„Alle Jahre wieder…“ – So beginnt eines der wohl schönsten und bekanntesten Kinderweihnachtslieder. Außerdem ist es mittlerweile auch gute Tradition geworden, dass wir im Dezember einen kurzen Rückblick auf das vergangene Jahr werfen, also eben auch alle Jahre wieder. Im ersten Teil unseres Jahresrückblick 2025 wollen wir uns den Monaten Januar bis Juni 2025 widmen. Neben unseren Einzelbeiträgen spazieren wir natürlich über das gesamte Jahr hinweg durch die Datenschutz-Grundverordnung.

Januar

In den ersten Januartagen des Jahres sorgten allem vorab zwei Urteile für Aufsehen. In seinem Urteil vom 8. Januar 2025 hat das Gericht der Europäischen Union (EuG) die Europäische Kommission aufgrund einer rechtswidrigen Datenübermittlung in die USA (konkret an Amazon Web Services – AWS) zu einem Schadenersatz in Höhe von 400€ verurteilt (Rs. T-354/22). Zudem beschäftigte sich der Europäische Gerichtshof (EuGH) in seinem Urteil vom 9. Januar 2025 (Rs. C-394/23) mit dem berechtigten Interesse nach Abwägung (Art. 6 Abs. 1 UAbs. 1 lit f) DS-GVO) sowie mit den Anschlussfragen, in welchem Umfang über die Interessenabwägung informiert werden muss und welche Auswirkungen eine fehlende Information auf die Datenverarbeitung hat. Mit dem zweiten Urteil haben wir uns hier auseinandergesetzt.

Während die Evaluierung der Datenschutz-Grundverordnung noch auf sich warten lässt, gab es bereits eine Reform des Datenschutzes der evangelischen Kirche, über die wir berichtet haben. Allerdings sei noch erwähnt, dass die EKD-Synode bereits im November 2024 beschlossen und mit Wirkung zum 1. Mai 2025 ihre Wirkung entfaltet hat.

Abseits von den inhaltlichen Themen war im Januar dieses Jahres für die Datenschutzwelt vor allem das Ableben von Jürgen Taeger ein zentrales und trauriges Thema. Wir haben in unserem Block ebenfalls einen Nachruf verfasst.

Februar

Im Februar gab es mal wieder Anlass sich mit den Fragen rund um Datentransfers in die USA und konkret mit dem EU-U.S. Data Privacy Framework hier und hier zu beschäftigten. Daneben spielte auch der Evergreen, die E-Mail-Verschlüsselung eine Rolle.  Schuld ist das Urteil des Oberlandesgericht (OLG) Schleswig-Holstein vom 18. Dezember 2024 (Az. 12 U 9/24). Das OLG entschied in der Sache, dass die Sicherheitsmaßnahmen (hier: Transportverschlüsselung) nicht für den konkreten Fall der E-Mail-Kommunikation angemessen und ausreichend gewesen sei. Alles zum Nachlesen in unserem Beitrag.

März

Wie derzeit die Politik, beschäftigen auch wir uns mit der Rolle des Datenschutzbeauftragten (DSB). In unserem ersten Beitrag widmen wir uns der Vertraulichkeit des DSB. Hintergrund: Gemäß Art. 38 Abs. 5 DS-GVO ist der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Doch was bedeutet das konkret? Die Antwort gibt es hier. Anschließend gehen auch wir der Frage nach: Was wird aus der Pflicht zur Benennung eines Datenschutzbeauftragten? Die Frage ist für die Umsetzung des Datenschutzrechtes in den verantwortlichen Stellen äußert praxisrelevant.  

Die Informationssicherheit kommt bei uns keines Falles zu kurz. Wir befassen uns mit den Anforderungen der Informationssicherheit auf Auslandsreisen und setzen uns mit dem Fakt auseinander, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) nunmehr als Zertifizierungsstelle nach dem (Rechtsakt zur Cybersicherheit), auch „Cybersecurity Act“ (CSA) fungiert.

In einem weiteren Beitrag betrachten wir eine Schnittstelle zwischen IT-Sicherheit und Datenschutz, konkret welche Erlaubnisnorm trägt, wenn die Umsetzung technischer und organisatorischer Maßnahmen – z. B. nach der NIS-2-Richtlinie – die Verarbeitung personenbezogener Daten fordert. Außerdem hat auch die Sächsische Datenschutz-Aufsichtsbehörde ihren Tätigkeitsbericht für das Jahr 2024 im März veröffentlicht, welchen wir natürlich auch in einem Beitrag betrachtet haben.

April

Im April knüpfen wir an das Thema der Verarbeitung personenbezogener Daten zur Sicherstellung von IT-Sicherheit bzw. Datensicherheit an. Dieses Mal richten wir mit unserem Beitrag den Blick auf Art. 32 DS-GVO.

Wie eingangs bereits angeteasert steht auch eine Reform der Datenschutz-Grundverordnung in Rede. Mit Blick auf die lange Entstehungsgeschichte, wurde in Fachkreisen immer wieder spekuliert, die Europäische Kommission habe in Bezug auf die DS-GVO Angst, die Büchse der Pandora zu öffnen. Doch zwischenzeitlich scheint die Europäische Kommission erkannt zu haben, dass die fortschreitende Digitalregulierung in der Europäischen Union sich zu einem Standortproblem entwickeln könnte. Dass die DS-GVO in den kommenden Jahren eine Anpassung erfährt, wird demnach immer wahrscheinlicher.

Mai

In Fortsetzung der Beiträge aus März und April befassen wir uns auch im Mai mit dem Thema der Sicherheitsanforderungen als Rechtspflicht, der Beitrag befasst sich mit weitergehenden Fragen rund um Art. 32 DS-GVO. Ebenso schauen wir bei Art. 6 Abs. 1 DS-GVO schauen wir einmal genauer hin und fragen uns: Was steht eigentlich in Art. 6 Abs. 1 UAbs. 2 DS-GVO? Diese Norm kann ebenfalls Auswirkungen im Bereich IT- und Cybersicherheit für öffentliche Stellen bzw. Behörden haben.

Juni

Ein anderes datenschutzrechtlich sehr bedeutsames und für die Praxis relevantes Thema adressieren wir im Juni: Anforderungen bei dem Einsatz von KI-Systemen – in einem ersten Beitrag „Datenschutzrechtliche Transparenzanforderungen bei Nutzung von KI“. Neben den Transparenzanforderungen nach der KI-Verordnung kann auch die Datenschutz-Grundverordnung spezifische Regelungen zur Transparenz im Zusammenhang mit einem Einsatz Künstlicher Intelligenz bereithalten. Art. 13 Abs. 2 lit. f) DS-GVO normiert die Bereitstellung von aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer automatisierten Entscheidungsfindung.

Eine weitere für die Praxis bedeutende Norm ist Art. 82 DS-GVO. Hier wird der datenschutzrechtliche Schadenersatzanspruch normiert. So kann es möglicherweise Schadenersatz wegen verspäteter Auskunftserteilung geben.

Last but not least widmet sich ein Beitrag einem Urteil zu Cookie-Banner und Google Tag Manager des Verwaltungsgerichtes Hannover (VG Hannover, Urt. v. 19.3.2025, Az. 10 A 5385/22). In dem Urteil trifft das Gericht konkrete Aussagen zur Ausgestaltung von Lösungen zum Einwilligungsmanagement auf Internetseiten („Cookie-Banner“) sowie zur Einwilligungsbedürftigkeit des Google Tag Manager.

… und in der kommenden Woche geht es weiter mit unserem Jahresrückblick mit den Monaten Juli bis Dezember 2025!

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Ende März 2025 legte die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert ihren Tätigkeitsbericht für das Jahr 2024 vor. Der Bericht bietet auf mehr als 200 Seiten einen umfassenden Überblick über die Arbeit der Aufsichtsbehörde und benennt zentrale Entwicklungen im Bereich des Datenschutzes. Im Folgenden werden die wichtigsten Befunde und exemplarische Fälle zusammengefasst.

Steigende Zahl von Beschwerden und Datenschutzverletzungen

Der Trend steigender Fallzahlen setzte sich auch im Berichtsjahr 2024 fort. Insgesamt 1.255 Beschwerden, Beratungsanfragen und Kontrollanregungen gingen bei der Aufsichtsbehörde im vergangenen Jahr ein. Das entspricht einem Anstieg von rund acht Prozent gegenüber dem Vorjahr. Die Zahl der gemeldeten Datenschutzverletzungen überschritt erstmals die Marke von tausend: 1.001 Vorfälle wurden durch sächsische Verantwortliche der Aufsichtsbehörde gemeldet.

Die häufigsten Ursachen waren klassische Fehlversendungen, etwa durch falsche Adressierungen bei Postversand oder fehlerhafte E-Mail-Verteiler, der Verlust technischer Geräte wie Laptops sowie Cybervorfälle, etwa durch Phishing- oder Ransomware-Angriffe. Ein praktisches Beispiel betrifft den Diebstahl von Kameras aus einer Kindertageseinrichtung, auf denen Bilddaten von Kindern gespeichert waren. Ein weiterer Fall betraf den Verlust unverschlüsselter Notebooks mit Gesundheitsdaten. Die Behörde betonte erneut die Bedeutung technischer und organisatorischer Maßnahmen, um Datenschutzverletzungen zu verhindern oder deren Auswirkungen zu begrenzen.

Maßnahmen der Aufsichtsbehörde

Nach den Angaben des Tätigkeitsberichtes griff die Aufsichtsbehörde zur Durchsetzung datenschutzrechtlicher Anforderungenauf verschiedene Instrumente zurück. Im Jahr 2024 wurden 11 Warnungen, 47 Verwarnungen sowie 40 Anweisungen und Anordnungen ausgesprochen. Daneben verhängte die Behörde 21 Bußgelder. Die Gesamthöhe belief sich auf 199.000 Euro im nichtöffentlichen Bereich und 14.580 Euro im öffentlichen Bereich.

