|
| |
Liebe Abonnentinnen und Abonnenten,
heute erhalten Sie den de lege data Newsletter 4/2021. Ich wünsche Ihnen viel Freude beim Lesen und ein schönes Wochenende.
|
|
|
| |
Aktuelle Beiträge im Blog
|
|
|
| |
Drittstaatentransfers: Deutsche Behörden planen Begutachtung der Rechtslage in den USA und Stichprobenprüfung bei Unternehmen
|
|
|
|
|
|
| |
LfDI Baden-Württemberg veröffentlicht seinen neuen Tätigkeitsbericht 2020
Die Datenschutzbehörde aus Baden-Württemberg hat kürzlich ihren neuen Tätigkeitsbericht veröffentlicht. Eine relevante Ansicht des LfDI: Art. 15 Abs. 1 lit. c DSGVO enthalte kein Wahlrecht für Verantwortliche bzgl. der Auskunft über konkrete Empfänger oder Empfängerkategorien. Zudem werden u.a. auch die Auswirkungen des Schrems II-Urteils betrachtet.
|
|
Datenschutzbehörde Bremen: Impfnachweis als Zugangsvoraussetzung unzulässig
Die Datenschutzbehörde aus Bremen hat eine kurze Pressemitteilung veröffentlicht, in der sie darauf hinweist, dass die Verarbeitung einer Kopie von Impfnachweisen durch private Unternehmen ihrer Ansicht nach weder auf der Grundlage der Vertragsdurchführung noch auf Basis einer Einwilligung von Veranstaltungsbesuchern zulässig wäre.
|
|
|
|
|
|
| |
Deutsche Regierung beschließt Gesetzentwurf zum Autonomen Fahren – Privacy by Design Pflicht für die Hersteller und „Datenhoheit“ für die Halter
Die deutsche Bundesregierung hat kürzlich den Entwurf für ein „Gesetz zum autonomen Fahren“ beschlossen. Der Entwurf (PDF) wird nun in die Beratung im Bundestag gehen.
Mit dem Entwurf soll im Straßenverkehrsgesetz (StVG) auch ein neuer §1g „Datenverarbeitung“ aufgenommen werden. In § 1g wird geregelt, dass und wie eine Datenverarbeitung durch das Kraftfahrt-Bundesamt und die zuständigen Landesbehörden in Bezug auf das Kraftfahrzeug mit autonomer Fahrfunktion zu erfolgen hat. Zudem wird eine Pflicht des Halters geschaffen, diese Daten zu speichern. Aus datenschutzrechtlicher Perspektive und dem Blickwinkel der Hersteller ist vor allem § 1g Abs. 3 interessant. „Der Hersteller muss den Halter präzise, klar und in leichter Sprache über die Einstellungsmöglichkeiten zur Privatsphäre und zur Verarbeitung der Daten informieren, die beim Betrieb des Kraftfahrzeugs in der autonomen Fahrfunktion verarbeitet werden. Die diesbezügliche Software des Kraftfahrzeugs muss dem Halter entsprechende Einstellungen ermöglichen.“ Nach der Begründung in dem Gesetzentwurf regelt dieser Absatz Anforderungen an den Hersteller bezüglich Aufklärung von Einstellungsmöglichkeiten zur Privatsphäre und Datenverarbeitung während des Betriebs des Kraftfahrzeugs mit autonomer Fahrfunktion. Dies muss dem Halter mittels Software präzise, klar und verständlich dargestellt werden. Zudem verlangt das Gesetz, dass dem Halter zu diesem Zweck die technischen und organisatorischen Einstellungen zu ermöglichen sind, um diesbezüglich Veränderungen der entsprechenden Einstellungen vornehmen zu können. Ausdrücklich wird in der Begründung auf den Grundsatz des „Privacy by Design“ verwiesen. Und dann erfolgt eine sehr interessante und sicher kontrovers diskutable Klarstellung: „Die Regelung basiert auf dem Verständnis, dass die Halterinnen und Halter die Berechtigten hinsichtlich der Daten sind, die beim Betrieb des Kraftfahrzeugs in autonomer Fahrfunktion anfallen, und dass die Hersteller die Ausübung der Datenhoheit technisch und organisatorisch ermöglichen müssen.“
|
|
|
|
| |
Cookie-Regelungen nach dem neuen TTDSG
Ebenfalls jüngst beschlossen hat das Bundeskabinett den Entwurf für ein „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) (PDF).
Zu dem Referentenentwurf, hatte ich schon einmal kurz berichtet. Der Regierungsentwurf wurde an einzelnen Stellen ggü. dem Referentenentwurf angepasst. Die für den Einsatz von Cookies aber auch andere Tracking-Technologien relevante Vorschrift ist nun § 24 TTDSG. Hiermit sollen die Vorgaben von Art. 5 Abs. 3 RL 2002/58/EG umgesetzt werden. Generell soll nun auch national vorgegeben werden, dass eine Einwilligung erforderlich ist, für das Speichern von Informationen in Endeinrichtungen oder den Abruf von Informationen, die in Endeinrichtungen der Endnutzer gespeichert sind. Anders als etwa der jetzige § 15 TMG, geht es in § 24 TTDSG nun auch klar um „Informationen“ und nicht etwa nur personenbezogene Daten. § 24 Abs. 2 TTDSG enthält die beiden aus Art. 5 Abs. 3 RL 2002/58/EG bekannten Ausnahmen, wann eine Einwilligung nicht erforderlich ist. In der Praxis dürfte für den Betrieb von Webseiten und Apps insbesondere Abs. 2 Nr. 2 relevant sein. Danach ist eine Einwilligung nicht erforderlich, wenn die Speicherung von Informationen oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Hierzu einige Anmerkungen. § 24 Abs. 2 Nr. 2 TTDSG spricht nicht von „technisch“ erforderlichen Zugriffen auf Informationen. Man könnte hieraus schließen, dass keine unbedingte technische Kausalität zwischen dem Zugriff auf Informationen oder der Speicherung von Informationen und der Bereitstellung des Dienstes erforderlich sein muss.
