Datenschutz Update 5/2022

Datenschutz Update 5/2022

Das Datenschutz Update 5/2022 ist da. Und es ist wieder einiges passiert. Manches mag auf den ersten Blick nicht wirklich spannend sein, weil es euch nicht direkt betrifft. Lasst euch aber da nicht täuschen.

Facebook-Fanpages im Visier der Datenschutzbehörden!

Die DSK schließt sich damit einem Gutachten der „Taskforce Facebook-Fanpages“ zur Frage der datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vom 18.03.2022 an. Nach Auffassung der Taskforce und der DSK ist der Betrieb einer Facebook-Fanpage derzeit nicht mit den datenschutzrechtlichen Bestimmungen vereinbar.

Die DSK als Zusammenschluss der einzelnen Datenschutzbehörden wird zunächst nur gegen Fanpages vorgehen die von Behörden bzw. öffentlichen Stellen betrieben werden. Private Unternehmen sind davon nicht betroffen. Ich gehe aber davon aus, dass sich hier die Rechtsauffassung nicht unterscheiden wird. Wann oder ob man überhaupt jetzt auch gegen private Unternehmen vorgeht ist nicht sicher. Ihr solltet die Entwicklung trotzdem zum Anlass nehmen und prüfen, ob eine Fanpage wirklich was bringt.

Eine erste Anhörung an das Bundespresseamt ist auch schon raus, wie das BFDI einer aktuellen Mitteilung veröffentlicht hat.

Quelle: Mitteilung der DSK, Kurzgutachten, Mitteilung des BFDI

USA: 3,4 Mio. Abfragen des FBI ohne Durchsuchungsbefehl

Ein Grund warum Fanpages von Facebook problematisch sind, ist der Transfer von personenbezogenen Daten in die USA. Warum der Transfer problematisch ist, zeigt eine Statistik des FBI. Rund 3,4 Mio. elektronische Daten von Amerikanern hatte das FBI im vergangenen Jahr gesammelt – ohne Durchsuchungsbefehl!

Möglich ist das auf Basis des Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA). Danach sind die US-Nachrichtendienste unter bestimmten Bedingungen befugt, den Inhalt ausländischer Kommunikation, einschließlich E-Mails, SMS und anderer elektronischer Mitteilungen, bei elektronischen Dienstanbietern ohne individuelle Durchsuchungsbeschlüsse zu erfassen.

Quelle: Annual Statistical Transparency Report Regarding the Intelligence Community’s Use of National Security Surveillance Authorities – ASTR

Klage gegen Google-Cookie-Banner eingereicht

Die Verbraucherzentrale NRW hat Klage gegen Google eingereicht. Nach Ansicht der Verbraucherzentrale NRW, verstößt der Cookie-Banner auf google.de gegen geltendes Datenschutzrecht.

Nach Ansicht der Verbraucherzentrale sind die Banner „so gestaltet, dass die Ablehnung einer Verarbeitung von Cookies erheblich aufwändiger als die Erteilung einer umfassenden Zustimmung ist“. Das Verstößt nach Ansicht der Zentrale gegen nationale Datenschutz-Regelungen aus dem Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) sowie gegen EU-Recht.

Tatsächlich ist die Ablehnung nicht ganz ohne. Welche Auswirkungen die Klage auch für Unternehmen aus dem Mittelstand hat bleibt abzuwarten.

Risikoanalyse und Datenschutz-Folgenabschätzung, Systematik, Anforderungen, Beispiele

Der Bayerische Landesbeauftragte für den Datenschutz hat eine Orientierungshilfe zur Risikoanalyse und Datenschutz-Folgenabschätzung herausgegeben. Dort werden auf 82 Seiten die Systematik, Anforderungen und Beispiele erläutert.

Das PDF findet sich hier: Risikoanalyse und Datenschutz Folgenabschätzung

Berechnung von Bußgeldern bei Datenschutzverstößen – Neue Leitlinien des EDSA

Die Berechnung von Bußgeldern nach der Datenschutz-Grundverordnung (DSGVO) ist ein heißes Thema. Die Formeln der Behörden sind wenig nachvollziehbar und führen stellenweise zu seltsamen Ergebnissen. Jetzt hat der Europäische Datenschutzausschuss (EDSA) neue Leitlinien zur Berechnung von Bußgeldern im Rahmen der DSGVO verabschiedet. Damit sollen die datenschutzrechtlichen Bußgeldbestimmungen europaweit vereinheitlicht werden. Allerdings sind auch die neuen Leitlinien recht komplex und keine einfache Tabelle. Das macht aber durchaus Sinn, um je nach Einzelfall ein „angemessenes“ Ergebnis zu erreichen.

