Seite wählen
Das Recht auf Vergessenwerden! BGH vom 27.07.2020

Das Recht auf Vergessenwerden! BGH vom 27.07.2020

BGH und das Recht auf Vergessen

Der Bundesgerichtshof BGH hat in einer Pressemitteilung über zwei anhängige Verfahren berichtet, die sich mit dem Recht auf Vergessenwerden auseinandersetzen. Der für das Datenschutzrecht zuständige Senat des BGH musste im ersten Verfahren über ein Auslistungsbegehren entscheiden. Der Geschäftsführer eines Regionalverbandes wurde in einem Artikel erwähnt, der in der Googlesuche erschienen ist. Der Kläger begehrte die Löschung dieses Eintrages. In seiner Entscheidung vom 27. Juli 2020 – VI ZR 405/18 hat der BGH die Revision zurückgewiesen.

Grundrechtsabwägung Art. 17 DSGVO

Der BGH prüft in solchen Fällen den Art. 17 DSGVO. Wörtlich heißt es:

„Der Auslistungsanspruch aus Art. 17 Abs. 1 DS-GVO erfordert nach der Rechtsprechung des Europäischen Gerichtshofs und dem Beschluss des Ersten Senats des Bundesverfassungsgerichts vom 6. November 2019 (1 BvR 276/17 – Recht auf Vergessen II) eine umfassende Grundrechtsabwägung, die auf der Grundlage aller relevanten Umstände des Einzelfalles und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person einerseits (Art. 7, 8 GRCh), der Grundrechte der Beklagten, der Interessen ihrer Nutzer und der Öffentlichkeit sowie der Grundrechte der Anbieter der in den beanstandeten Ergebnislinks nachgewiesenen Inhalte andererseits (Art. 11, 16 GRCh) vorzunehmen ist.“

In dem zu entscheidenden Verfahren überwog das Interesse von Google, Informationen der Öffentlichkeit zur Verfügung zu stellen. Viel wichtiger in dieser Entscheidung ist aber, dass der BGH von seiner bisherigen Rechtsprechung abgekehrt ist. Unter ausdrücklicher Aufgabe seiner bisherigen Rechtsprechung, entschied der BGH, dass Google nicht erst bei offensichtlichen Rechtsverletzungen löschen muss. Wir zitieren wörtlich:

„Aus diesem Gebot der gleichberechtigten Abwägung folgt aber auch, dass der Verantwortliche einer Suchmaschine nicht erst dann tätig werden, wenn er von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangt.“

Damit muss nicht Google erst bei klaren Rechtsverstößen löschen, sondern viel früher. Aber wann genau? Das ergibt sich aus der Mitteilung nicht. Es bleibt damit abzuwarten, was die Entscheidungsgründen dazu hergeben.

Löschung von Thumbnails

In dem Verfahren BGH VI ZR 476/18 vom 27. Juli 2020 geht es um die Löschung von Thumbnails. Hier hat der BGH keine Entscheidung getroffen, sondern dem Europäischen Gerichtshof (EuGH) zwei Fragen vorgelegt. Es ging um die Frage, ob Thumbnails (eine verkleinerte Vorschau von Originalbilder), gelöscht werden müssten, und zwar unabhängig von der Bezugnahme zum Inhalt des Artikels. Google verteidigte sich nämlich damit, dass es die Wahrheit, über den Inhalt des verlinkten Artikels nicht kennt. Daher wollte der BGH wissen, ob der Rechtsuchende vorher -beispielsweise mit einer einstweiligen Verfügung- die Wahrheit klären muss, bevor er die Entfernung eines Eintrages oder Thumbnails fordern kann.

Ausblick

Beide Fragen sind von höchster praktischer Relevanz und es bleibt abzuwarten, wie schnell der Europäische Gerichtshof (EuGH) sich dazu äußert. Da die Datenschutzgrundverordnung (DSGVO) eine europäische Verordnung ist, hat der EuGH solche Fragen auszulegen bzw. zu klären. Wir werden natürlich über den Ausgang des Verfahrens berichten, sobald wir näheres wissen.