Ein erheblicher Teil der Bußgeldverfahren betraf unzulässige Videoüberwachungen oder den Einsatz von Dashcams. Beispielhaft erwähnt wird die Nutzung von Dashcams durch Fahrzeugführerinnen und Fahrzeugführer, bei denen Aufnahmen ohne konkreten Anlass und über längere Zeiträume hinweg gespeichert wurden. In diesen und weiteren Fällen wurden Bußgelder zwischen 100 Euro und 1.000 Euro verhängt.

Prüfungen von Internetseiten

Ein wesentlicher Schwerpunkt der behördlichen Tätigkeit war im vergangenen Jahr die automatisierte Überprüfung von 32.981 Internetseiten sächsischer Behörden, Unternehmen und Vereine. Die Prüfungen konzentrierten sich darauf, ob bereits bei einem ersten Aufruf einer Internetseite ohne Einwilligung personenbezogene Daten an Drittanbieter übermittelt werden. Bei etwa 66 Prozent der geprüften Seiten wurde eine solche Übertragung festgestellt, häufig an Google-Dienste wie Google Analytics oder Google Fonts.

In der Folge leitete die Aufsichtsbehörde ein Massenverfahren ein und kontaktierte 2.304 Seitenbetreiber, die überwiegend Google Analytics ohne rechtmäßige Einwilligung eingesetzt hatten. Die Nachkontrolle ergab, dass rund 65 Prozent der Verantwortlichen die festgestellten Verstöße beseitigt hatten. Häufige Fehlerquellen waren etwa voreingestellte Tracking-Dienste trotz Anzeige eines Einwilligungsmanagements („Cookie-Banner“) oder unzureichende Informationen im Rahmen der Einholung der Einwilligung. Der Bericht zeigt, dass weiterhin erheblicher Nachbesserungsbedarf bei der praktischen Umsetzung von Einwilligungsanforderungen besteht.

Dauerbrenner Videoüberwachung

Auch im Bereich der Videoüberwachung blieb der Beratungs- und Prüfbedarf hoch. Mehr als zwei Drittel der im nichtöffentlichen Bereich eingeleiteten Ordnungswidrigkeitenverfahren standen im Zusammenhang mit Verstößen bei Videoüberwachungen. Häufig wurden fehlende Hinweisschilder bemängelt, die betroffenen Personen nicht klar und verständlich über die Überwachung informieren. Zudem fehlte in vielen Fällen eine klare Zweckbestimmung, und überwachte Bereiche umfassten auch öffentlich zugängliche Flächen, ohne dass hierfür ein ausreichender Rechtfertigungsgrund vorlag.

Zur Unterstützung bei der Umsetzung datenschutzkonformer Videoüberwachung veröffentlichte die sächsische Datenschutz-Aufsichtsbehörde 2024 eine überarbeitete zweite Auflage der Broschüre „Achtung Kamera!“, die praxisnahe Hinweise zur rechtssicheren Gestaltung von Videoüberwachungsmaßnahmen bietet.

Beschäftigtendatenschutz

Ein weiterer Schwerpunkt lag im Bereich des Schutzes von Beschäftigtendaten. Die Aufsichtsbehörde stellte beispielsweise fest, dass in mehreren Fällen vertrauliche personenbezogene Daten von Beschäftigten, etwa Gesundheitsdaten oder Kündigungsgründe, in Betriebsversammlungen oder internen Bekanntmachungen unzulässig offengelegt wurden. Die Aufsichtsbehörde weist in diesem Kontext ausdrücklich darauf hin, dass Personalaktendaten stets streng vertraulich zu behandeln sind. Auch mündliche Offenbarungen sensibler Informationen gegenüber nicht berechtigten Dritten sind unzulässig.

„Das Gebot der Gewährleistung der Vertraulichkeit in Bezug auf Personalaktendaten ist eine Verpflichtung des Arbeitgebers, die sowohl innerhalb der Dienststelle bzw. des Betriebes und auch gegenüber außenstehenden Dritten besteht. Die Personalakte ist daher vertraulich zu behandeln, vor unbefugter Einsicht zu schützen und der Zugriff nur für solche Beschäftigten und auf solche Daten zuzulassen, wie dies im Rahmen der Personalverwaltung erforderlich ist.“, so Dr. Juliane Hundert im Rahmen des Tätigkeitsberichtes.

Cyberkriminalität als zunehmende Bedrohung

Der Tätigkeitsbericht weist ferner darauf hin, dass Meldungen von Datenschutzverletzungen infolge von Cyberangriffen weiterhin eine zentrale Rolle spielen. Derartige Vorfälle umfassen insbesondere Phishing-Angriffe, Ransomware-Attacken sowie das Ausnutzen von Sicherheitslücken.

Ein typisches Beispiel aus dem Berichtsjahr war die Kompromittierung von E-Mail-Konten, die in mehreren Fällen dazu führte, dass unbefugte Dritte Zugriff auf personenbezogene Daten erlangten. In einigen Fällen wurden dadurch vertrauliche Kommunikationsdaten abgegriffen oder betrügerische E-Mails im Namen betroffener Organisationen verschickt. Die Behörde empfiehlt, den Schutz technischer Systeme regelmäßig zu überprüfen und organisatorische Maßnahmen wie Sensibilisierungstrainings für Beschäftigte zu etablieren, um das Risiko von derartigen Datenschutzverletzungen und Sicherheitsvorfällen zu verringern.

Fazit

Der Tätigkeitsbericht zeigt, an welchen Stellen Verantwortliche in Sachsen gezielt ansetzen können, um datenschutzrechtliche Anforderungen im Alltag besser umzusetzen. Ob bei einem Betrieb von Internetseiten, bei der Gestaltung von Videoüberwachungsmaßnahmen oder im Umgang mit Beschäftigtendaten – häufig lassen sich Verbesserungen schon durch klarere Prozesse sowie wirksamere technische und organisatorische Maßnahmen erzielen. Die dargestellten Beispiele machen deutlich, dass Datenschutz in vielen Fällen mit überschaubarem Aufwand wirksam verbessert werden kann. Unternehmen, Behörden und Vereine erhalten mit dem Bericht konkrete Hinweise, um ihre bestehenden Strukturen weiterzuentwickeln und die gesetzlichen Anforderungen im eigenen Verantwortungsbereich zuverlässig zu erfüllen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Gemeinsam wollen wir wie in jedem Jahr in zwei Beiträgen auf das Jahr 2024 und die Ereignisse aus dem Datenschutzrecht und der Informationssicherheit zurückblicken. Beginnen wir unseren Jahresrückblick 2024 mit den Monaten Januar bis Juni.

Januar

Der Data Act – auch Datenverordnung – als ein Baustein der europäischen Datenstrategie wurde bereits im vergangenen Jahr durch den Rat der Europäischen Union verabschiedet und ist zum 11. Januar 2024 in Kraft getreten. Ähnlich wie beispielsweise bereits bei der DS-GVO gilt zunächst eine Übergangsfrist, sodass der Data Act erst ab dem 12. September 2025 vollumfänglich anzuwenden sein wird. Der Data Act zielt auf eine bessere Nutzung von Daten als Wirtschaftsgut sowie auf eine Förderung eines wettbewerbsfähigen Datenmarktes hin. Nutzerinnen und Nutzer von vernetzten Geräten und Produkten sollen darüber entscheiden können, wie mit dem gewonnenen Daten umzugehen ist, an deren Entstehung sie maßgeblich mitgewirkt haben.

Mit einem Blick auf Erwägungsgrund 7 zum Data Act wird schnell deutlich: Die Regelungen der DS-GVO bleiben durch den Data Act unberührt und beide Rechtsakte sind unabhängig voneinander anzuwenden. Zudem ist Erwägungsgrund 7 zum Data Act zu entnehmen, dass Verarbeitungen personenbezogener Daten zur Umsetzung der Anforderungen aus dem Data Act einer Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO und gegebenenfalls nach Art. 9 Abs. 2 DS-GVO erfordern. Hierbei ist jedoch zu beachten, dass der Data Act als solcher selbst keine Rechtsgrundlage zur Verarbeitung personenbezogener Daten darstellt.

Für den Fall, dass ein Nutzer im Sinne des Data Acts von einer betroffenen Person im Sinne der DS-GVO abweicht, schlägt Erwägungsgrund 7 zum Data Act die Anonymisierung personenbezogener Daten vor. Weiterführende Informationen zum Data Act und der DS-GVO gibt es hier.

In unserem Blog haben wir uns im Januar zudem mit noch einigen Ereignissen aus den Dezembertagen 2023 befasst. Zum Nachlesen gibt es die Berichte hier und hier. Darüber hinaus hat der Europäische Gerichtshof (EuGH) in einem Urteil vom 25. Januar 2025 (C‑687/21) entschieden, dass allein die anhaltende Sorge, die eigenen Daten könnten missbräuchlich verwendet werden, für einen immateriellen Schadensersatz nach Art. 82 DSGVO nicht ausreicht. Einen Beitrag zu diesem Urteil gibt es an anderer Stelle.

Februar

Für Furore sorgten in den Februartagen Beiträge in denen berichtet wurde, dass mehrere Millionen vernetzter Zahnbürsten durch Cyberkriminelle mittels Schadsoftware infiltriert wurden, um diese künftig für einen sogenannten DDoS-Angriff benutzen zu können. Wieviel an den Gerüchten dran war und was eigentlich DDoS-Angriffe sind, lesen Sie in unserem Beitrag zu diesem Thema.