Die Leitlinien sehen dabei 5 Schritte zur Berechnung vor:

  1.  Identifikation der relevanten Verarbeitungsvorgänge
  2. Ermittlung eines relevanten Ausgangspunkts für die weitere Berechnung (Art und Schwere des Verstoßes und der Umsatz des betroffenen Unternehmens spielen dabei eine zentrale Rolle)
  3. Berücksichtigung von erschwerenden und mildernden Umständen
  4. Plausibilitätsprüfung, ob sich das so ermittelte Bußgeld noch innerhalb des gesetzlichen Rahmens bewegt
  5. Finale Prüfung, ob das Bußgeld gleichermaßen wirksam, abschreckend und verhältnismäßig ist

Die Leitlinien findet ihr hier: Guidelines 04/2022 on the calculation of administrative fines under the GDPR (Document in Englisch)

LAG Kiel: Schadensersatzanspruch eines Arbeitnehmers bei unerlaubten Videoaufnahmen (hier maximal 2.000,- EUR)

Das Landesarbeitsgericht Kiel (LAG Kiel) musste sich mit der Frage nach Schadensersatz bei unerlaubten Videoaufnahmen befassen. Dabei hat es entschieden, dass ein Arbeitnehmer, der gegen seinen Arbeitgeber wegen unerlaubter Videoaufnahmen einen DSGVO-Schadensersatzanspruch geltend macht, allenfalls einen Betrag i.H.v. 2.000,- EUR geltend machen kann.

Der Fall ist allerdings besonders und sollte nicht verallgemeinert werden! Warum? Erstens hat das LAG Kiel nicht entschieden, dass der Klägerin ein Anspruch auf Schadensersatz i.H.v. 2.000,- EUR zusteht, sondern nur, dass ein solcher Anspruch in Betracht kommt. Damit ist noch nicht geklärt, ob die Klägerin gewinnt. Zweitens wurden die Videoaufnahmen mit Wissen und Wollen der Arbeitnehmerin angefertigt. Die Rechtswidrigkeit ergab sich nur aus formalen Gründen, weil die Einwilligung nicht schriftlich vorlag und die Arbeitnehmerin nicht genügend aufgeklärt wurde.

Was war passiert?

Die Klägerin war Angestellte der Beklagten. Es wurde u.a. mit der Klägerin ein Werbevideo für die Beklagte gedreht und auf YouTube veröffentlicht. Die Beklagte unterließ dabei aber, die schriftliche Einwilligung einzuholen und unterrichtete die Klägerin auch nicht konkret über den Verarbeitungszweck und das ihr zustehende Widerrufsrecht.

Bei Arbeitnehmern ist die Einwilligung nach § 26 Abs. 2 BDSG schriftlich einzuholen, wenn die die Rechtsgrundlage der Verarbeitung nur auf die Einwilligung gestützt werden kann. Das ist bei Bildern und Videos von Arbeitnehmern fast immer der Fall.

Nachdem die Klägerin gekündigt hatte, kam was kommen musste. Die Klägerin verlangte von der Beklagten Schmerzensgeld i.H.v. 6.000,- EUR.

Die Entscheidung

Nach Auffassung des LAG Kiel sei aber allenfalls ein Betrag i.H.v. 2.000,- EUR angemessen.

Das Gericht führt dazu aus:

„Unter Berücksichtigung und Abwägung aller Umstände des Einzelfalls stellt ein Schadensersatz in Höhe von 2.000,00 EUR die Obergrenze dar. Das hat das Arbeitsgericht auf Seite 3 und 4 des angegriffenen Beschlusses überzeugend begründet.

Es hat zu Recht darauf abgestellt, dass die Beeinträchtigung des Rechts der Klägerin am eigenen Bild hier nicht schwerwiegend war, da die Klägerin um die streitbefangenen Aufnahmen wusste. Sie hatte an dem Videodreh freiwillig mitgewirkt.

Die Klägerin hatte sich mit den Aufnahmen einverstanden erklärt, allein nicht in der gebotenen schriftlichen Form und ohne vorherige Unterrichtung über den Verarbeitungszweck und das Widerrufsrecht.

Dass die Aufnahmen (Einsteigen ins Auto, im Auto sitzend) die Intimsphäre der Klägerin berührt oder sie diskriminiert hätten, ist nicht erkennbar. Das Arbeitsgericht durfte bei der Bemessung des Schmerzensgeldes auch berücksichtigen, dass die Beklagte das Video umgehend aus dem Netz genommen hat, nachdem die Klägerin sie aufgefordert hatte, die Nutzung des Videos zu unterlassen.