Anwalt für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64 282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Beitragsbild: Guillaume Périgois

Privacy Shield ungültig (EuGH, Urteil in der Rechtssache C-311/18, 16. Juli 2020)!

Privacy Shield ungültig (EuGH, Urteil in der Rechtssache C-311/18, 16. Juli 2020)!

Datentransfer in einem Drittland

Mit Urteil vom 16. Juli 2020 hat der EuGH in der Rechtssache (Pressemitteilung und Urteil) Data Protection Commissioner / Maximillian Schrems und Facebook Ireland das Privacy Shield gekippt. Der EuGH hat den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt. Das ist mit Verlaub, eine Überraschung und hatte sich in der Form nicht abgezeichnet. Worum geht es? Kurz gesagt: Es geht um Datentransfer nach USA. Die USA sind im Hinblick auf den Datenschutz ein unsicheres Drittland. Damit geltend andere Regeln, als bei dem Transfer von Daten zwischen EU-Länder.

Privacy Shield

Die Rechtslage war bislang so, dass US-Unternehmen sich einem Privacy-Shield zertifizieren konnten. Haben sie die notwendigen Voraussetzungen dafür geschaffen, durften sie –vereinfacht gesagt- Daten von EU in die USA übermitteln. Der EuGH musste nun prüfen, ob der Beschluss 2016/1250 (Privacy-Shield) mit der Datenschutzgrundverordnung vereinbar ist. Ergebnis: Das hat der EuGH verneint. Der Grund liegt unter anderem darin, dass amerikanische Behörden auf Unternehmensdaten relativ einfach zugreifen können. Verkürzt dargestellt sagt der EuGH: Wenn ein deutscher Bürger einen Account bei Facebook hat, könnte die US-Administration darauf zugreifen.

Genauer stellt der EuGH laut Pressemitteilung fest: „Er (EuGH)kommt zu dem Ergebnis, dass die von der Kommission im Privacy Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.“

Standardvertragsklauseln

Die Entscheidung ist sehr neu und muss noch sorgfältig geprüft werden. Insbesondere hat der EuGH sich aber zu den Standardvertragsklauseln geäußert. Diese sind ein Weg, um Daten ins Drittland datenschutzkonform zu übermitteln. Hierzu werden wir einen gesonderten Beitrag verfassen.

Wen betrifft es?

Muss ich als Facebook-Nutzer etwas befürchten? Die Entscheidung betrifft in erster Linie Unternehmen, die Daten in die USA übermitteln und mit Unternehmen zusammenarbeiten, die im Privacy Shield Abkommen gelistet sind. Für diese wird es wichtig schnell auf Standardvertragsklauseln zu wechseln. Aber auch da existieren praktische Probleme. Es gibt auch weiter Möglichkeiten des Transfers, etwa über Corporate Binding Rules oder klassisch über Einwilligungen. Es kommt je nach Betrieb und Größe darauf an, was zweckmäßig ist. Insofern muss die Entscheidung des EuGH nochmals eingehend geprüft werden.

Was passiert bei Missachtung des Urteils?

Ein Urteil bedeutet erstmal, viele Presseberichte und Arbeit für Juristen. In praktischer Hinsicht werden sich die Datenschutzbehörden erstmals anschauen müssen, wo ein Datentransfer in die USA durchgeführt wird. Das wird rein praktisch eine gewisse Zeit in Anspruch nehmen. Die Datenschutzbehörden haben nach unserer Erfahrung genug zu erledigen. Dann kann es zu einem Bußgeldverfahren kommen, sofern kein datenschutzkonformer Datentransfer stattfindet. Nun kommt die Entscheidung des EuGH ins Spiel. Wann etwas datenschutzkonform ist, richtet sich nach der Datenschutzgrundverordnung und diese wird auch durch den EuGH ausgelegt. Insofern sollten Unternehmen prüfen, ob sie Daten in die USA übermitteln und sich fragen, auf welcher Rechtsgrundlage sie das bislang machen. Wir helfen Ihnen gerne, falls Sie hierbei Unterstützung benötigen.