März

Am 7. März 2024 befasste sich der EuGH mit dem Begriff der personenbezogenen Daten und in der konkreten Fallkonstellation, ob sogenannte TC-Strings als personenbezogenes Daten zu verstehen sind (Rs. C-604/22). Hieran anknüpfend setzte sich der EuGH zudem mit Fragen auseinander, welche zusätzlichen Informationen beziehungsweise Mittel zur Identifizierung einer natürlichen Person zusätzlich zum vorliegenden Datum heranzuziehen sind (Rs. C-479/22 P). Außerdem adressierte der EuGH weitere Fragen rund um den Begriff der Verarbeitung nach Art. 4 Nr. 2 DS-GVO und wie dieser in bestimmten Situationen zu verstehen und anzuwenden sein soll (Rs. C-740/22). Zum Nachlesen gibt es hier und hier eine Zusammenfassung der Rechtsprechung.

In einem Urteil vom 15. März 2024 (Az. VI ZR 330/21) beschäftigte sich der Bundesgerichtshof (BGH) mit der Frage, was unter dem Begriff Kopie der personenbezogenen Daten zu verstehen ist. Bezüglich der Definition von personenbezogenen Daten verweist das Gericht auf die Rechtsprechung des EuGH, wonach der Begriff personenbezogene Daten weit zu verstehen ist. Der Begriff umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, vorausgesetzt, dass es sich um Informationen über die in Rede stehende Person handelt.

In dem Urteil stell der BGH klar, dass Art. 15 Abs. 1 DS-GVO betroffenen Personen ein Auskunftsrecht über die Verarbeitung personenbezogener Daten gibt. Art. 15 Abs. 3 DS-GVO legt die Modalitäten für die Erfüllung des Auskunftsersuchens fest, indem er unter anderem die Form, in der die Daten zur Verfügung zu stellen sind, regelt, nämlich als Kopie der Daten, ohne jedoch ein anderes Recht zu gewähren als das, was Art. 15 Abs. 1 DS-GVO vorsieht. Mehr zu diesem Urteil gibt es in einem Blog-Beitrag.

April

Mit Urteil vom 10. April 2024 (Az. 12 Sa 1007/23) hatte sich das Landesarbeitsgericht (LAG) Düsseldorf mit der Frage auseinanderzusetzen, ob die Durchführung einer Google-Recherche zur Überprüfung der Eignung des Bewerbers datenschutzrechtlich zulässig ist. Hierbei stellte das Gericht klar, dass unter bestimmten Voraussetzungen eine Hintergrundrecherche zur Person des Bewerbers möglich sein kann, sprach dem erfolglosen Bewerber dennoch einen immateriellen Schadenersatz in Höhe von 1.000 Euro zu.

Das LAG Düsseldorf führte aus, dass die Durchführung einer Google-Recherche im Rahmen eines Bewerbungsverfahrens unter bestimmten Voraussetzungen datenschutzrechtlich zulässig sein kann. In Betracht kommt insbesondere Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO. Weiterhin stellte das Gericht fest, dass die öffentliche Stelle versäumt hatte, den Bewerber ausreichend über die Verarbeitung seiner personenbezogenen Daten gemäß Art. 14 DS-GVO zu informieren. Den vollständigen Beitrag aus unserem Blog gibt es hier.

Der EuGH wiederrum hat sich in seinem Urteil vom 11. April 2024 (Rs. C-741/21) unter anderem mit der Frage des Exzesses der Beschäftigten im Rahmen des Schadenersatzanspruchs des Art. 82 DS-GVO befasst. Das Urteil haben wir ebenfalls in einem Blog-Beitrag näher betrachtet. Der EuGH formuliert mit dem Urteil strenge Anforderungen an die Möglichkeit zur Exkulpation für die verantwortlichen Stellen im Rahmen des Art. 82 Abs. 3 DS-GVO, insofern es sich um eine Konstellation eines Mitarbeiterexzesses handelt.

Ein bloßer Verweis auf die gegenüber den Beschäftigten erteilten Weisungen bzw. die Weisungswidrigkeit der Handlung der betroffenen Beschäftigten genügt nicht. Dies gilt gleichwohl für einen Verweis auf bestehende Datenschutzbestimmungen innerhalb der verantwortlichen Stelle, z.B. in Form einer Policy bzw. Richtlinie zum Datenschutz. Es bedarf vielmehr des konkreten Nachweises, dass zwischen dem bestehenden Verstoß gegen die Datenschutz-Grundverordnung und dem Handeln des Mitarbeiters kein Kausalzusammenhang besteht. Von den Fragen der Haftung nach Art. 82 DS-GVO gegenüber der betroffenen Person unberührt bleiben im Innenverhältnis zwischen verantwortlicher Stelle und Beschäftigten natürlich arbeits- bzw. dienstrechtliche Ausgestaltungen sowie etwaige Maßnahmen der jeweils zuständigen Datenschutzaufsichtsbehörde.

MAI

Am 7. und 8. Mai fand der 20. Deutsche IT-Sicherheitskongress statt. Motto des diesjährigen Kongresses war „Cybernation Deutschland: Kooperation gewinnt“. Unter dem Thema Vision: Wir bauen gemeinsam die Cybernation Deutschland nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Aufgaben und Verantwortungen als integraler Bestandteil der Cybersicherheitsarchitektur wahr und arbeitet mit zahlreichen Kooperationspartnern zusammen. Im Block „Management von Informationssicherheit“ war dieses Jahr auch das Dresdner Institut für Datenschutz mit einem Vortrag zum Thema „Die Erforderlichkeit zur Prüfung von Dienstleistern aus Sicht der Informationssicherheit“ vertreten. Den gesamten Beitrag gibt es zum Nachlesen im Tagungsband zum Kongress.

Am 14. Mai 2024 ist in Deutschland das Digitale-Dienste-Gesetz (DDG) in Kraft getreten, welches die Anforderungen des europäischen Digital Services Act (DSA) in nationales Recht umsetzt. Eine wesentliche Änderung: Die bisher als Telemediendienste bezeichneten Dienste werden nunmehr unter dem Begriff der digitalen Dienste beschrieben. Aus dem bisherigen Telemediengesetz (TMG) wird so das Digitale-Dienste-Gesetz und aus dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Betreiber von Internetseiten müssen im Zusammenhang mit der Pflicht zur Bereitstellung eines Impressums die dortigen Formulierungen überprüfen. Wurde im Rahmen der Anbieterkennzeichnungen bislang auf § 5 TMG verwiesen, ist dieser Verweis nun auf § 5 DDG anzupassen. Zudem kann die Gelegenheit genutzt und beispielsweise die Datenschutzinformation grundsätzlich auf Aktualität geprüft werden.

Juni

Im Juni führte die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) eine größere Prüfkampagne bei Internetpräsenzen von nicht-öffentlichen und öffentlichen Stellen im Freistaat Sachen durch. Wie mit der Pressemitteilung vom 13. Juni 2024 bekannt wurde, hat diese etwa 30.000 Internetseiten von Unternehmen, Vereinen und öffentlichen Stellen in Sachsen kontrolliert. Gegenstand der Überprüfungen war insbesondere die einwilligungsbasierte Nutzung von Google Analytics. In rund 2.300 Fällen konnten seitens der sächsischen Aufsichtsbehörde Mängel festgestellt werden. Die betroffenen Stellen werden aufgefordert, die Nutzung von Google Analytics konform auszugestalten sowie die bis zum Zeitpunkt der Umstellung rechtswidrig verarbeiteten personenbezogenen Daten zu löschen. Mittlerweile hat die SDTB die konkreten Zahlen zum Prüfverfahren veröffentlicht. Infolge der Prüfung haben über 1.500 Website-Betreiber und -Betreiberinnen ihrer Seiten nachgebessert.

… und am Jahresende geht es weiter mit unserem Jahresrückblick mit den Monaten Juli bis Dezember 2024!

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Sommer berichteten wir bereits darüber, dass die Sächsische Datenschutz- und Transparenzbeauftragte (STDB) etwa 30.000 Internetseiten von Unternehmen, Vereinen und öffentlichen Stellen in Sachsen kontrollierte. Gegenstand der Überprüfungen war insbesondere die einwilligungsbasierte Nutzung von Google Analytics. In rund 2.300 Fällen konnten seitens der sächsischen Aufsichtsbehörde Mängel festgestellt werden. Im Rahmen einer kürzlich veröffentlichten Pressemitteilung zieht die sächsische Aufsichtsbehörde Bilanz.

Automatisierte Prüfung durch die Aufsichtsbehörde

Eine solch flächendeckende Prüfung von automatisierten Datenverarbeitungen dürfte in Sachsen zum ersten Mal stattgefunden haben. Schließlich setzt die Überprüfung von Internetseiten in solch einem Umfang eine entsprechende technische Ausstattung voraus. Bereits im Sommer dieses Jahres wies die sächsische Aufsichtsbehörde diesbezüglich auf das neu eingerichtete IT-Labor hin. Mit moderner Hard- und Software sei nun auch eine datenschutzrechtliche Analyse von Internetseiten, Anwendungen und IT-Produkten in größerem Umfang möglich. Wie auch aus der aktuellen Pressemitteilung zu entnehmen ist, stehen für die Zukunft weitere Prüfungen von Internetseiten an. Somit sollten Verantwortliche in Sachsen ab sofort regelmäßig die eigenen Internetangebote, Apps und IT-Produkte auf Datenschutzkonformität kritisch prüfen.

