Datenschutzrecht

Alle Neuigkeiten zur DSGVO – immer aktuell ✅

Seit dem 25. Mai 2018 ist die DSGVO anwendbar – und fast täglich erhalten wir hier intern neue Nachrichten zu den vielen Fragen, wie die Verordnung zu verstehen ist. Diese Informationen möchten wir gerne mit Ihnen teilen, sodass Sie mit uns in DSGVO-Fragen immer „up to date“ sind. Auf dieser stets aktualisierten Seite erfahren Sie alles über wichtige Entwicklungen in Sachen DSGVO.

  • April: Welche Rechtsgrundlage ist einschlägig, wenn ich Daten von B2B-Geschäftspartnern speichere? Auskunft des BayLDA: Artikel 6 Abs. 1 Buchst. b DSGVO (zur Erfüllung eines Vertrags) ist nur einschlägig, wenn die Vertragsbeziehung zu der natürlichen Person selbst besteht, um deren Daten es geht, also z.B. bei einem Einzelkaufmann oder anderen Einzelpersonen (z.B. Selbständigen). Wenn die Vertragsbeziehung dagegen z.B. zu einer GmbH besteht, und es werden personenbezogene (Kontakt-)Daten von Mitarbeitern dieser GmbH gespeichert, wäre Artikel 6 Abs. 1 Buchst. f DSGVO (berechtigte Interessen) die „richtige“ Rechtsgrundlage (…).“
  • 12. April: Die Datenschutzkonferenz (DSK) hat eine „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ zum Einsatz von Tracking-Technologien im Internet herausgegeben. Die DSK gibt darin die vormals vertretene Auffassung auf, dass webseitenübergreifendes Tracking nicht auf die Erlaubnisnorm der „berechtigten Interessen“ gestützt werden kann. Stattdessen soll dieser Rechtfertigungsgrund gleichberechtigt neben einer Einwilligung oder einer Notwendigkeit der Datenverarbeitung zur Vertragserfüllung stehen.
  • 1. April: DSK zum Betrieb einer Facebook Fanpage: „Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“
  • 25. Januar: Google legt Einspruch gegen 50-Mio.-DSVGO-Bußgeld ein. Das Unternehmen bestreitet, gegen die DSGVO verstoßen zu haben. Das Unternehmen möchte nicht nur für sich kämpfen. Man sei auch besorgt über die Auswirkungen dieser Entscheidung auf Verlage, Autoren von Originalinhalten und Technologieunternehmen in Europa und darüber hinaus.
  • 21. Januar: 50 Millionen DSGVO-Bußgeld gegen Google in Frankreich verhängt! Gründe: Informationen zur Verwendung der erhobenen Daten und dem Speicher-Zeitraum seien für die Nutzer nicht einfach genug zugänglich und unklar formuliert, außerdem sei die von Google eingeholte Zustimmung zur Anzeige personalisierter Werbung nicht gültig, weil die Nutzer nicht ausreichend informiert würden.
  • 21. Januar: DSGVO-Bußgelder: Nun trifft es auch kleine Unternehmen: Das Versandunternehmen Kolibri Image hatte es versäumt, einen sog. Auftragsverarbeitungsvertrag zu schließen. Dafür muss es nun 5000 Euro zuzüglich 250 Euro Gebühren zahlen. Das Unternehmen will dagegen Widerspruch einlegen.
  • 18. Januar: Behörden verhängten bereits 41 Bußgelder wegen Verstößen gegen DSGVO! Vor allem kleine Unternehmen waren auf die neuen Regeln offenbar nicht vorbereitet. Handelsblatt.de schreibt: „Die meisten Bußgelder verhängte Nordrhein-Westfalen (33), gefolgt von Hamburg (3) und Baden-Württemberg und Berlin (jeweils 2) und dem Saarland (1). Allein beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), das die Einhaltung des Datenschutzrechts in privaten Wirtschaftsunternehmen, bei Freiberuflern, in Vereinen und Verbänden sowie im Internet überwacht, laufen derzeit 85 Bußgeldverfahren nach der DSGVO“.
  • 16. Januar: DSK veröffentlicht Kurzpapier zum nicht-offentlichen Einsatz von Drohnen: „Drohnenbetreiber sind daher aufgefordert, grundsätzlich niemanden ohne seine Einwilligung zu filmen und die Privatsphäre anderer zu achten. Nutzer dürfen Drohnen mit Foto- oder Videoausrüstung nur in solchen Bereichen einsetzen, in denen eine Verletzung von Rechten Dritter ausgeschlossen werden kann. Insbesondere in urbanen Umgebungen ist das Betreiben von Drohnen mit Film- und Videotechnik im Einklang mit den geltenden Gesetzen in der Regel nicht möglich.“
  • 8. Januar: Dürfen DSGVO-Verstöße von Mitbewerbern abgemahnt werden? LG Wiesbaden veröffentlicht Volltext zum Urteil vom 05.11.2018 (Az. 5 O 214/18). Darin steht: „Ein Mitbewerber ist nach den §§ 3 Abs.1, 3a i.V.m. § 8 Abs.3 Nr.1 UWG weder anspruchsberechtigt noch klagebefugt mit dem Ziel Verstöße gegen die DSGVO geltend zu machen. Die DSGVO enthält in den Artikeln 77-84 eine die Ansprüche von Mitbewerbern abschließende Regelung.“ 
  • 8. Januar: Datenschutzbehörde NRW konkretisiert Anforderungen an Kommunikation per E-Mail: Die DSGVO enthält in Art. 32 keine speziellen Vorgaben zu den technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten in E-Mails. Nun hat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI NRW) ihre Position zu den technischen Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand veröffentlicht. Bei der Übermittlung von E-Mails sei grundsätzlich zwischen einer Verschlüsselung auf Inhaltsebene (Inhalt der Mail und Anhänge) und einer Verschlüsselung auf Transportebene (Metadaten wie Absender, Empfänger, Datum und Betreff) zu unterscheiden. Generell bedarf die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung.
  • 8. Januar: Österreichische Datenschutzbehörde zu Beschwerdeverfahren nach der DSGVO nur in der amtlichen Landessprache. „Mit Entscheidung vom 21.09.2018 hat die Datenschutzbehörde in Österreich (DSB) die Beschwerde einer Person nach Art. 77 DSGVO zurückgewiesen, die sich nur auf Englisch über ein österreichisches Unternehmen per E-Mail bei der DSB beschwerte.“