Kanzlei für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Beitragsbild: Jasper Benning

Google Analytics und DSGVO! DSK-Beschluss

Google Analytics und DSGVO! DSK-Beschluss

DSK vom 12.05.2020

Mit Beschluss vom 12.05.2020 hat sich die Datenschutzkonferenz (DSK) erneut zu Google Analytics und DSGVO (Datenschutzgrundverordnung) geäußert. Die DSK stellt zunächst einmal klar, dass zwischen dem Nutzer von Google Analytics und Google LLC kein Auftragsverarbeitungsvertrag vorliegt. Kern der Aussage ist, dass Google LLC sich vorbehalte, die Daten auch zu eigenen Zwecken zu nutzen. Damit hat der Google Analytics Nutzer die Entscheidungsfreiheit. Daraus folgt wiederum, dass keine Auftragsverarbeitung vorliegt. Was meinen die Juristen nun damit?

Einwilligung Google Analytics

Für den praktischen Anwender, der typischerweise kein DSGVO Spezialist ist und nicht sein muss, bedeutet der Beschluss zweierlei:

  1. Es ist datenschutzrechtlich zulässig, Google Analytics zu nutzen.
  2. Es ist eine Einwilligung erforderlich.

Die gute Nachricht ist, dass dieses Tool zur Reichweitenmessung grundsätzlich benutzt werden darf. Etwas schwieriger wird es schon mit der Umsetzung. Erforderlich ist erstmal eine Einwilligung. Diese muss vorher erteilt werden und freiwillig sein. Außerdem fordert die DSK einen deutlichen Hinweis diesbezüglich, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“. Die einzelnen Schritte sind in dem Beschluss anschaulich durch die Behörde beschrieben. Wer Google Analytics nutzen will, sollte diese sorgfältig lesen und beachten. Wir haben Sie hier nochmals verlinkt.

Bußgelder

Man kann die Auffassung der DSK teilen oder nicht. Es ist nicht klar, wie ein Gericht, die Rechtslage einschätzen würde. Manche Kollegen teilen die Auffassung der Behörde nicht. Letztlich kann aber aus unserer Sicht empfohlen werden, den Weg der Behörde zu folgen, um ein Bußgeld auszuschließen. Die meisten Gerichte folgen -typischerweise- der Auffassung der Behörde. Wer also kein grundsätzliches Interesse an der Entwicklung des Datenschutzes hat, sollte die Anweisungen beachten.

Kanzlei für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Beitragsbild: Adeoulu Eletu

EuGH, Cookies, Google Analytics, Marketing nach DSGVO!

EuGH, Cookies, Google Analytics, Marketing nach DSGVO!

EuGH, Urteil vom 01.10.2019 – C-673/17 Planet 49

Ein Dauerthema im Datenschutzrecht und im Marketing ist die Zulässigkeit von Trackingmaßnahmen nach DSGVO mit Cookies oder Google Analytics und die Entscheidung des EuGH, die dazu ergangen ist. Der EuGH hat entschieden, dass „das Setzen von Cookies die aktive Einwilligung des Internetnutzers erfordert, ein voreingestelltes Ankreuzkästchen genügt daher nicht.“

Cookies

Die Judikatur des EuGH und die Stellungnahmen der Datenschutzbehörden behandeln Tracking und Marketing Cookies. Sogenannte Cookies, die  für die Funktion einer Webseite erforderlich sind können nach wie vor gesetzt werden ohne Einwilligung des Nutzers. Ziel der Rechtsprechung des EuGH ist der Schutz des Nutzers durch Information und Einwilligung. Ob dies praktisch sinnvoll ist oder nicht, ist keine juristische Frage. Es geht für uns Juristen darum, den Werbetreibenden zu erläutern, was derzeit in Hinblick auf Trackingcookies rechtlich zulässig ist. Wir sagen ausdrücklich „derzeit“, da die Datenschutzgrundverordnung DSGVO relativ jung ist und vieles im Fluss ist.

Google Analytics

Viele Webseitenbetreiber nutzen Google Analytics. Nach der obigen Rechtsprechung und den Auskünften der Datenschutzbehörden ist dies ein rechtliches Risiko. Wir verweisen insofern auf die Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit. Entscheidend ist, ob folgende Voraussetzungen erfüllt sind:

  • Einwilligung des Nutzers, die nicht voreingestellt ist (Diese muss nachgewiesen werden können)
  • Das Tool muss alle Cookies blocken, bis auf das der Einwilligung
  • Erst nach Einwilligung dürfen Cookies gesetzt werden
  • Jedes einzelne Tool ggfs. In Gruppen muss in den Cookies vorkommen

Nach Art. 13 DSGVO muss informiert werden, wie dies gewährleistet ist.

Marketing mit Cookies

Unsere Mandanten fragen uns in diesem Zusammenhang, was noch erlaubt ist. Wir können keine Empfehlung für andere Unternehmen anbieten. Es gibt aber individuelle Tools, die den Vorgaben entsprechen. Zunehmen wird die Fragen unter Anwälten diskutiert, ob in der Datenschutzerklärung, überhaupt Google Analytics auftauchen soll, weil ja dann die Behörde mit der Nase darauf gestützt wird. Dies kann nicht einheitlich für jede Behörde beantwortet werden und muss jedem Unternehmer selbst überlassen werden.

Kanzlei für Datenschutz

Wenn Sie Fragen zum Marketing und Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Beitragsbild: Merakist

Informationspflichten nach Art. 14 DSGVO und Makler

Informationspflichten nach Art. 14 DSGVO und Makler

Bußgeld DSGVO

Die Informationspflichten nach Art. 14 Datenschutzgrundverordnung (DSGVO) und Immobilienmakler scheinen ein gänzlich unbekanntes Thema zu sein. Nicht so für die Datenschutzbehörden. Das musste auch ein Mandant von uns erfahren, als er von der für ihn zuständigen Datenschutzbehörde Post bekam. Worum geht es?

Adresskauf

Immobilienmakler können nur verkaufen oder kaufen, wenn sie den Eigentümer der Eigentumswohnung oder der Immobilie kennen. Um an die Namen zu kommen, werden dann, je nach Bundesland, Anfragen bei Behörden gestellt. Diese geben bei Vorliegen eines berechtigen Interesses den Namen und die Anschrift des Eigentümers heraus. Die Makler kontaktieren nun den Eigentümer. In unserem Fall, war aber der Eigentümer gar nicht mit einer Kontaktaufnahme einverstanden. Prompt beschwerte er sich bei der Datenschutzbehörde.

Berechtigtes Interesse

Wie lautete der Vorwurf der Behörde? Es sollen Verstöße gegen Informationspflichten und im Hinblick auf die Erhebung von Daten begangen worden sein. Genauer: Ein Makler muss ein berechtigtes Interesse darlegen, weswegen er ausgerechnet diese personenbezogenen Daten dieses Eigentümers möchte. Hintergrund ist das Anliegen der Behörde, den massenhaften Abruf von Eigentümerdaten zu unterbinden. Früher wurden die Eigentümerdaten ganzer Straßen abgefragt und dann wurde Werbung versandt. Das geht heute nicht, ohne Darlegung eines konkreten berechtigten Interesses. Zumeist wird kein Interesse an der Abfragung einer ganzen Straße vorliegen. Aber kann der Makler im Einzelfall darlegen, dass er eine konkrete Anfrage eines Kunden für  genau dieses Haus oder Wohnung hat, liegt auch ein solches Interesse vor.

Informationspflichten  Art. 14 DS-GVO

Die meisten Makler haben auf ihrer Internetpräsenz Angaben zu Art. 13 DSGVO. Sie teilen mit, wie sie Daten verarbeiten, wenn jemand auf ihrer Seite ist. Wenn sie aber, wie unserem Fall, einen Eigentümer kontaktieren, verarbeiten sie Daten, die sie nicht beim Eigentümer erhoben haben. Nach Art. 14 DSGVO müssen sie aber darüber informieren. Sie müssen dem Betroffenen ein Blatt mit den in Art. 14 DSGVO enthaltenen Angaben übermitteln. Andernfalls können sie einen Datenschutzverstoß begehen und ein Bußgeld droht. Hier ist äußerste Vorsicht geboten.

Wir helfen Ihnen gerne bei der Erstellung der entsprechenden Informationspflichten nach Art. 14 DSGVO.

