sehr viel höher.

So verhängte die französische Datenschutzbehörde gegen Google ein Bußgeld von 50 Millionen Euro.

In Portugal wurde gegen ein Krankenhaus ein Bußgeld von 400.000 € fällig, da zu viele Personen Zugriff auf Patientendaten hatten.

In England verhängte die Datenschutzbehörde ein Bußgeld in Höhe von 204 Millionen Euro gegen eine Fluggesellschaft wegen mangelnder Sicherheitsvorkehrungen und gegen eine Hotelkette ein Bußgeld in Höhe von 110 Millionen Euro, da diese massenhaft Kundendaten im Internet offenlegte.

In Dänemark wurde ein Bußgeld in Höhe von 200.000 € verhängt, weil ein Möbelhersteller Kundendaten über die Speicherdauer hinaus speicherte und gegen ein Taxiunternehmen ein Bußgeld in Höhe von 161.000 €, welches Daten von acht Millionen Fahrten speicherte und somit gegen das Minimierungsgebot verstieß.

In Polen wurde ein Bußgeld in Höhe von 221.000 € gegen ein Unternehmen verhängt, welches der Erfüllung der Auskunftspflicht nach Art. 14 DS-GVO nur unzulänglich nachkam.

Der Bundesdatenschutzbeauftragte Ulrich Kelber äußerte zu den zukünftigen Bußgeldern, dass die Zurückhaltung der Datenschutzbehörden natürlich auch immer weniger werde und es auch bald in Deutschland Bußgelder in Millionenhöhe geben werde.

Fazit: Wir empfehlen: Holen Sie sich professionelle Unterstützung im Datenschutz in Ihr Unternehmen.

Sie haben ein Schreiben von der Datenschutzauskunfts-Zentrale bekommen?

Zur Zeit werden Schreiben per Fax verschickt mit folgender Überschrift:

„Datenschutzauskunfts-Zentrale Erfassung Gewerbebetriebe zum Basisdatenschutz nach EU-DSGVO. Eilige Fax-Mitteilung“

Als Absender wird die DAZ Datenschutzauskunft-Zentrale in Oranienburg (DAZ-Zentrale Postverteilungsstelle (…) genannt.

Frist

In dem Schreiben wird eine Frist gesetzt. Das Schreiben soll danach bis zu einem bestimmten Datum „gebührenfrei an die EU-weite zentrale Faxstelle 0800/“ … der Datenschutzauskunft-Zentrale gesendet werden.

Schreiben einer Behörde?

Sind Sie im ersten Moment erschrocken, weil Sie gedacht haben, es handelt sich bei dem Schreiben der Datenschutzauskunft-Zentrale um ein Schreiben einer Behörde?

Unseres Erachtens wird genau dies von der Datenschutzauskunft-Zentrale bezweckt. Es handelt sich daher nach unserer Einschätzung um einen Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb.

Ebenso gibt es ein höchstrichterliches Urteil aus dem Jahre 2012, durch das die Rechtsposition von Adressaten derartiger Schreiben gestärkt worden ist. Der Bundesgerichtshof hat danach ein derartiges Schreiben mit versteckten Kosten unter dem Blickwinkel allgemeiner Geschäftsbedingungen betrachtet.

Was ist zu tun?

Unsere Empfehlung: Unterschreiben Sie den Antrag der Datenschutzauskunft-Zentrale nicht.

Schicken Sie das Fax nicht zurück.

Fax schon verschickt. Und jetzt?

Auch wenn man den Antrag der Datenschutzauskunft-Zentrale schon unterschrieben und zurückgeschickt hat, bestehen häufig gute Chancen, sich rechtlich zu wehren.

Gerne unterstützen wir Sie rechtlich in der Angelegenheit. Für eine kostenfreie Ersteinschätzung stehen wir Ihnen gerne zur Verfügung. 

Sabine Schenk

Rechtsanwältin Fachanwältin für gewerblichen Rechtsschutz

TÜV-zertifizierte Datenschutzbeauftragte (TÜV Süd)

Quelle: „das“ „Auf Allgäuer Unternehmen kommt viel Aufwand zu“, in: Allgäuer Zeitung (01.03.2018), Zeichnung: Küchle“

Artikel auch als PDF: Auf Allgäuer Unternehmen kommt viel Aufwand zu

„Jetzt wird ernst: Die neue Datenschutzgrundverordnung 2018! Datenschutz bei kleinen und mittelständischen Unternehmen und deren Umsetzung in der Praxis“ 

Vortrag von Frau Rechtsanwältin Sabine Schenk (TÜV- zertifizierte Datenschutzbeauftragte) vor dem Bund der Selbstständigen-Gewerbeverband Bayern e. V.

am 26. Februar 2018,19.30 Uhr

Allgäu Digital, Keselstraße 16 in 87435 Kempten

Der Vortrag ist kostenfrei. Um Anmeldung wird gebeten.