Neuigkeiten aus 2018:

  • 27. November: Uber muss in Großbritannien und den Niederlanden Millionenstrafe zahlen. Uber hatte seine seine Kunden über ein Jahr lang nicht von einem Hackerangriff unterrichtet. Von der Attacke im Herbst 2016 waren insgesamt 57 Millionen Nutzer und Fahrer betroffen.
  • 20. November: Facebook Custom Audience verstößt gegen Datenschutzrecht. Bereits im Jahr 2017 untersagte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) einem Online-Shop den Einsatz von „Facebook Custom Audience“, einem Marketing-Werkzeug von Facebook. Der Bayerische Verwaltungsgerichtshof hat nun entschieden, dass der Einsatz von „Facebook Custom Audience“ ohne Einwilligung des Nutzers gegen das Datenschutzrecht verstößt.
  • 19. November: Facebook-Fanpages nach EuGH-Urteil: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit führt seit Anfang November Anhörungsverfahren bei Stellen der Berliner Landesverwaltung, bei den politischen Parteien sowie einer Reihe von Unternehmen und Organisationen u. a. aus der Handels-, Verlags- und Finanzbranche in Sachen Facebook-Fanpages durch.
  • 15. November: Landesbeauftragte Niedersachsen prüft 150 Kommunen. Es geht darum, wie gut die Städte und Gemeinden ihre Arbeit an die neuen Anforderungen angepasst haben und wo sie noch nachbessern müssen. Dafür sollen die Kommunen Fragen zu vier Bereichen des Datenschutzes beantworten: Organisation, datenschutzkonforme Verarbeitung, Umgang mit Betroffenenrechten sowie mit Datenschutzverletzungen.
  • 15. November: OLG München: „Berechtigte Interessen“ i.S.d. Art. 6 Abs. 1 lit. f) DSGVO sind weit auszulegen. Im Rahmen der Frage, ob es gegen die DSGVO verstößt, eine rechtlich geforderte Auskunft zu erteilen, sagte das Oberlandesgericht (OLG) folgendes: „Eine möglichst weite Interpretation des berechtigten Interesses ist zudem (unions-)grundrechtlich geboten (…)“ In diesem Fall stand daher die DSGVO einer Auskunftserteilung nicht im Wege, weil der zur Auskunft Verpflichtete sich auf seine berechtigten Interessen stützen konnte (Teilurteil v. 24.10.2018, Az. 3 U 1551/17).
  • 15. November: LG Ffm zu Fotorecht – KUG und DSGVO kommen zu gleichem Ergebnis: Das Landgericht (LG) Frankfurt a.M. hätte die Gelegenheit gehabt, als erstes Gericht darüber zu entscheiden, ob ein ohne Einwilligung veröffentlichtes Fotos aus dem gewerblichen Bereich nach dem Kunsturhebergesetz (KUG) oder der Datenschutzgrundverordnung (DSGVO) zu beurteilen ist. Leider hat es diese Möglichkeit nicht genutzt, sondern den Fall einfach unter beiden Normen entschieden – sie kämen ohnehin zu dem gleichen Ergebnis. Das zeigt ein nun bekannt gewordenes Urteil von September (Urt. v. 13.09.2018, Az. 2-03 O 283/18). Jemand hatte in einem Frisörsalon eine Kundin ohne deren Einwilligung gefilmt, fotografiert und auf der Facebook Fanpage des Frisörsalons online gestellt. Der Frisörsalon wollte die Fotos aber nicht löschen. Dies verstoße sowohl gegen das KUG als auch gegen die DSGVO, so die Frankfurter Richter.  http://www.lareda.hessenrecht.hessen.de/lexsoft/default/hessenrecht_lareda.html#docid:8136994