Kanzlei für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Beitragsbild: Brett Jordan

Aufzeichnungen von Telefongesprächen nach der DS-GVO und deren Zulässigkeit.

Aufzeichnungen von Telefongesprächen nach der DS-GVO und deren Zulässigkeit.

Aufzeichnung des Telefonats als Beweismittel

Häufig fragen mich Mandanten, ob es nach der neuen Datenschutzgrundverordnung (DS-GVO) zulässig ist, wenn jemand ein Telefongespräch aufnehmen möchte. Meist kommt diese Frage dann auf, wenn jemand bei einem Vertragspartner bsp. Internetanbieter anruft und dort gefragt wird, ob zu Qualitätszwecken das Gespräch aufgenommen werden kann. Außerdem schließen manche Mandanten Verträge per Telefon ab. Es stellt sich also die Frage, wann das nach der DS-GVO zulässig ist.

Beschluss der DSK Datenschutzkonferenz vom 23.03.2018

Die Datenschutzkonferenz (DSK), deren Beschlüsse eine sehr gute Orientierung für die spätere behördliche Entscheidung darstellen, hat hierzu folgendes veröffentlicht:

„Die Aufzeichnung von Telefongesprächen ist datenschutzrechtlich in aller Regel nur mit Einwilligung auch des externen Gesprächspartners zulässig. Eine datenschutzrechtlich wirksame Einwilligung im Sinne von Art. 4 Nr. 11 DS-GVO setzt voraus, dass der externe Gesprächspartner vor Beginn der beabsichtigten Aufzeichnung gefragt wird, ob er mit der Aufzeichnung einverstanden ist, und falls er einverstanden ist, gebeten wird, sein Einverständnis beispielsweise durch Aussprechen eines „Ja“ oder durch eine aktive bestätigende Handlung (etwa durch das Betätigen einer Telefontaste) eindeutig zum Ausdruck zu bringen. Diese Einwilligung umfasst nicht eine biometrische Auswertung. Die bloße Einräumung einer Widerspruchsmöglichkeit und das anschließende Fortsetzen des Telefonats stellen keine datenschutzrechtlich wirksame Einwilligung im Sinne der DS-GVO dar. Da der datenschutzrechtlich Verantwortliche nachweisen können muss, dass die betroffene Person eine wirksame Einwilligung erteilt hat (Art. 7 Abs. 1 DS-GVO), muss er auch nachweisen können, dass die betroffene Person die Einwilligung „in informierter Weise“ abgegeben hat (vgl. Art. 4 Nr. 11 DS-GVO).“

Vorsicht bei Aufzeichnung von Telefongesprächen

Durch die DS-GVO hat sich also letztlich nichts geändert. Eine Einwilligung ist nach wie vor erforderlich. Diese muss auch „nachgewiesen“ bzw. „dokumentiert“ werden. Das ist alles andere als einfach. Je nach Situation kann es mitunter erhebliche Schwierigkeiten bereiten. Soll man die Einwilligung mitaufzeichnen? Das geht erstmal nicht, da man ja nicht weiß, ob der Gesprächspartner damit einverstanden ist. Anzuraten ist, die Frage nach der Einwilligung zu wiederholen und dies dann aufzuzeichnen.

Folgen heimlicher Mitschnitt

Auf keinen Fall sollten Gespräche ohne Einwilligung des Gesprächspartners aufgezeichnet werden. Das wäre strafbar. Auf § 201 Strafgesetzbuch wird verwiesen. Wenn Sie also nicht einwilligen oder Ihr Gesprächspartner nicht einwilligt, dann wissen Sie, dass hier ein Datenschutzverstoß vorliegt. Was folgt daraus? Es können unter Umständen die Aussagen nicht in einem Gerichtsprozess verwertet werden. Es droht eine Anzeige nach §  201 StGB. Möglicherweise bestehen Unterlassungsansprüche wegen Verletzung des Persönlichkeitsrechts. Es ist äußerste Vorsicht geboten.

Für Fragen rund um den Datenschutz können Sie mich jederzeit telefonisch unter 069 405 64 282 oder per Email an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz (DS-GVO) in Frankfurt am Main