Das EU-Parlament hat dem Datenschutz-Rahmenabkommen zwischen der EU und den USA zugestimmt. Ob das EU-US-Datenschutzrahmenabkommens jedoch offiziell in Kraft treten kann, wird der Rat entscheiden.

Die EU-Justizkommissarin Frau Jourová hat dazu weiter ausgeführt, dass das Datenschutz-Rahmenabkommen zwischen der EU und den USA hohe Datenschutzstandards für Datenübermittlungen bei der Strafverfolgung setze. Es beziehe sich auf personenbezogenen Daten, die zwischen der EU und den USA zum Zwecke der Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten, einschließlich terroristischer Tätigkeiten, ausgetauscht werden.

Eine bedeutende Neuerung ist, dass die USA allen EU-Bürgern das Recht zugestehen, ihre Datenschutzrechte vor US-Gerichten geltend zu machen – ein Recht, das für US-Bürger in Europa bereits gilt.

Dem diesbezüglichen Klagerecht von EU-Bürgern vor US-Gerichten hat der US-Kongress mit der Verabschiedung des sog. „Judicial Redress Acts“ am 24.02.2016 zugestimmt.

Quelle: EU-Aktuell v. 01.12.2016

Ziel des EU-US-Privacy-Shield soll der verbesserte Schutz von Grundrechten der EU-Bürger bei dem Datenaustausch von personenbezogenen Daten in die USA sein.

Der Beschluss wird nun den Mitgliedstaaten zugeleitet. In den USA wird der Rahmen im US-Bundesregister veröffentlicht.

In dem EU-US-Privacy-Shield (EU-US-Datenschutzschild) ist unter anderem folgendes geregelt:

Die Rechte  der einzelnen die Bürger sollen gestärkt werden. Zum Beispiel soll ein kostenloses Verfahren der alternativen Streitbeilegung zur Verfügung gestellt werden. Außerdem sollen die nationalen Datenschutzbehörden mit der Federal Trade Commission zusammenarbeiten, um etwaigen Beschwerden nachzugehen und abzuhelfen. Im Außenministerium soll außerdem eine Ombudsstelle eingerichtet werden, an die sich Bürger mit Rechtsschutzbegehren (Bereich der nationalen Sicherheit) wenden können. Zum leichteren Verständnis für die EU-Bürger plant die Kommission, einen „Bürger-Leitfaden zur Erläuterung der Rechtsbehelfe“ zu veröffentlichen.

Unternehmen, die Daten verarbeiten, sollen strenge Auflagen bekommen. Das US-Handelsministerium soll die Liste der teilnehmenden Unternehmen regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass die Unternehmen die Regeln einhalten, denen sie sich selbst unterworfen haben. Unternehmen soll die Gelegenheit gegeben werden, im Hinblick auf die Einhaltung der Regeln Anpassungen vornehmen zu können.

Die USA haben der EU zugesichert, dass der Datenzugriff von Behörden aus Gründen der Rechtsdurchsetzung oder der nationalen Sicherheit lediglich unter der Voraussetzung der Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sein werde.

(Quelle: EU-Aktuell v. 12.07.2016)

„Das sicherste Mittel, um teure Rechtsverletzungen mit weitreichenden Folgen beim Datenaustausch mit amerikanischen Unternehmen zu vermeiden, ist, ergänzende Individualvereinbarungen zu schließen.“, weiß Frau Rechtsanwältin Sabine Schenk, Europajuristin (Universität Würzburg) und TÜV-zertifizierte Datenschutzbeauftragte, Inhaberin der Anwaltskanzlei Schenk. Dabei werde im Unternehmens- Alltag oft vergessen, dass z.B. auch Zahlungsdiensteanbieter oder Web-Conference-Anbieter oft amerikanische Unternehmen sind. Hier sollte ein besonderes Augenmerk auf die Datenschutzerklärungen und weiteren individuellen Verträge gelegt werden.

Im Einzelfall sollte der Rat eines spezialisierten Rechtsanwalts herangezogen werden. Profitieren Sie von unseren aktuellem rechtlichem Kenntnisstand und unserem Spezialwissen. Frau Rechtsanwältin Schenk ist Inhaberin der Anwaltskanzlei Schenk (www.anwalt-datenschtzbeauftragter.de) und Spezialistin für IT-Recht und Gewerblichen Rechtsschutz (Wettbewerbs-/Werbe-, Marken-, Urheber-, Patentrecht) sowie TÜV-zertifizierte Datenschutzbeauftragte.

Nutzen Sie Lösungsansätze, die Sie weiter bringen: Mit modernen Onlinedatenbanken und Software, mit täglich hoher Einsatzbereitschaft und Professionalität bearbeiten wir Ihre Anliegen schnell und zuverlässig. Für Ihre Außendarstellung stellen wir Ihnen Marketingmaterialien zur Verfügung. So geben Sie Ihren Kunden Sicherheit und schaffen Vertrauen, auch bei der Neukundengewinnung.

Auf Ihre Fragen freue ich mich und beantworte sie persönlich.

Sabine Schenk