In unserem Jahresrückblick umreißen wir das vergangene Jahr mt Blick auf wesentliche Ereignisse aus den Bereichen des Datenschutzes und der Informationssicherheit. Nachdem die Corona-Pandemie in den vergangenen Jahren die datenschutzrechtliche Beratung stark geprägt hatte, konnten Datenschützer nun etwas aufatmen: Arbeitgeber waren nun nicht mehr verpflichtet, den Test- und Impfstatus abzufragen, was einen großen Teil der datenschutzrechtlichen Sorgen von Unternehmen ausmachte. Das Licht am Ende des Tunnels erlosch mit dem russischen Angriffskrieg auf die Ukraine jedoch schnell wieder. Sprübar nahmen ab diesem Zeitpunkt die Cyber-Angriffe mit schwerwiegenden Folgen für den Datenschutz und die Informationssicherheit zu.

Januar 2022

Datenschützerinnen und Datenschützer durften sich Anfang des Jahres 2022 zunächst mit der im Dezember 2021 seitens der Datenschutzkonferenz veröffentlichten Orientierungshilfe für Anbieter:innen von Telemedien beschäftigen. Thematisch beschäftigte sich die Orientierungshilfe mit der Datenverarbeitung durch Technologien wie Cookies, vor allem hinsichtlich des damals noch neuen § 25 Abs. 1 TTDSG. Von besonders großer Bedeutung für die Praxis ist die darin enthaltene Regelung des Einwilligungserfordernisses für nicht erforderliche Cookies, unabhängig von der Frage, ob hierüber personenbezogene Daten verarbeitet werden oder nicht.

Zum Jahresauftakt wurden deutsche Zivilrechtler mit der größten Gesetzesänderung seit der Schuldrechtsmodernisierung im Jahr 2001 beglückt. Genauer gesagt, ging es um die Reformierung des Schuldrechts. Im Wesentlichen wurden die sog. Digitale-Inhalte-Richtlinie (EU) 2019/770) und die Warenkaufrichtlinie (EU) 2019/771) in nationales Recht umgesetzt. Fleißige Datenschützer machten sich daraufhin Gedanken über mögliche Auswirkungen der neuen Regelungen auf den Datenschutz, die wir in unseren Beiträgen vom 17. Januar 2022 und 18. Juli 2022 näher erläutert haben.

Am 20. Januar hat das LG München (Az. 3 O 17493/20) entschieden, dass die dynamische Einbindung von Google Fonts nicht auf das berechtigte Interesse der verantwortlichen Stelle gestützt werden kann. Seitdem geht eine regelrechte Mahnwelle insbesondere ausgehend von zwei Rechtsanwälten umher, in denen sie Unternehmen, die weiterhin Google-Fonts auf ihren Webseiten dynamisch, einbinden zur Zahlung von etwa 170 € bis 200 € auffordern um den Fall „beizulegen“. In unseren Beiträgen vom 07. Februar 2022 und dem 24. Oktober 2022 gehen wir detailliert in den Sachverhalt ein und geben Ihnen Vorschläge, wie Sie mit einer solchen Abmahnung umgehen können.

Februar 2022

Im Februar hat der Bayrische Landesbeauftragte für den Datenschutz ein Arbeitspapier für die Nutzung von Telefax-Diensten veröffentlicht. Der Landesbeauftragte geht hier vor allem auf die typischen Risiken der Kommunikation per Fax ein und gibt praxistaugliche Hinweise, um die Risiken zu minimieren und das Fax möglichst datenschutzkonform im Unternehmen zu nutzen.

Am 04. Februar 2022 veröffentlichte der Landesbeauftragte für Datenschutz und Informationssicherheit Mecklenburg-Vorpommern die Pressemitteilung zu Nutzung der Corona-Warn-App, welche datenschutzrechtlich von vielen Seiten kritisiert wurde. In der Pressemitteilung sprach sich der Landesbeauftragte ausdrücklich positiv zur Nutzung der Warn-App aus und begrüßte den Einsatz zur Kontaktnachverfolgung, da die Speicherung der Standortdaten nur auf den individuellen Smartphones erfolgt und nicht in Unternehmen, was für Betriebe eine große Entlastung sowohl rechtlich als auch technisch darstellt.