§ 24 Abs. 2 Nr. 2 TTDSG bezieht die Erforderlichkeit auf den jeweiligen „Telemediendienst“ (Art. 5 Abs. 3 RL 2002/58/EG spricht vom Dienst der Informationsgesellschaft). Bereits vor einiger Zeit haben die europäischen Datenschutzbehörden in ihrer Stellungnahme WP 194 (PDF) dargelegt, dass mit „Dienst“ nicht nur die gesamte Webseite oder App zu verstehen ist, sondern auch einzelne Features und Funktionalitäten auf der Webseite. Dies ist wichtig, denn es bedeutet, dass in der Praxis für einzelne Funktionalitäten auf einer Webseite geprüft werden muss, ob etwa der Einsatz von Cookies für diese Funktionalität ohne oder mit Einwilligung erfolgen kann.
Zuletzt noch ein Hinweis auf die Rechtsfolgen bei Verstößen. Nach § 26 Abs. 1 Nr. 13 TTDSG stellt der Verstoß gegen § 24 Abs. 1 S. 1 TTDSG eine Ordnungswidrigkeit dar. Nach § 26 Abs. 2 TTDSG kann dieser Verstoß mit einem Bußgeld bis zu 300.000 EUR geahndet werden. Also zwar nicht die hohen DSGVO-Bußgelder, aber auf jeden Fall eine deutliche Steigerung im Vergleich zum aktuell geltenden § 16 TMG.
|
|
|
|
| |
Aktuelle Rechtsprechung
|
|
|
| |
BVerfG zum Schadensersatzanspruch nach der DSGVO und zur Vorlagepflicht an den EuGH
Diese Woche wurde ein interessanter Beschluss des BVerfG (Beschl. v. 14.01.2021 - 1 BvR 2853/19) veröffentlicht, der zwei sehr praxisrelevante Aspekte rund um die Umsetzung und Anwendung der DSGVO behandelt. In dem Fall ging es, ganz grob zusammengefasst, um ein Verfahren eines Rechtsanwalts gegen ein Unternehmen wegen einer Werbe-E-Mail ohne vorherige Einwilligung. Der Kläger verlangte wegen der E-Mail u.a. auch Schadensersatz. Das zuständige AG Goslar lehnte diesen Anspruch mit der Begründung ab, dass eine (seiner Ansicht nach wohl erforderliche) Erheblichkeit der Beeinträchtigung des Klägers fehle und kein Schaden vorliege. Hiergegen legte der Kläger Verfassungsbeschwerde ein (Verletzung des Rechts auf den gesetzlichen Richter gemäß Art. 101. Abs. 1 S.2 GG). Das BVerfG gab der Verfassungsbeschwerde statt. Da das AG Goslar hier letztinstanzlich entschied (die Berufungsbeschwer wurde nicht erreicht und die Berufung nicht zugelassen) und offene Fragen zum Europäischen Recht, hier des Art. 82 DSGVO, entscheidungserheblich im Raum standen, hätte das AG Goslar nicht entscheiden dürfen, sondern den EuGH nach Art. 267 Abs. 3 AEUV im Rahmen eines Vorabentscheidungsersuchens anrufen müssen. Der erste relevante Aspekt der Entscheidung ist meines Erachtens die Klarstellung, wann nationale Gerichte umstrittene Fragen des Europäischen Rechts vorlegen müssen. Der Beschluss des BVerfG lässt sich zu einem gewissen Grad sicher als eine Art Blaupause für Gerichtsverfahren verwenden, in denen es ebenfalls letztinstanzlich um umstrittene Fragen zur Anwendung der DSGVO geht. Das national letztinstanzliche Gericht muss „seiner Vorlagepflicht nachkommen, wenn sich in einem bei ihm schwebenden Verfahren eine Frage des Unionsrechts stellt, es sei denn, das Gericht hat festgestellt, dass die gestellte Frage nicht entscheidungserheblich ist, dass die betreffende unionsrechtliche Bestimmung bereits Gegenstand einer Auslegung durch den Gerichtshof war (acte éclairé) oder dass die richtige Anwendung des Unionsrechts derart offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt (acte clair)“. Zudem geht das BVerfG materiellrechtlich kurz auf den Art. 82 DSGVO ein. „Dieser Geldentschädigungsanspruch ist in der Rechtsprechung des Gerichtshofs der Europäischen Union weder erschöpfend geklärt noch kann er in seinen einzelnen, für die Beurteilung des im Ausgangsverfahrens vorgetragenen Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden“. Die Ablehnung eines Schadensersatzanspruches (auf Ersatz immaterieller Schäden) allein wegen einer mangelnden Erheblichkeit des Eingriffs in die Rechte des Klägers, lehnt das BVerfG ab. Diese Anforderung ergebe sich weder aus der DSGVO direkt noch aus der Rechtsprechung des EuGH. Das AG habe sich „für die Ablehnung des Anspruchs auf ein Merkmal fehlender Erheblichkeit gestützt hat, das so weder unmittelbar in der DSGVO angelegt ist, noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet wird“. Man wird aus dieser Begründung wohl ableiten müssen, dass in Verfahren, in denen es um Schadensersatz geht, zumindest das Merkmal einer „Erheblichkeit“ nicht mehr als Voraussetzung verlangt werden darf.
|
|
|
|