Aufsichtsbehörde zieht positives Fazit

Rückblickend auf die erste Überprüfung zieht Dr. Juliane Hundert ein positives Fazit: „Auf zwei Dritteln der identifizierten Websites wird nunmehr auf den Einsatz von Google Analytics zur Nachverfolgung des Nutzerverhaltens verzichtet, oder es wird vorher um eine eindeutige Einwilligung gebeten. Die Kontrolle bewirkte zudem, dass Verantwortliche auch bei anderen Diensten das Datenschutzniveau verbesserten. Dadurch sank beispielsweise die Anzahl der Cookies auf den geprüften Websites um die Hälfte.“ Für den Datenschutz im Internet sei das eine gute Nachricht. Im Rahmen einer veröffentlichten Statistik stellt die sächsische Aufsichtsbehörde hierzu mit konkreten Zahlen insbesondere den Rückgang von Google Analytics-Einbindungen, Drittanfragen und Drittanbieter-Cookies dar.

Weiterhin wird über die große Resonanz bei den Verantwortlichen berichtet: „Im Zusammenhang mit der Website-Prüfung bearbeitete die SDTB 300 schriftliche Rückmeldungen sowie 250 Anrufe. Vor allem Unternehmen und Vereine benötigten Hilfestellung bei der Umsetzung der rechtlichen Anforderungen. In den Anfragen ging es nicht nur um Google Analytics, sondern beispielsweise auch um die richtige Einbindung von Zahlungsdienstleistern bei Onlineshops und die Einbettung von Videos aus sozialen Netzwerken.“ Dies zeigt einerseits, dass Aufsichtsbehörden grundsätzlich auch eine beratende Funktion übernehmen können, andererseits jedoch auch, dass auf Seiten der Verantwortlichen weiterhin große Unsicherheiten in Bezug auf Datenschutz und Internetseiten bestehen.

Einigen Stellen drohen nun Konsequenzen

Doch bei weitem nicht alle der 2.300 Seitenbetreiber sind auf die Hinweise der Aufsichtsbehörde eingegangen und haben datenschutzrechtliche Nachbesserungen vorgenommen. Diesen könnten nun entsprechende Konsequenzen bevorstehen: „Verantwortliche, die trotz der Aufforderung der SDTB weiterhin rechtswidrig Nutzerdaten mit Google Analytics verarbeiten, müssen nun mit Sanktionen rechnen. Der Aufsichtsbehörde steht ein umfassender Katalog von Untersuchungs- und Abhilfebefugnissen zur Verfügung, um die Einhaltung datenschutzrechtlicher Bestimmungen durchzusetzen.“ Unter Berücksichtigung des Art. 58 DS-GVO wären hierbei beispielsweise Verwarnungen, Bußgelder, Untersagungen der weiteren Datenverarbeitungen, aber auch Löschverpflichtungen denkbar.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wie mit der Pressemitteilung vom 13. Juni 2024 der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) bekannt wurde, hat diese etwa 30.000 Internetseiten von Unternehmen, Vereinen und öffentlichen Stellen in Sachsen kontrolliert. Gegenstand der Überprüfungen war insbesondere die einwilligungsbasierte Nutzung von Google Analytics. In rund 2.300 Fällen konnten seitens der sächsischen Aufsichtsbehörde Mängel festgestellt werden. Die betroffenen Stellen werden aufgefordert, die Nutzung von Google Analytics konform auszugestalten sowie die bis zum Zeitpunkt der Umstellung rechtswidrig verarbeiteten personenbezogenen Daten zu löschen. Kommen Verantwortliche dieser Aufforderung nicht nach, droht ihnen im Rahmen einer erneuten Überprüfung die Eröffnung eines förmlichen Verwaltungsverfahrens.

Kein Tracking ohne Einwilligung

„Tracking-Dienste wie Google Analytics gewähren tiefgehende Einblicke in das Verhalten und die Privatsphäre von Websitebesuchern. Datenschutzrechtlich stehen die Interessen der Betreiberinnen und Betreiber deshalb zurück. Das bedeutet, möchten Verantwortliche Google Analytics nutzen, sind sie verpflichtet, von Nutzerinnen und Nutzern eine Einwilligung einzuholen“, so Dr. Juliane Hundert im Rahmen der Pressemitteilung. An sich ist es keine neue Anforderung, dass Verantwortliche die Nutzung von Google Analytics von der freiwilligen und informierten Einwilligung der Nutzerinnen und Nutzer abhängig machen müssen. Bereits im Jahr 2020 machte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Rahmen eines Hinweises darauf aufmerksam, dass der Einsatz von Google Analytics in der Regel der Einwilligung bedürfe.

Dennoch konnten nun in etwa 2.300 Fällen Verstöße wegen einer fehlenden oder unvollständigen Einwilligung ermittelt werden. Hinsichtlich der Gründe für die Verstöße lässt sich nur spekulieren. Regelmäßig lassen sich auf bereits lange bestehenden Internetseiten Rückstände früherer Implementierungen von Google Analytics finden, eine Nutzung von Google Analytics erfolgte ohne Rücksprache mit dem Datenschutzbeauftragten und ohne datenschutzrechtliches Know-how der Marketing-Agenturen oder es handelt sich um eine „Schatten-Internetseite“, die ohne Kenntnis des Verantwortlichen – zum Beispiel durch eine Fachabteilung – eigenmächtig und ebenfalls ohne datenschutzrechtliche Prüfung veröffentlicht wurde.

Aus diesem Grund sind Verantwortliche gut beraten, an einer zentralen Stelle eine Übersicht der aktuellen Internetseiten und Präsenzen in sozialen Netzwerken zu pflegen. Diese sollten zudem in regelmäßigen Abständen, beispielsweise mit Unterstützung des Datenschutzbeauftragten, hinsichtlich der jeweiligen Datenverarbeitungen sowie der Umsetzung der einschlägigen datenschutzrechtlichen Anforderungen überprüft werden. Technische Unterstützung für einen Quick-Check der Internetseite bieten hierbei Dienste wie Webbkoll oder Browser-Add-Ins wie uBlock Origin.

Google Analytics und der Datenschutz

Die datenschutzrechtliche Zulässigkeit der Nutzung von Google Analytics wird regelmäßig diskutiert. So sorgte beispielsweise die auf eine Musterbeschwerde von noyb folgende Untersagung der Nutzung von Google Analytics für ein Unternehmen in Österreich für Aufsehen. Hintergrund war dort insbesondere die rechtswidrige Übermittlung personenbezogener Daten in die USA. Auch die zwingende Einführung des Consent Mode v2 im Frühjahr dieses Jahres führte erneut zu der Frage, ob Google Analytics datenschutzkonform eingesetzt werden könne.

Zum Unmut vieler Betreiber und Betreiberinnen von Internetseiten kann diese Frage nicht mit einem klaren „ja“ oder „nein“ beantwortet werden. Vielmehr kommt es auf die konkrete Implementierung und die vorgenommenen Einstellungen an. Neben der sauberen Implementierung eines Einwilligungsmanagements („Cookie-Banner“), sollte darauf geachtet werden, Google Analytics möglichst datensparsam und unter dem Blickwinkel der Erforderlichkeit einzurichten (z. B. Reduzierung der Speicherdauer, Berichte zu demografischen Merkmalen gegebenenfalls deaktivieren).

Darüber hinaus sollten auch die neben Google Analytics bestehenden Alternativen geprüft werden. Zwischenzeitlich bestehen eine Reihe sinnvoller Anwendungen, deren Datenverarbeitung ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums stattfindet. Zwar kann so das Einwilligungserfordernis nicht umgangen, aber ein Nutzertracking abseits etwaiger Übermittlungsproblematiken in datenschutzrechtliche Drittländer realisiert werden.

Fazit

Die SDTB lässt im Rahmen der Pressemitteilung durchblicken, dass von nun an derartige Prüfungen auch im vorliegenden Größenumfang regelmäßiger vorkommen können. Hierfür stehe der Aufsichtsbehörde seit kurzem ein entsprechendes IT-Labor zur Verfügung: „Das IT-Labor ist wie eine Werkstatt. Zu den wichtigsten Werkzeugen gehört moderne Hard- und Software, mit denen wir Websites, Apps und IT-Produkte datenschutzrechtlich analysieren können. Damit bin ich mit meiner Behörde in der Lage, auch künftig Kontrollen in größerem Umfang vornehmen zu können.“ Somit sollten Verantwortliche in Sachsen ab sofort regelmäßiger die eigenen Internetangebote, Apps und IT-Produkte auf Datenschutzkonformität kritisch prüfen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am 14. Mai 2024 ist in Deutschland das Digitale-Dienste-Gesetz (DDG) in Kraft getreten, welches die Anforderungen des europäischen Digital Services Act (DSA) in nationales Recht umsetzt. Eine wesentliche Änderung: Die bisher als Telemediendienste bezeichneten Dienste werden nunmehr unter dem Begriff der digitalen Dienste beschrieben. Aus dem bisherigen Telemediengesetz (TMG) wird so das Digitale-Dienste-Gesetz und aus dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG).

Aus TMG wird DDG…

Betreiber von Internetseiten sollten im Zusammenhang mit der Pflicht zur Bereitstellung eines Impressums die dortigen Formulierungen überprüfen. Wurde im Rahmen der Anbieterkennzeichnungen bislang auf § 5 TMG verwiesen, ist dieser Verweis nun auf § 5 DDG anzupassen. Inhaltliche Änderungen sind hingegen nicht notwendig. Jedoch kann zugleich hinterfragt werden, ob ein spezifischer Normenverweis überhaupt erforderlich ist. Weder § 5 TMG, noch § 5 DDG setz(t)en dies voraus – eine gut aufzufindende Bezeichnung als Impressum oder Anbieterkennzeichnung ist ausreichend. Ein künftiger Aktualisierungsaufwand aufgrund von Änderungen an Gesetzesbezeichnungen kann so vermieden werden.

…TTDSG zu TDDDG…

Auch hinsichtlich des bisherigen TTDSG sind die Änderungen wenig aufregend: Es ändert sich ausschließlich der Name des Gesetzes – und somit wird aus einer sperrigen Abkürzung nur eine noch schrecklichere. Relevant ist dies hinsichtlich der weit überwiegenden Mehrheit an Datenschutzinformationen und Cookie-Banner. Für das Setzen von Cookies und der daraus resultierenden Verarbeitung personenbezogener Daten, bedarf es neben einer Rechtsgrundlage aus Art. 6 Abs. 1 DS-GVO auch einer nach § 25 TTDSG, nun § 25 TDDDG. Wird im Rahmen der Datenschutzinformation oder des Cookie-Banners über die jeweilige Rechtsgrundlage informiert (Art. 13 Abs. 1 lit. c) DS-GVO), sind auch hier die entsprechenden Verweise anzupassen.

MfG der DSB, ojemine?

Auch wenn die Namensänderungen für den juristischen Laien unnötig erscheinen, waren sie für eine zutreffende Beschreibung der jeweiligen Dienste erforderlich. Betreiber von Internetseiten sollten nun zeitnah die betreffenden Texte prüfen und erforderlichenfalls Anpassungen vornehmen. Auch wenn – entgegen einigen panischen Meldungen – aufgrund einer fehlerhaften Bezeichnung von Gesetzestexten keine flächenmäßigen Abmahnungen zu befürchten sind, lassen aktualisierte Pflichtinformationen die Betreiber von Internetseiten in einem besseren Licht dastehen. Zudem kann die Gelegenheit genutzt und beispielsweise die Datenschutzinformation grundsätzlich auf Aktualität geprüft werden. Im Ergebnis also alles nur halb so schlimm!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wie kommunizieren Sie Datenschutz? Bei der Betrachtung der datenschutzrechtlichen Anforderungen stehen meist die diversen Dokumentationspflichten des Verantwortlichen, beispielsweise die Bereitstellung von Datenschutzinformationen gemäß Art. 13 DS-GVO , die vertragliche Einbindung externer Dienstleister im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DS-GVO oder die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO im Fokus. Gleichwohl diese Dokumentationspflichten einen zentralen Aspekt der datenschutzrechtlichen Normierungen darstellen, kann in der alltäglichen Datenschutz-Praxis die richtige Kommunikation dieser Thematik einen sehr großen Einfluss auf die erfolgreiche Umsetzung der gesetzlichen Anforderungen nehmen. Nachdem wir uns in der vergangenen Woche bereits die Erwartungen der beteiligten Akteure sowie die interne Kommunikation angesehen haben, setzen wir uns heute mit der externen Kommunikation auseinander.

Datenschutz extern kommunizieren

Verantwortliche sollten sich grundsätzlich bewusst sein, dass sämtliche Datenverarbeitungen und Datenschutzinformationen, welche für Externe einsehbar sind, ihr datenschutzrechtliches Aushängeschild darstellen. Im Rahmen der Werkzeuge digitaler Kommunikation betrifft dies insbesondere die bereits erwähnten Internetseiten, Präsenzen in sozialen Netzwerken und Apps. Die Einbeziehung datenschutzrechtlicher Expertise kommt jedoch in diesem Bereich häufig zu kurz.

Durch Verantwortliche wird regelmäßig die Begründung des Missverhältnisses zwischen Aufwand und Nutzen einer detaillierten datenschutzrechtlichen Betrachtung sowie einer vollständig datenschutzkonformen Umsetzung der Datenverarbeitungen vorangestellt. Grundsätzlich wird jedoch im Rahmen der Umsetzung rechtlicher Anforderungen ein Vergleich von Aufwand und Nutzen nur in seltenen Fällen zugunsten des (wirtschaftlichen) Nutzens ausfallen. Hingegen ist regelmäßig eine Abwägung zwischen Aufwand und Risikobereitschaft zu empfehlen. Schließlich hat nach Art. 77 DS-GVO „jede betroffene Person […] das Recht auf Beschwerde bei einer Aufsichtsbehörde […], wenn die betroffene Person der Ansicht ist, dass die Verarbeitung […] gegen diese Verordnung verstößt.“ Das heißt, grundsätzlich steht allen Nutzenden der diversen Kommunikationskanäle ein Beschwerderecht zu, sofern diese auch nur der Ansicht sind, der Verantwortliche verstoße gegen datenschutzrechtliche Bestimmungen. Allein aus dem hieraus erwachsenden Risiko sollte vermehrt eine Betrachtung der datenschutzrechtlichen Aspekte erfolgen. Alternativ ist von einer hohen Risikobereitschaft auszugehen. Unter Berücksichtigung der Sanktionsmöglichkeiten der Aufsichtsbehörden, einschließlich der Möglichkeit zur Untersagung ganzer Datenverarbeitungen, kann dies jedoch kaum den Zielen einer erfolgreichen digitalen Kommunikation entsprechen.

Aufgrund der Komplexität und des Zusammenwirkens der rechtlichen Materie sowie der zahlreichen technischen Aspekte, ist im Rahmen digitaler Kommunikationsmittel stets der Datenschutzbeauftragte einzubeziehen. Mit diesem gemeinsam sollte ebenfalls die Erstellung der erforderlichen Datenschutzinformationen nach Art. 13 DS-GVO (auch „Datenschutzerklärungen“ genannt) erfolgen. Dabei ist unbedingt zu berücksichtigen, dass sowohl das Interesse als auch die Akzeptanz von ausufernden Datenschutzinformationen meist gering ist. Freilich muss eine solche Information inhaltlich den rechtlichen Anforderungen genügen, dies bedeutet jedoch keine Pflicht zum Füllen einer solchen mit inhaltsleeren Floskeln. Beispielsweise kann die Formulierung „Wir freuen uns sehr über Ihr Interesse an unserem Unternehmen. Datenschutz hat einen besonders hohen Stellenwert für die Geschäftsleitung. […]“ nicht überzeugen und wirkt nahezu ironisch, wenn die Datenverarbeitungen und Informationen erkennen lassen, dass es dem Verantwortlichen deutlich an datenschutzrechtlicher Expertise oder Willen mangelt. Auch ein häufig vorkommendes Zitieren der einzelnen Begriffsbestimmungen nach Art. 4 DS-GVO wird durch keine einzige datenschutzrechtliche Norm gefordert und führt lediglich zum ergebnislosen Aufblähen einer, dem Normtext nach, der Transparenz dienenden Erläuterung der Datenverarbeitungen.

Unumstritten bedingt eine solche Formulierung der Datenschutzinformationen einer detaillierten Auseinandersetzung mit den jeweiligen Datenverarbeitungen. Dies kann zugleich als Chance gesehen werden, die jeweiligen Datenverarbeitungen zu betrachten und deren zwingende Erforderlichkeit zu hinterfragen. In der Praxis kommt es nicht selten vor, dass im Rahmen der Nutzung von Analysesoftwares nur ein Bruchteil der Ergebnisse für die tatsächliche Auswertung, z.B. der Reichweitenanalyse, benötigt werden. Gängige Anbieter ermöglichen beispielsweise detaillierte Aussagen über bestimmte demografische Merkmale und Interessen der Nutzenden. Werden diese Kategorien personenbezogener Daten für die tatsächliche Auswertung nicht zwingend benötigt, widerspricht eine solche Datenverarbeitung dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO und ist mithin unzulässig.

Weiterhin dürfen im Rahmen einer Datenschutzinformation ausschließlich Datenverarbeitungen beschrieben werden, welche tatsächlich auch in dieser Form bei einer Nutzung erfolgen. Oftmals finden sich in Datenschutzinformationen Ausführungen zur Nutzung einer externen Videoplattform, obwohl keine Videos über externe Dienste eingebettet werden. Auf Anfrage heißt es dann meist, dass die aufgeführte Videoplattform in Zukunft durchaus genutzt werden könnte und der entsprechende Textabschnitt für mögliche Änderungen bestehen bleibt. Nach überwiegender Auffassung handelt es sich in diesen Fällen um eine unzutreffende und damit intransparente Datenschutzinformation, somit um einen Verstoß gegen Art. 5 Abs. 1 lit. a), Art. 12 Abs. 1 Satz 1 sowie Art. 13 DS-GVO. In diesem Zusammenhang ist ebenfalls darauf hinzuweisen, dass sogenannte „Generatoren für Datenschutzerklärungen“ ausschließlich mit Vorsicht zu gebrauchen sind. Sie ermöglichen bereits mit wenigen Klicks die Erstellung umfassender Datenschutzinformationen, welche meist jedoch nicht auf die Besonderheiten einer Internetseite angepasst sind. Werden digitale Kommunikationskanäle mehrsprachig zur Verfügung gestellt, ist in den gleichen Sprachen ebenfalls die Datenschutzinformation bereitzustellen.

Datenverarbeitungen, welche zur Darstellung einer Internetseite oder zur Bereitstellung einer App technisch nicht zwingend erforderlich sind, bedürfen darüber hinaus in der Regel einer informierten und freiwilligen Einwilligung der jeweiligen Nutzenden. Hierunter fallen insbesondere Analysedienste, Implementierungen von Medieninhalten über externe Dienstleister sowie das Setzen entsprechender Cookies. Nach Erwägungsgrund 32 zur DS-GVO erfordert eine Einwilligung stets „eine eindeutige bestätigende Handlung“, womit die betroffene Person „unmissverständlich bekundet“, dass sie mit der Verarbeitung personenbezogener Daten einverstanden ist. Unzulässig sind dementsprechend sogenannte Cookie-Banner, welche den Nutzenden keine tatsächliche Wahl über das Setzen von Cookies oder die Vornahme weiterer Datenverarbeitungen lassen. Hierzu zählen beispielsweise Cookie-Banner mit der folgenden Formulierung: „Wir verwenden Cookies. Durch den Besuch der Internetseite erklären Sie sich mit der Verwendung von Cookies einverstanden.“ Umstritten ist das sogenannte „Nudging“ und die Verwendung sogenannter „Dark Patterns“. Hierbei werden Cookie-Banner so dargestellt, dass Nutzende zur Einwilligung in die weitere Datenverarbeitung geführt werden. Dies wird in der Regel visuell durch das farbliche Hervorheben des Buttons zur Einwilligung und das Erschweren der Ablehnung der Datenverarbeitung realisiert. Die Anwendung derartiger Techniken kann in der Regel nicht mit den Grundsätzen der Fairness, Transparenz und Datenminimierung in Einklang gebracht werden.

Abschließend ist auf einen in der Praxis weit verbreiteten Fehler hinzuweisen: Die dargestellten Transparenzanforderungen im Zusammenhang mit Datenschutzinformationen gelten ebenfalls für Präsenzen in sozialen Netzwerken. Das heißt, auch für diese digitale Kommunikationskanäle ist zu beschreiben, welche konkreten Datenverarbeitungen durch den Verantwortlichen sowie den Betreiber des sozialen Netzwerks als sogenannten gemeinsamen Verantwortlichen durchgeführt werden. Hierbei reicht es nicht aus und stellt ebenfalls einen Verstoß gegen datenschutzrechtliche Anforderungen dar, sofern ausschließlich eine Verlinkung auf die Datenschutzinformation der Internetseite erfolgt. Jeder Kommunikationskanal bedarf einer separaten Beschreibung der jeweils vorgenommenen Datenverarbeitungen. Die Implementierung derartiger Informationen gestaltet sich hingegen schwierig. Während einige soziale Netzwerke für die Verlinkung separate Felder vorsehen, muss in anderen sozialen Netzwerken die Biografie oder der Link zur Internetseite verwendet werden, um Datenschutzinformationen bereitstellen zu können. In diesem Zusammenhang eignen sich extra hierfür angelegte Landingpages.

Fazit

Bei der Betrachtung der Umsetzung datenschutzrechtlicher Anforderungen stehen die Dokumentationspflichten im Fokus. Dabei ist jedoch zwingend zu berücksichtigen, dass Datenschutz nicht von der Dokumentation, sondern insbesondere von der praktischen Umsetzung und einer angemessenen Kommunikation lebt. Eine besondere Herausforderung besteht dabei in den unterschiedlichen Erwartungen der jeweiligen Akteure. Um die datenschutzrechtlichen Anforderungen und Erwartungen umfassend umzusetzen, bedarf es einer funktionierenden Datenschutzorganisation und der Möglichkeit Missstände und Verbesserungspotenziale offen zu kommunizieren. Dem Datenschutzbeauftragten kommt hier eine zentrale Rolle zu, gleichwohl er nicht für die tatsächliche Umsetzung verantwortlich ist. Zusätzlich können Dienstleister einen entscheidenden Beitrag zur datenschutzkonformen Verarbeitung personenbezogener Daten leisten. Insbesondere im Rahmen der Erstellung und Bereitstellung digitaler Kommunikationskanäle empfiehlt sich die Aufnahme etwaiger Anforderungen in den Dienstleistungsverträgen. Schließlich stellen Internetseiten, Präsenzen in sozialen Netzwerken und Apps sowie deren Datenschutzinformationen das datenschutzrechtliche Aushängeschild des Verantwortlichen dar. Aufgrund der Komplexität der Thematik sowie der rechtlichen Risiken, empfiehlt sich stets die Einbindung des Datenschutzbeauftragten und eine detaillierte Auseinandersetzung mit den rechtlichen Anforderungen. Es sind eine Vielzahl von Besonderheiten zu berücksichtigen, jedoch zeigt sich in der Praxis, dass oftmals auch mit geringem wirtschaftlichem Aufwand in einigen Bereichen ein enormes Potenzial für datenschutzkonforme Lösungen vorhanden ist. Auf die rechtlichen Grundvoraussetzungen haben Verantwortliche keinen Einfluss, gleichwohl aber wie sie mit diesen umgehen können und wollen. Frei nach Art. 25 DS-GVO gilt: Datenschutz ist Einstellungssache. Dies betrifft gleichermaßen Mensch und Maschine.

Dieser Beitrag war ein Bestandteil der Jahrestagung des Sächsischen Museumsbundes e.V. unter dem Titel „Museen und digitale Kommunikation“
am 21. März 2022 in Hoyerswerda.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Seit einigen Jahren und mit zunehmender Tendenz werden öffentlich zugängliche Grabsteine auf kommunalen oder kirchlichen Friedhöfen fotografiert zwecks Veröffentlichung der Fotografien im Internet. Hintergrund sind häufig Initiativen zur Ahnenforschung / Genealogie. Die Aufschriften der Grabsteine, meist mit Vor- und Nachnamen sowie den Lebensdaten der Verstorbenen, teilweise mit darüberhinausgehenden Informationen zu Geburts- und / oder Sterbeort, Beruf etc., werden so weltweit der Allgemeinheit zugänglich. Des einen Freud‘, des anderen Leid: Die Arbeitserleichterung für Ahnenforscher verärgert und stört teilweise die Hinterbliebenen. Typischerweise liegt weder eine Zustimmung der Nachkommen bzw. Familie der Verstorbenen, noch der Nutzungsberechtigten der Grabstelle, noch der Friedhofsverwaltung bzw. des Rechtsträgers vor. Sind Grabstein-Fotografien datenschutzrechtlich zulässig? Und gibt es vielleicht beim „Blick über den Tellerrand“ außerhalb des Datenschutzrechtes Grenzen für den „Friedhof im Internet“?

Anwendbarkeit des Datenschutzrechts

Das für die Friedhöfe und deren Tätigkeit geltende Datenschutzrecht differiert in Abhängigkeit vom jeweiligen Rechtsträger. So sind kommunale Träger den Vorgaben der Datenschutz-Grundverordnung, teils in Verbindung mit Ausführungsgesetzen des jeweiligen Bundeslandes unterworfen. Kirchliche Stellen können teilweise gemäß Art. 91 DS-GVO eigenes Datenschutzrecht anwenden.

Sämtlichen Rechtsvorgaben zum Datenschutz ist jedoch gemeinsam, dass nur personenbezogene (oder personenbeziehbare) Daten lebender Menschen (natürlicher Personen) betrachtet und geschützt werden. Ausnahmen sind nach Erwägungsgrund 27 Satz 2 der DS-GVO im nationalen Recht möglich. Es gibt sie auch – vor allem im Sozial- und Gesundheitsbereich, z.B. in § 35 Abs. 5 SGB I und § 7 Abs. 1 Satz 3 HmbKHG, aber nicht für das hier behandelte Thema.

Da bei den Grabsteinfotografien personenbezogene Daten Verstorbener betroffen sind, findet sowohl kirchliches, als auch staatliches Datenschutzrecht keine Anwendung. Folglich bestehen aus datenschutzrechtlichen Gründen keinerlei Einschränkungen oder Verbote für die Ahnenforscher. Seltenere Ausnahme: Teils werden Grabsteine schon zu Lebzeiten „auf Vorrat“ gesetzt oder beim Tod des Ehegatten lässt der andere Ehepartner seinen Namen und sein Geburtsdatum bereits aufbringen. Dann gilt Datenschutzrecht und bei solchen Steinen muss die Genealogie warten – oder um Einwilligung bitten. Für eine Fotoaufnahme und die Veröffentlichung im Internet fehlt sonst die Rechtsgrundlage. Vor allem besteht kein überwiegendes berechtigtes Interesse: Wer seine Daten zu Lebzeiten auf einen privaten Grabstein graviert, rechnet nicht mit einer Internetveröffentlichung und wünscht sie üblicher Weise auch nicht.

Was gilt darüber hinaus?

Werfen wir ein Blick über den Tellerrand hinaus:

• Das postmortale Persönlichkeitsrecht wurde in der Rechtsprechung als absolut geschütztes Rechtsgut aus der über den Tod hinausreichenden, gleichzeitig in die eigene Lebzeit vorauswirkenden Menschenwürde abgeleitet. Wahrzunehmen ist es durch nahestehende Angehörige (meist Erben oder Bestattungssorgepflichtige), soweit der Verstorbene nicht zu Lebzeiten spezielle Anordnungen getroffen hat. Durch eine Veröffentlichung der Grabstein-Fotografie wäre das postmortale Persönlichkeitsrecht jedoch nur beeinträchtigt, wenn eine Missachtung / Verunglimpfung des Verstorbenen oder eine vom Verstorbenen offensichtlich nicht gewünschte Einordnung / Zuordnung seiner Person zu befürchten wäre. Dies ist bei der Veröffentlichung für sich genommen und isoliert betrachtet nicht anzunehmen. Nur in besonderem Kontext könnte eine Missachtung und Gefährdung des Persönlichkeitsrechts Verstorbener anzunehmen sein, zum Beispiel: die missverständliche oder fehlerhafte Zuordnung eines Grabstein-Fotos dergestalt, dass sich der Eindruck einer Zugehörigkeit des Verstorbenen zur Waffen-SS ergibt.

• Das in § 12 BGB einfachgesetzlich geregelte und von der Rechtsprechung weiterentwickelte Namensrecht ist ebenfalls nicht betroffen. Es schützt in erster Linie Namensträger davor, dass andere Personen unbefugt den gleichen Namen verwenden oder andere Personen dem Namensträger das Recht zur Namensführung bestreiten. Solche Rechtsverletzungen sind mit der Veröffentlichung von Grabsteinfotos nicht verbunden.

• Das ebenfalls aus dem Persönlichkeitsrecht abgeleitete Recht am eigenen Bild ist einschlägig, wenn der fotografierte Grabstein tatsächlich mindestens ein Bildnis trägt. Gemäß § 22 Satz 3 und 4 Kunsturheberrechtsgesetz wird für die Veröffentlichung und Verbreitung im Internet von Bildnissen nach dem Tod der abgebildeten Person bis zum Ablauf von zehn Jahren die Einwilligung der Angehörigen benötigt. Angehörige in diesem Sinne „sind der überlebende Ehegatte oder Lebenspartner und die Kinder des Abgebildeten und, wenn weder ein Ehegatte oder Lebenspartner noch Kinder vorhanden sind, die Eltern des Abgebildeten“ (§ 22 Satz 4 KunstUrhG).

• Bei urheberrechtlich relevanten Grabsteinen (bildhauerische Gestaltung, die künstlerisches Niveau erreicht) gilt der Grundsatz der sogenannten Panoramafreiheit. Danach dürfen Kunstwerke und urheberrechtlich geschützte Werke dann fotografiert und veröffentlicht werden, wenn sie von den berechtigten Personen dauerhaft in den öffentlichen Raum verbracht wurden. Für den Umfang des öffentlichen Raums ist in diesem Zusammenhang die Straßenperspektive maßgeblich: Alles von öffentlichen Straßen aus Wahrnehmbare darf wahrgenommen, fotografiert und veröffentlicht werden soweit nicht sonstige rechtliche Regeln entgegenstehen.

• Für den mit öffentlich zugänglichen Friedhöfen in gewisser Hinsicht vergleichbaren Schlosspark Potsdam Sanssouci hat der Bundesgerichtshof (Urteile v. 17.12.2010, V ZR 45/10 u. 01.03.2013, V ZR 14/12) entschieden, dass die kommerzielle Verwertung im Grundstück angefertigter Fotografien von Bauwerken und Gartenanlagen auch dann der Entscheidung des Grundstückseigentümers unterliegt, wenn der Eigentümer der Allgemeinheit Zugang in das Grundstück gewährt hat. Diese Rechtsprechung ist in der Fachliteratur umstritten, stellt jedoch den aktuellen Meinungsstand des höchsten deutschen Zivilgerichts dar. Der Bundesgerichtshof hat in den genannten Entscheidungen nicht nur Fotografien mit kommerziellem Hintergrund behandelt (dieser Aspekt wird in der wissenschaftlichen Diskussion meist priorisiert oder sogar ausschließlich diskutiert), sondern ganz allgemein die Befugnis des Grundstückseigentümers betont, den Zugang zum Grundstück unter beliebige (rechtskonforme) Bedingungen zu stellen und auszugestalten (vgl. insbesondere BGH, Urteil v. 01.03.2013, V ZR 14/12 unter II. c] aa] [1] lit. a] der Gründe).
  
  Also besteht für den Grundstückseigentümer des Friedhofs die Befugnis und Möglichkeit, das Fotografieren auf dem Friedhof (nicht jedoch vom öffentlichen Straßenraum aus) gänzlich zu untersagen oder nur mit bestimmten Vorgaben (z.B. für bestimmte Zwecke, ohne Veröffentlichung im Internet) zuzulassen. Sofern Fotografien unter Verstoß gegen diese Vorgaben gefertigt werden, besteht ein Unterlassungsanspruch des Grundstückseigentümers gegen die vorgabenwidrige Verwendung der Fotografien. Solche Verbote muss der Eigentümer entsprechend bekanntmachen (z.B. als Teil der Friedhofsordnung am „Schwarzen Brett“ aushängen). So gilt beispielsweise nach der Friedhofssatzung von Frankfurt am Main seit Jahresbeginn: „Insbesondere ist es verboten […], ohne Erlaubnis Film-, Ton-, Video- oder Fotoaufnahmen, außer zu privaten Zwecken, zu erstellen oder zu verwerten […].“

Fazit

Datenschutzrecht gilt nicht immer, so beispielsweise nicht für verstorbene Menschen. Aber jenseits des Tellerrands ist auch kein rechtsfreier Raum.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In seinem Urteil vom 29. November 2022 hat das Landgericht München I (Az.: 33 O 14776/19) festgestellt, dass das Cookie-Banner der Internetseite von focus.de nicht den rechtlichen Anforderungen entspricht und die weitere Nutzung untersagt. Geklagt hatte der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (vzbv). Was das Urteil für Betreiber von Internetseiten konkret bedeutet, lesen Sie im nachfolgenden Beitrag.

Zum Sachverhalt

Zur Verwaltung der Nutzerpräferenzen hinsichtlich datenschutzrechtlicher Einwilligungen, setzt der Betreiber der Internetseite focus.de ein sogenanntes Consent-Management-System (Cookie-Banner) nach Branchenstandard („Transparency & Consent Framework (TCF) 2.0“ des Interactive Advertising Bureau (IBA)) ein. Über dieses haben die Nutzenden der Internetseite die Möglichkeit, ihre Einwilligung hinsichtlich verschiedenster Drittanbieter, beispielsweise Publishern, Werbungstreibenden, Vermarktern, Agenturen und den jeweiligen Technologiepartnern, zu verwalten. Auf der ersten Ebene war es den Nutzenden jedoch ausschließlich möglich, die optionalen Datenverarbeitungen vollumfänglich zu akzeptieren oder diese im Rahmen der weiteren Einstellungsmöglichkeiten einzeln ab- bzw. zuzuwählen.

Die Vornahme der Einstellungsmöglichkeiten verteilte sich vorliegend auf insgesamt 500 Einzelansichten, wobei für mehr als ein Dutzend Anbieter die jeweilige Einwilligung bereits vorausgewählt gewesen sei, so der vzbv. Zwar war es den Nutzenden auf der zweiten Ebene möglich alle optionalen Datenverarbeitungen abzulehnen, jedoch trat diese Schaltfläche aufgrund der grafischen Gestaltung gegenüber den weiteren Schaltflächen deutlich in den Hintergrund. Bemängelt wurde weiterhin die fehlende Transparenz der Datenverarbeitung entsprechend der Regelungen des Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) sowie der Datenschutz-Grundverordnung (DS-GVO).

Zweifel an der Freiwilligkeit

Das Gericht setzte sich im Rahmen der Entscheidung mit verschiedenen Aspekten hinsichtlich des Cookie-Banners auseinander. Dabei kam es unter anderem zu dem Ergebnis, dass das vorliegende Cookie-Banner keine wirksame Einwilligung der Nutzenden gewährleisten könne.

Die Einwilligung könne insbesondere bereits nicht als freiwillig angesehen werden, da den Nutzenden erst auf der zweiten Ebene die Möglichkeit zur Verfügung steht, sämtliche optionalen Datenverarbeitungen abzulehnen. Insofern würde den Nutzenden im Gegensatz zur allumfassenden Einwilligung hiermit ein Mehraufwand entstehen, welcher insbesondere aufgrund der im Internet üblichen Schnelligkeit und geringen Aufmerksamkeit der Nutzenden als nicht unerheblich anzusehen sei. Weiterhin wäre es den Nutzenden erst durch genaue Betrachtung des Fließtextes ersichtlich, dass überhaupt ein umfassendes Ablehnen sämtlicher optionaler Datenverarbeitungen möglich ist.

Die aufgeführte Darstellung des Gerichts ist aus Fairnessgründen zu begrüßen, wobei die hervorgebrachte Begründung juristisch jedoch zu überraschen vermag: Eine Einwilligung nach TTDSG ist an den Anforderungen der DS-GVO auszurichten. Vorliegend ergeben sich die Bedingungen an eine wirksame Einwilligung aus Art. 7 DS-GVO sowie den hierzu einschlägigen Erwägungsgründen. Hieraus lassen sich sich zunächst keine konkreten Vorgaben dahingehend ableiten, dass die Verweigerung einer Einwilligung mit dem gleichen Aufwand wie die Erteilung einer Einwilligung verbunden sein muss –  auch wenn dies seitens der hiesigen Aufsichtsbehörden gern in dieser Form vertreten wird. Auch erscheint es fraglich, wie das Gericht vorliegend die kognitiven Fähigkeiten von Nutzenden des Internets darstellt.

Verantwortliche sind unter den genannten Gesichtspunkten auf der sicheren Seite, wenn das Consent-Management-System bereits auf der ersten Seite eine echte Wahl zwischen Zustimmung und Ablehnung bereithält und die Schaltflächen hinsichtlich Form und Farbe gleichberechtigt dargestellt werden.

Ausführungen zur technischen Erforderlichkeit

Ferner stellt das Gericht deckungsgleich zu den Auffassungen der Aufsichtsbehörden dar, dass das Vorliegen einer technischen Erforderlichkeit, an der von den Nutzenden ausdrücklich gewünschten Funktionen eines Telemediendienstes auszurichten ist. Dementsprechend liege nach Auffassung des Gerichts einer solcher Wunsche hinsichtlich Cookies zu Analyse- und Marketingzwecken bei dem Besuch eines Nachrichtenportals nicht vor. Auch wenn der Betreiber der Internetseite hiermit eine Finanzierung des Angebots verfolgt, handele es sich damit ausschließlich um subjektive Interessen, auf die er sich vorliegend nicht stützen könne.

Fazit

Zunächst ist darauf hinzuweisen, dass die Entscheidung noch nicht rechtskräftig ist und der Betreiber der Internetseite gegen die Entscheidung des Gerichts Rechtsmittel eingelegt hat. Mit Spannung kann demnach einerseits die Entscheidung, aber insbesondere auch die Begründung der nächsten Instanz erwartet werden. Für Betreiber von Internetseiten zeigt sich aber bereits jetzt: Eine detaillierte Auseinandersetzung mit den unterschiedlichen rechtlichen Anforderungen aus dem TTDSG und der DS-GVO ist in jedem Fall erforderlich. Ein Verweis auf geltende Branchenstandards stellt nicht in jedem Fall eine rechtssichere Umsetzung dar.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In unserem ersten Teil des Jahresrückblicks haben wir bereits die Monate Januar bis Juni betrachtet. Im Rahmen des heutigen Blog-Beitrags widmen wir uns den Monaten Juli bis Dezember und greifen neben nennenswerten Bußgeldern ebenfalls interessante Entwicklungen im Bereich internationaler Datenübermittlungen auf.

Juli 2022

Sommerloch weit gefehlt. Auch in den Sommermonaten konnten datenschutzrechtliche Themen Schlagzeilen machen. Allen voran das gegenüber der Volkswagen AG verhangene Bußgeld in Höhe von 1,1 Millionen Euro. Hintergrund waren Forschungsfahrten des Unternehmens mittels eines mit Kameras ausgestatteten Fahrzeugs im Jahr 2019. Moniert wurden seitens der zuständigen Aufsichtsbehörde insbesondere die fehlenden Hinweisschilder und weiterführenden Datenschutzinformationen, welche die Verkehrsteilnehmer über den Einsatz von Videokameras und die weitere Datenverarbeitung informierten. Weiterhin fehlte es an einem erforderlichen Vertrag zur Auftragsverarbeitung mit einem Dienstleister sowie an dem Nachweis der Durchführung einer Datenschutz-Folgenabschätzung. An der Datenverarbeitung als solches war laut der Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen ausdrücklich nichts auszusetzen.

Weiterhin führten einige Datenschutz-Aufsichtsbehörden eine Überprüfung von Auftragsverarbeitungsverträgen bei Webhostern durch. Ziel sei es laut Pressemitteilung der Sächsischen Datenschutzbeauftragten Webhoster und Verantwortliche bei einem Abschluss von rechtskonformen Verträgen zur Auftragsverarbeitung zu unterstützen. Hintergrund der Überprüfung seien regelmäßige Anfragen von Verantwortlichen, die sich mit nicht-konformen Auftragsverarbeitungsverträgen gängiger Webhoster konfrontiert sahen. An der gemeinschaftlichen Überprüfung beteiligten sich weiterhin die Aufsichtsbehörden aus Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen-Anhalt und Bayern. Auf welche Inhalte Sie bei einer Überprüfung von Verträgen zur Auftragsverarbeitung besonderen Wert legen sollten, haben wir in einem Blog-Beitrag zusammengefasst.

August 2022

Mit der Rückkehr aus den Sommerferien gingen bei zahlreichen Unternehmen und Behörden die ersten Abmahnungen hinsichtlich der dynamischen Einbindung von Google Fonts ein. Zum damaligen Zeitpunkt ahnte noch keiner, in welchem Ausmaß die Abmahnwelle in den kommenden Wochen und Monaten Datenschutzbeauftragte und Verantwortliche auf Trab halten würde. Auch wenn die Rechtmäßigkeit dieser Abmahnungen angezweifelt werden darf, zeigt sich wieder einmal, wie wichtig es ist, die eigenen Datenverarbeitungen, Prozesse und Anwendungen zu kennen. Dies gilt aufgrund der Reichweite und Öffentlichkeitswirksamkeit insbesondere für Internetpräsenzen. So widmeten wir uns in dem Beitrag „Quick-Check: Datenschutz auf Internetseiten“ den speziellen rechtlichen Anforderungen sowie einfach zu bedienenden Überprüfungsmöglichkeiten.

September 2022

Auch der September hielt für Datenschutzbeauftragte und Verantwortliche ein interessantes Bußgeld parat: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit verhing laut Pressemitteilung gegen ein Unternehmen wegen eines Interessenkonflikts des Datenschutzbeauftragten ein Bußgeld in Höhe von 525.000€. Im vorliegenden Fall handelte es sich bei der Person des Datenschutzbeauftragten zugleich um den Geschäftsführer zweier Unternehmen. Da diese Unternehmen zugleich als Auftragsverarbeiter für das Unternehmen tätig waren, für welches er als Datenschutzbeauftragter benannt wurde, sah die Aufsichtsbehörde einen Interessenkonflikt gegeben. Trotz erster Verwarnung durch die Aufsichtsbehörde im Jahr 2021 nahm das betroffene Unternehmen keine Änderungen vor, sodass es letztendlich zu einem Bußgeld in dieser Größenordnung kam.

Die Datenschutz-Grundverordnung sieht bei der Verarbeitung von personenbezogenen Daten von Kindern und Jugendlichen besondere Anforderungen vor. Aus diesem Grund ist insbesondere bei der Gestaltung von Medien-Angeboten, die sich explizit an Kinder und Jugendliche richten, wichtig, datenschutzrechtliche Belange vorab zu prüfen und im Entwicklungsprozess aktiv und angemessen zu berücksichtigen. Für die datenschutzgerechte Gestaltung von Internetseiten und Apps hat der gemeinsame Rundfunkdatenschutzbeauftragte von BR, SR, WDR, Deutschlandradio und ZDF einen entsprechenden Leitfaden veröffentlicht. Der Leitfaden umfasst Hinweise beispielsweise zu den besonderen Anforderungen an technisch-organisatorischen Maßnahmen, Datenschutzinformationen oder Betroffenenrechte. Für Verantwortliche, die ein solches Angebot unterhalten oder für die Zukunft beabsichtigen, ist ein Blick in den Leitfaden empfehlenswert.

Oktober 2022

„Gefährdungslage im Cyber-Raum hoch wie nie“ lautet das Fazit des Berichts „Die Lage der IT-Sicherheit in Deutschland 2022“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der Bericht zeigt eindrücklich die Vielfalt der Angriffsvektoren und die technische Fortentwicklung auf der Seite der Angreifer. Abgebildet werden hierbei neben den (wieder einmal) gestiegenen Angriffszahlen jedoch ebenfalls die abzuleitenden zielgruppenspezifischen Erkenntnisse und Maßnahmen für die Gesellschaft, die Wirtschaft sowie den Staat und die Verwaltung, welche auch einen Einblick in die zu erwartenden technischen Entwicklungen geben. Einige Inhalte des Berichts finden Sie zusammengefasst auch in unserem entsprechenden Beitrag.

November 2022

Bereits zu Beginn des Monats befassten wir uns in einem Blog-Beitrag über die aktuellen datenschutzrechtlichen Entwicklungen bezüglich der Nutzung von Microsoft 365. Thematisiert wurden hierbei insbesondere die vertraglichen Anpassungen seitens Microsoft, aber auch die seitens der Verantwortlichen zu treffenden Maßnahmen, welche einen datenschutzfreundlichen Einsatz von Microsoft 365 ermöglichen. Nur wenige Wochen später lautete das Fazit der Datenschutzkonferenz (DSK), dass Microsoft 365 nicht datenschutzkonform eingesetzt werden könne. Das gelte, „solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird […].“ Die Reaktion von Microsoft und weiteren Personen haben wir für Sie in einem gesonderten Beitrag zusammengefasst. Die weiteren Entwicklungen bleiben abzuwarten.

Dezember 2022

Am 16. Dezember 2022 hat der Bundestag das lange erwartete Hinweisgeberschutzgesetz beschlossen. Mit dem Hinweisgeberschutzgesetz erfolgt die überfällige Umsetzung der europäischen Whistleblowing-Richtlinie. Ziel dieses Gesetzes ist die nachhaltige Verbesserung des bislang lückenhaften Schutzes von Hinweisgebern, um jegliche Benachteiligung auszuschließen. Weiterhin sollen Hinweisgeber durch das Gesetz Rechtssicherheit erlangen. Nach der Whistleblower-Richtlinie sind Unternehmen ab einer Größe von 50 Beschäftigten verpflichtet, ein Whistleblowing-System einzurichten. Bei der Einrichtung müssen jedoch verschiedene Aspekte berücksichtigt werden, unter anderem datenschutzrechtliche Belange, welche wir in einem gesonderten Blog-Beitrag dargestellt haben.

Zum 27. Dezember 2022 endete nach 18 Monaten die Übergangsfrist zur Umsetzung der neuen Standardvertragsklauseln. Bei Standardvertragsklauseln handelt es sich um eine besondere vertragliche (Muster-)Vereinbarung zwischen datenübermittelnder und datenempfangender Stelle, im Rahmen derer – ähnlich wie in Verträgen zur Auftragsverarbeitung – datenschutzrechtliche Rechten und Pflichten festgelegt werden. Am 04. Juni 2021 hatte die Europäische Kommission die überarbeiteten Standardvertragsklauseln unter Berücksichtigung des „Schrems II“-Urteils des Europäischen Gerichtshofs verabschiedet. Zur Aktualisierung der Vertragswerke wurde den verantwortlichen Stellen eine Übergangsfrist bis Dezember dieses Jahres eingeräumt. Welche Handlungserfordernisse sich für Sie ergeben, wenn in Ihrem Unternehmen oder Behörde bislang keine Aktualisierung erfolgte, können Sie unserem Blog-Beitrag „Handlungsbedarf: Standardvertragsklauseln“ entnehmen.

Damit beenden wir unseren kleinen Jahresrückblick für das Jahr 2022. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leser:innen unseres Blogs auch in diesem Jahr begleitet haben und sind mit Ihnen gemeinsam gespannt, welche Aufgaben auf uns im neuen Jahr warten. In diesem Sinne wünschen wir Ihnen einen guten und vor allem gesunden Start in das Jahr 2023!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.