  • 7. November: Facebook ist nicht kostenlos –  Zehn Millionen Euro Datenschutzstrafe in Italien: Die italienische Wettbewerbsbehörde AGCM hat Facebook zu zwei Datenschutz-Strafen in Höhe von zusammen 10 Millionen Euro verurteilt. Ein Vorwurf lautet, dass das Netzwerk Internetnutzer in die Irre führe, wenn es vor der Kontoeröffnung vor allem darauf hinweist, dass die Nutzung kostenlos ist. Dass Nutzerdaten für kommerzielle Zwecke gesammelt werden, sei dagegen nicht so klar ersichtlich.
  • 7. November: Die Bayerische Aufsichtsbehörde kündigt Datenschutzprüfungen an. So lautet es in der Pressemitteilung: „Knapp ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) seine Prüfaktivitäten wieder verstärkt aufgenommen und neue flächendeckende Datenschutzkontrollen in Bayern angestoßen. Im Fokus der aktuellen Prüfungen steht der sichere Betrieb von Online-Shops, der Schutz vor Verschlüsselungstrojanern in Arztpraxen, die Erfüllung der Rechenschaftspflicht bei Großkonzernen und mittelständischen Unternehmen sowie die Umsetzung der Informationspflichten in Bewerbungsverfahren. Pressemitteilung: https://www.lda.bayern.de/media/pm2018_17_de.pdf
  • 25. Oktober: Neues von der ePrivacy-Verordnung: Der aktuelle Zeitplan: Eine Entscheidung zum weiteren Vorgehen – also eine Verabschiedung der Verordnung noch 2018 oder eine Vertagung bis nach der Europawahl im Mai 2019 – fällt in der zuständigen Arbeitsgruppe des Rats schon in den nächsten Tagen. Wir gehen derzeit eher vom zweiten Szenario aus. Zu bemerken ist dabei auch, dass der aktuell vorliegende Entwurf der österreichischen Ratspräsidentschaft eine zweijährige Übergangsfrist vorsieht, was die deutsche Bundesregierung auch unterstützt.“ Es berichtet: http://www.onlinemarketingrecht.de/2018/10/neues-von-der-eprivacy-verordnung/
  • 8. Oktober: Die Bundesregierung sieht in ihrem Vorschlag, die Nutzung werbefinanzierter Online-Dienste von der Einwilligung des Nutzers in das Setzen von Cookies für Werbezwecke abhängig machen zu können, keinen Widerspruch zu Art. 7 Abs. 4 DSGVO („Bedingungen für die Einwilligung“) http://dipbt.bundestag.de/dip21/btd/19/049/1904946.pdf (dort S. 31)
  • 3. Oktober: EU-Kommission: DSGVO-Betroffenenrechte sind abschließend. Nach einer Stellungnahme der EU-Kommission haben (zumindest) die Rechtsbehelfe für die Betroffenen aus den Art. 77ff DSGVO abschließende Wirkung. Die Aussage der Kommission könnte nun dahingehend verstanden werden, dass jedwede Geltendmachung von DSGVO-Verstößen außerhalb des Regelungssystems der Verordnung selbst nicht vorgesehen ist. Auf der anderen Seite bezieht sich die Kommission in ihrer Antwort explizit nur auf die Rechte der Betroffenen – von dem spezifischen wettbewerbsrechtlichen System ist in der Antwort nicht die Rede. Somit ist diese Frage zwar nicht eindeutig beantwortet, wohl aber deutet die Stellungnahme in eine Richtung, die so manchem abmahnfreudigen Unternehmer nicht gefallen dürfte. Die Antwort der Kommission findet sich hier: http://www.europarl.europa.eu/doceo/document/E-8-2018-004117-ASW_EN.html

Unsere bisherigen Beiträge zu aktuellen Entwicklungen in Sachen DSGVO

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (5 Bewertungen, Durchschnitt: 4,20 von 5)

RSSKommentare (2)

Kommentar schreiben

  1. toll, dass ihr monatlich solche Zusammenfassungen macht.

  2. GDPR makes much mention of ‚personal‘ information. In the event that a business just completes business with different organizations, not people, does GDPR still have to be complied with?

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.