März 2022

Die „Taskforce Facebook-Fanpages” der Konferenz der unabhängigen Datenschutzbehörden hat ein Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages veröffentlicht. Im Wesentlichen widmet sich das Kurzgutachten der Speicherung und dem Zugriff auf Cookies in den Endgeräten der Nutzer. Das Kurzgutachten kommt zu dem Ergebnis, dass Facebook-Fanpages sich nicht datenschutzkonform betreiben lassen.

Für Aufsehen das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit einer Warnung nach § 7 des BSI-Gesetz hinsichtlich der Virenschutzsoftware des Herstellers Kaspersky. Das BSI führte hierzu aus: „Durch Manipulationen an der Software oder den Zugriff auf bei Kaspersky gespeicherte Daten können Aufklärungs- oder Sabotageaktionen gegen Deutschland, einzelne Personen oder bestimmte Unternehmen oder Organisationen durchgeführt oder zumindest unterstützt werden.“ Und: „Virenschutzsoftware des Unternehmens Kaspersky sollte durch alternative Produkte ersetzt werden.„

April 2022

Am 04. April 2022 veröffentlichte der BfDI die Ergebnisse des Konsultationsverfahrens zum „Einsatz künstlicher Intelligenz im Bereich Strafverfolgung und Gefahrenabwehr. Ergebnis der Auswertung ist u. a., dass dringender Handlungsbedarf seitens des Gesetzgebers herrscht. Es besteht „die Notwendigkeit einer umfassenden Bestandsaufnahme“. Das Ergebnis darf jedoch den Datenschutz an keiner Stelle untergraben. Der Einsatz von KI in Ermittlungsmaßnahmen könnte zu einer verfassungswidrigen, vollständigen „Durchleuchtung“ von Personen führen, was unbedingt verhindert werden muss.  

Nach Veröffentlichung des Gutachtens der Datenschutzkonferenz zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages, werden nun die Datenschutzaufsichtsbehörden die Zulässigkeit solcher Fanpages von Behörden überprüfen. Mitglieder der Datenschutzkonferenz werden somit u. a. überprüfen, ob Landes- bzw. Bundesbehörden Facebook-Fanpages betreiben und darauf hinwirken, dass diese Fanpages abgeschaltet werden, wenn deren Datenschutzkonformität nicht nachgewiesen werden kann.

Mai 2022

Am 24. Mai 2022, kurz vor dem vierten Geburtstag der DS-GVO, stellte die sächsische Datenschutzbeauftragte Dr. Juliane Hundert den Tätigkeitsbericht des Jahres 2021 vor. Der Tätigkeitsbericht zeigt – wie zu erwarten war – auf, dass viele Eingaben gegenüber der Aufsichtsbehörde mit der Corona-Pandemie und den hieraus resultierenden Maßnahmen verbunden waren. Es ist nicht verwunderlich, dass viele Unternehmen über lange Zeit große Corona-Datenbestände „vorrätig hatten“. Diese müssen nun von den Unternehmen jeweils geprüft und in der Regel gelöscht werden. Für die Speicherung personenbezogene Daten zur Kontaktverfolgung besteht nun keine Rechtsgrundlage mehr. Weiterhin zeigt der Tätigkeitsbericht, dass sich das Beschwerdeaufkommen zum Vorjahr nicht gemindert hat. Der Eingang von Datenschutzverletzungen stieg sogar um ganze 45 Prozent im Vergleich zum Vorjahr an.

Der erste Eindruck suggeriert, dass die Anzahl datenschutzbetreffender Probleme steigt und man könnte fast meinen, dass die noch recht junge DS-GVO mehr Probleme hervorgerufen als gelöst hat. Bei genauerer Betrachtung fällt jedoch auf, dass durch die DS-GVO die Sensibilisierung in Unternehmen stark gestiegen ist. Durch die steigende Sensibilisierung erhöht sich auch das Verständnis über die Wichtigkeit des Datenschutzes, wodurch die Akzeptanz datenschutzwidriger Verarbeitungen, Prozesse und ganzer Geschäftsmodelle sinkt. Hieraus ergibt sich dann eine deutlich niedrigere Hemmschwelle für das Melden von Datenschutzverletzungen, Einreichen von Beschwerden und das Konsultieren der Behörden.

Juni 2022

Am 17. Juni 2022 bestätigte der Hessische Beauftragte für Datenschutz und und Informationssicherheit (HBDI), dass Zoom an Hessischen Hochschulen für Lehrveranstaltungen genutzt werden kann. Die Nutzung ist jedoch an die nicht ganz einfach umsetzbare Voraussetzung geknüpft, dass Hochschulen den Zugriff auf die Inhalts- und Metadaten aus den Videokonferenzen ausschließen können. Hierfür wurde das „Hessische Modell“ entwickelt, nach dem Hochschulen sicherstellen, dass:

• einen von Zoom unabhängigen Auftragsverarbeiter mit Sitz in der EU beauftragen, das Videokonferenzsystem auf Servern in der EU zu betreiben und mit ihnen abzurechnen,
• eine Ende-zu-Ende-Verschlüsselung aller Inhaltsdaten zur Verfügung zu stellen,
• den Abfluss personenbezogener Daten von Studierenden in die USA und den Zugriff auf solche Daten aus den USA heraus verhindern,
• die Nutzung von Zoom auf Lehrveranstaltungen beschränken,
• ein alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen, anbieten,
• die Lehrenden und Studierenden über weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung ausführlich informieren.

Weiter geht es in der kommenden Woche in unserem zweiten Teil des Jahresrückblicks mit den Monaten Juli bis Dezember 2022.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In unserem Blog-Beitrag „Analyse, Karten, Schriftarten & Co. – Datenschutz bei Internetseiten“ haben wir bereits im Februar des vergangenen Jahres auf die datenschutzrechtlichen Besonderheiten bei der Implementierung von Drittinhalten auf der Internetseite betrachtet. In diesem Zusammenhang empfahlen wir die Installation von Webschriftarten auf den Servern der verantwortlichen Stelle. Mit Urteil vom 20. Januar 2022 hat das LG München I (Az. 3 O 17493/20) nun entschieden, dass die dynamische Einbindung von Google Fonts nicht auf das berechtigte Interesse der verantwortlichen Stelle gestützt werden kann.

WAS SIND WEBSCHRIFTARTEN UND GOOGLE FONTS?

Internetseiten stellen neben Präsenzen in sozialen Netzwerken zunehmend eines der wichtigsten Kommunikationskanäle von Unternehmen und Behörden dar. Dementsprechend ist das Bedürfnis groß, die Elemente der Internetseite an die Corporate Identity des Unternehmens anzupassen sowie durch die Nutzung besonderer Schriftarten den Wiedererkennungswert zu erhöhen. Verschiedene Anbieter stellen hierfür umfangreiche Bibliotheken an Webschriftarten, meist zur kostenfreien Nutzung, zur Verfügung. Einer der am meist verbreitetsten Anbieter in diesem Bereich ist Google mit dem Produkt „Google Fonts“.

WIESO IST DAS DATENSCHUTZRECHTLICH RELEVANT?

In der Regel können derartige Schriftarten über zwei verschiedene Varianten auf einer Internetseite implementiert werden: Zu unterscheiden ist zwischen der Installation der Webschriftarten auf den Server der verantwortlichen Stelle („statisch“) und dem permanenten Abruf der Webschriftarten über die Server des Anbieters der Webschriftarten („dynamisch“).

Während bei der Einbindung der Webschriftarten über die Server der verantwortlichen Stelle keine datenschutzrechtlichen Besonderheiten zu beachten sind, sieht das bei einem Abruf über die Server des jeweiligen Anbieters anders aus: Rufen Nutzende eine Internetseite auf, welche über eine dynamische Implementierung von Webschriftarten verfügt, erfolgt zugleich ein Verweis auf die Bibliothek des jeweiligen Anbieters. Hierbei erfolgt eine Übermittlung personenbezogener Daten, zum Beispiel in Form von IP-Adressen. Oftmals ist damit automatisch eine Verarbeitung der personenbezogenen Daten in datenschutzrechtlichen Drittländern verbunden. So beispielsweise auch bei der Nutzung von Google Fonts. Zwar verfügt Google ebenfalls über Server innerhalb der Europäischen Union, jedoch kann grundsätzlich eine weltweite Datenverarbeitung nicht ausgeschlossen werden. Eine solche unterliegt stets den speziellen datenschutzrechtlichen Vorschriften des Kapitel V der Datenschutz-Grundverordnung (DS-GVO).

WAS HAT DAS GERICHT ENTSCHIEDEN?

Im Rahmen des benannten Verfahrens beanstandete der Kläger die dynamische Nutzung von Google Fonts sowie die hierbei stattfindende Übermittlung personenbezogener Daten ohne Einwilligung der jeweiligen Nutzenden. Die beklagte verantwortliche Stelle stützte die Einbindung von Google Fonts und die diesbezügliche Datenverarbeitung auf die Rechtsgrundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO. Das Gericht stellte diesbezüglich eine unerlaubte Weitergabe der IP-Adresse des Klägers und mithin eine Verletzung des Rechts auf informationelle Selbstbestimmung fest. Nach Ansicht des Gerichtes könne die dargestellte Datenverarbeitung nicht auf die Rechtsgrundlage des berechtigten Interesses gestützt werden, da eine Nutzung von Webschriftarten auch ohne Übermittlung personenbezogener Daten möglich sei.

Weiterhin steht dem Kläger ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Dies gilt insbesondere vor dem Hintergrund des Kontrollverlustes des Klägers über seine personenbezogenen Daten sowie die Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Für das Gericht erscheint der geltend gemachte Schadensersatz von 100 € für angemessen. Die beklagte verantwortliche Stelle hat darüber hinaus  zukünftig vergleichbare Datenverarbeitungen zu unterlassen. Zuwiderhandlungen können mit einem Ordnungsgeld von bis zu 250.000 €, ersatzweise mit Ordnungshaft bis zu sechs Monaten geahndet werden.

EMPFEHLUNGEN FÜR DIE PRAXIS

Verantwortlichen Stellen ist anzuraten sämtliche Internetseiten auf den Einsatz von Webschriftarten und vergleichbaren Diensten von Drittanbietern (z.B. Content Delivery Networks, kurz: CDN) zu untersuchen. Zu empfehlen ist dabei grundsätzlich die Implementierung dieser Dienste und Elemente auf den Servern der verantwortlichen Stelle.

Die Nutzung der Rechtsgrundlage der Einwilligung kann für die benannten Datenverarbeitungen nicht empfohlen werden: Findet bei der jeweiligen Verarbeitungstätigkeit eine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland statt, richtet sich diese Verarbeitung nach Kapitel V der DS-GVO. Dabei kann zwar ebenfalls eine Einwilligung nach Art. 49 Abs. 1 Satz 1 lit. a) DS-GVO herangezogen werden, jedoch ausschließlich im Ausnahmefall. Ein solcher Ausnahmefall ist im Rahmen regelmäßig wiederkehrender Datenverarbeitungen für eine Vielzahl von Nutzenden jedoch nach Auffassung der Aufsichtsbehörden grundsätzlich zu verneinen.

Sofern Unsicherheiten in der Anwendung des Gerichtsurteils oder in der weiteren Handhabung der datenschutzrechtlichen Vorschriften im Zusammenhang mit der Internetseite bestehen, empfehlen wir die Kontaktaufnahme mit Ihrem Datenschutzbeauftragten. Gern hilft Ihnen in diesen Fällen auch das DID Dresdner Institut für Datenschutz weiter.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.