Selbst wenn zugunsten der Klägerin berücksichtigt wird, dass es sich nicht nur um Fotos, sondern um kommerziell genutzte Bewegtbilder gehandelt hat und ein möglicherweise nur geringes Verschulden nicht zu Gunsten der Beklagten in die Betrachtung eingestellt wird (…), ist nach den Umständen des Falls kein 2.000,00 EUR übersteigendes Schmerzensgeld gerechtfertigt.”

Fazit

Die Entscheidung kann – wie gesagt – nicht einfach verallgemeinert werden. Es kommt immer auf den Einzelfall an. Man sollte aber hellhörig werden. Wenn bereits eine Videoaufnahme mit Wissen und Wollen eures Arbeitnehmers zu solchen Ansprüchen führen kann, dürfte die Höhe des Anspruchs in anderen Fällen durchaus anders aussehen.

Quelle: LAG Kiel, Beschl. v. 01.06.2022 – Az.: 6 Ta 49/22.

Abmahnung wegen Google Webfonts

Wir hatten bereits in einem der letzten Updates auf die Problematik mit der dynamischen Einbindung von Google Webfonts hingewiesen. Das Laden der Schriften über die Server von Google ist nur nach ausdrücklicher Einwilligung des Webseitenbesuchers zulässig. So ist jedenfalls die Auffassung einiger Datenschutzbehörden und auch des Landgericht München. Dieses hatte einen Websitebetreiber zu Schadensersatz in Höhe von 100 € verurteilt, weil dieser die Schriften ohne Einwilligung des Seitenbesuchers automatisch geladen hatte.

Es kam wieder wie es kommen musste: Das Urteil bildet aktuell die Basis für interessante Rundschreiben eines Herrn Hecht aus Langen. Der freundliche Herr Rau weist darauf hin, dass eine Einmündung nur mit Einwilligung der Besucher zulässig ist. Gleichzeitig verweist Terror auf das Urteil des Landgerichts München. Dabei empfiehlt er den Webseitenbetreiber freundlich das datenschutzwidrige Verhalten doch abzustellen. Und wer hätte es gedacht? Weil Herr Hecht selbst betroffen ist, möchte er natürlich auch für seine erlittenen Persönlichkeitsverletzung eine kleine Entschädigung. Er bietet dabei an, sich mit den 100 €, welche schon das Landgericht München als angemessen angesehen hat, zufrieden zu geben.

Und nun?

Was solltet ihr nun machen, wenn ihr auch ein Schreiben von Herrn Hecht bekommen habt? Tatsächlich gibt es keine Musterlösung.

Wenn ihr immer noch Google Web Fonts über dynamische Einbindung von den Google Servern ladet ist das mit hoher Wahrscheinlichkeit ein Verstoß gegen die DSGVO. Ob die 100 € Schadensersatz angemessen sind oder nicht, wird sich im Laufe der Zeit zeigen. Herr Hecht möchte keine Unterlassungserklärung, so dass zumindest keine Gefahr einer hohen Vertragsstrafe droht. Insofern wäre es durchaus eine gangbare Möglichkeit die 100 € einfach zu zahlen und einen Deckel auf die Sache zu machen. Damit würde allerdings die Masche von Herrn Hecht funktionieren. Wenn Herr Hecht die Sache einklagt und den Verstoß auch beweisen kann (was wir aktuell nicht wissen), könnte er durchaus in einem gerichtlichen Verfahren Recht bekommen. Ich gehe allerdings davon aus, dass es sich bei den Schreiben um Massenschreiben handelt. Und ich denke nicht, dass Herr Hecht alles einklagen wird oder kann. Ich kann mir auch vorstellen, dass er gegebenenfalls nicht immer alles nachweisen kann.

Das sind aber nur Vermutungen. Insofern können wir am Ende also nur folgendes raten. Wenn ihr die Sache einfach weghaben wollt und von der To-Do Liste streichen möchtet, ist die Zahlung der 100 € ein gangbarer Weg. Weitere Konsequenzen sind – aktuell jedenfalls ohne Unterlassungserklärung – nicht zu befürchten. Wenn euch solche Maschen auch gegen den Strich gehen, ist es auch eine Möglichkeit nicht zu zahlen und abzuwarten was passiert. Es kann hier allerdings durchaus passieren, dass die ganze Sache vor Gericht geht und dann im Endeffekt vielleicht teurer wird.

Google Webfonts solltet ihr aber jetzt in jedem Fall lokal einbinden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert