LfDI M-V: Tätigkeitsbericht 2019

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) hat heute seinen Tätigkeitsbericht zum Datenschutz (und zur Umsetzung des Informationsfreiheitsgesetzes) veröffentlicht.

Den Tätigkeitsbericht findest du hier: LfDI MV, Fünfzehnter Tätigkeitsbericht zum Datenschutz und Siebenter Bericht über die Umsetzung des Informationsfreiheitsgesetzes (PDF)

Der Berichtszeitraum für das Thema Datenschutz bezieht sich auf das Jahr 2019. Auf den ersten 94 Seiten finden sich Ausführungen zum Datenschutz, gegliedert nach folgenden Kapiteln:

  1. Empfehlungen
  2. Zahlen und Fakten
  3. Entwicklung der Behörde
  4. Zusammenarbeit auf europäischer Ebene
  5. Zusammenarbeit auf deutscher Ebene
  6. Datenschutz und Bildung
  7. Technik und Organisation
  8. Datenschutz in verschiedenen Rechtsgebieten

Was uns Praktiker natürlich immer besonders interessiert, ist die Bußgeldpraxis der Aufsichtsbehörden. Der LfDI MV hat im Jahr 2019 gerade einmal fünf Bußgelder verhängt. Das ist nicht gerade viel.

In acht Fällen hat die Behörde Gebrauch von Anordnungen mit Zwangsgeldandrohung gemacht. Eine Maßnahme, die die Aufsichtsbehörde nach eigenen Angaben als „deutlich wirksameres“ Mittel zur Durchsetzung von Datenschutzanforderungen ansieht.

Die verhängten Bußgelder scheinen auch nicht sonderlich hoch gewesen zu sein. Im Bericht wurde z.B. erwähnt, dass ein Bußgeldbescheid über 500,00 € gegen einen Rentner verhängt wurde, weil dieser Nachbarschaftslisten erstellt und verteilt hat. Das verhängte Bußgeld wurde dann aber nach Angaben des LfDI MV vom AG Schwerin auf 200,00 € herabgesetzt.

Um ganz ehrlich zu sein, habe ich ansonsten nicht viele (für mich) spannende Themen im Tätigkeitsbericht finden können.

Gutes Erklärvideo zur Funktionsweise von heutigem Online-Advertising

Über ein Retweet des geschätzten Ralf Bendrath auf Twitter bin ich auf dieses Video aufmerksam geworden. Das Video ist von Dr. Johnny Ryan, der Chief Policy & Industry Relations Officer bei der Brave Software, Inc. („Brave“) ist. Und es erklärt, wie heutige Online-Werbung funktioniert.

Dieses Video ist für Procter & Gamble aufgenommen worden und soll dort das heutige, im Online-Advertising verwendete „Real Time Bidding“ (RTB) erklären. RTB ist sicher alles andere als trivial und viele Datenschutzbeauftragte und Juristinnen und Juristen verstehen nicht, wie das Ganze funktioniert. In diesem Video wird ab Minute 4:28 in großartig einfacher Weise erklärt, wie RTB funktioniert und warum es aus Datenschutzsicht besonders relevant ist.

Die rechtlichen Bewertungen, die Dr. Johnny Ryan, dann daraus zieht, teile ich nicht bzw. nicht ganz. Insbesondere die Ausführungen zu Art. 5 Abs. 1 lit. f) DSGVO sind m.E. etwas pauschal. Das ändert aber nichts daran, dass RTB hier einmal einfach und gut erklärt wird.

Office Hours für Beginner vom 02.06.2020

Wir schreiben den Monat Juni 2020 und heute haben die Office Hours für Beginner stattgefunden. Etwas über 30 Minuten Fragen und Antworten können Datenschutz-Coaching-Mitglieder hier nachhören:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Office Hours für Beginner vom 12.05.2020 (Teil 2)

Wie ich hier schon berichtet hatte, sind wir bei den Office Hours für Beginner im Mai 2020 wegen der vielen Fragen nicht „durch“ gekommen.

Daher hier noch die aufgezeichneten Antworten auf die weiteren Fragen.

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinar „Datenschutz-Folgenabschätzung (DSFA)“

Am 28.05.2020 hat das monatliche Webinar für Datenschutz-Coaching-Mitglieder mit dem Thema „Datenschutz-Folgenabschätzung (DSFA)“ stattgefunden. Wir haben uns damit beschäftigt, wann eine DSFA erstellt werden muss, wann eine DSFA erstellten werden sollte und vor allem wie eine DSFA erstellt werden sollte – mit einem Fokus auf die Risikoanalyse und -bewertung.

Die Aufzeichnung sowie die weiteren Unterlagen finden sich hier:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

BGH zu Cookies und dem Erfordernis von Einwilligungen – („Planet 49“)

Heute hat der BGH sein Urteil im sog. „Planet 49“-Verfahren gesprochen. Zuvor hatte der BGH bzgl. einiger Fragen zu Cookies dem EuGH Fragen vorgelegt. Hieraus resultierte das sog. „Planet 49“-Urteil des EuGH (Urteil vom 01.10.2019, Az.: C-673/17).

Durch dieses Urteil des EuGH war – in Verbindung mit den Vorlagefragen des BGH – die heutige Entscheidung schon ein wenig im Voraus zu erahnen.

Bislang gibt es nur die Pressemitteilung des BGH zu dem Urteil. Die lässt noch einiges an Interpretationsspielraum im Detail offen. Das Urteil mit Entscheidungsgründen wird dann später hier abrufbar sein.

Aus der Pressemitteilung lässt sich im Hinblick auf ein Erfordernis für eine Einwilligung zum Setzen von Cookies Folgendes entnehmen:

Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage – also vor Geltung der Verordnung (EU) 2016/679 – im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar.

Der BGH stellt hier zunächst fest, dass eine Einwilligung schon vor Anwendung der DSGVO nicht durch eine vorangekreuzte Checkbox erteilt werden konnte. Dies war schon mit den wesentlichen Grundgedanken von § 15 Abs. 3 TMG unvereinbar.

Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handelt es sich um ein Pseudonym im Sinne dieser Vorschrift. § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.

Interessant ist hier zunächst, dass der BGH bei einer zufallsgenerierten ID in einem Cookie von einem „Pseudonym“ i.S.d. § 15 Abs. 3 TMG ausgeht. Dies könnte übrigens im Gegensatz zur der Ansicht der deutschen Aufsichtsbehörden (s. DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 15) gehen, die bei IDs, die der Wiedererkennung von Nutzern dienen, nicht von einer wirksamen Pseudonymisierung i.S.d. DSGVO ausgehen.

Aus den Ausführungen der Pressemitteilung des BGH lässt sich hier zunächst nur entnehmen, dass für Cookies, die zur „Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung“ eine Einwilligung des Nutzers erforderlich ist. Das lässt durchaus etwas Spielraum für Interpretationen offen. Hier sollten wir aber die Urteilsbegründung abwarten.

In den weiteren Ausführungen der Pressmitteilung nimmt der BGH dann kurz Stellung zur ePrivacy-Richtlinie und dem TMG. Wir können das auch als Ausführungen des BGH zu seinem „Kreativ-Spagat“ der richtlinienkonformen Auslegung des TMG nennen:

Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

Das muss man sich einmal auf der Zunge zergehen lassen. Also der BGH meint, dass § 15 Abs. 3 Satz 1 TMG (noch) richtlinienkonform dahingehend ausgelegt werden kann, dass die nach Art. 5 Abs. 3 ePrivacy-Richtlinie erforderliche Einwilligung in nicht unbedingt erforderliche Cookies in Art. 15 Abs. 3 Satz 1 TMG „hineingelesen“ werden kann. Und zwar so, dass bei Fehlen einer Einwilligung automatisch ein Widerspruch vorliegt. Wow…das ist in der Tat ein Spagat. Aber das war ja zu erwarten.

Jedenfalls führt das im Ergebnis dazu, dass § 15 Abs. 3 TMG wegen der möglichen richtlinienkonformen Auslegung und der insoweit bewussten Entscheidung des deutschen Gesetzgebers wegen Art. 95 DSGVO von der DSGVO unberührt bleibt.

Schließlich macht der BGH dann noch Ausführungen dazu, dass die Definition der Einwilligung in der DSGVO im Vergleich zur vorherigen Regelung zur Einwilligung in der EG-Datenschutzrichtlinie zu demselben Ergebnis führen, so dass sich auch nach der neuen Rechtslage immer noch eine vorangehakte Checkbox keine wirksame Einwilligung darstellen könne.

Wer jetzt denkt, dass der BGH mit seinem „Kreativ-Spagat“ zu weit gegangen ist, dem möchte ich einmal die Aufzeichnung der Urteilsbegründung nahelegen. Den Start des Videos an der entsprechenden Stelle habe ich hier voreingestellt:

Die Urteilsbegründung in der gesamten Länge kannst du dir hier ansehen:

Office Hours für Beginner vom 12.05.2020

Am 12.05.2020 haben die Office Hours für Beginner stattgefunden. Die Aufzeichnung finden Datenschutz-Coaching-Mitglieder hier: (MP3) Die in den Office Hours offen gebliebenen Fragen werde ich später noch einmal beantworten und …

Office Hours für Beginner vom 12.05.2020 Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

LDI NRW mit Empfehlungen zu Videokonferenzsystemen und Messengerdiensten

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat am 18.05.2020 Informationen und Empfehlungen zum Einsatz von Videokonferenz- und Messengerdiensten veröffentlicht.

Dazu wurden dann auch zwei Dokumente als „Leitplanken“ veröffentlicht:

Gut: Es werden konstruktive Empfehlungen gegeben zum Einsatz der Dienste gegeben.

Was besser gemacht werden kann: Die Informationen zu den einzelnen Diensten (z.B. Microsoft Teams, Skype und Zoom) sind inhaltlich teilweise falsch bzw. nicht auf dem aktuellen Stand.

Office Hours für Profis vom 04.05.2020

Am 04.05.2020 haben die Office Hours für Profis stattgefunden. Auch diesmal länger als geplant (1:18h).

Die Aufzeichnung finden Datenschutz-Coaching-Mitglieder hier:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinar „Tipps & Tricks zu Erstellung und Pflege von Verarbeitungsverzeichnissen“

Am 22.04.2020 fand das monatliche Webinar für Datenschutz-Coaching-Mitglieder statt. Diesmal mit dem Thema „Tipps & Tricks zu Erstellung und Pflege von Verarbeitungsverzeichnissen“.

Datenschutz-Coaching-Mitglieder können sich die Aufzeichnung hier ansehen und die Audio-Version als MP3-Datei herunterladen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Office Hours für Beginner & Profis vom 20.04.2020

Am 20.04.2020 haben die Office Hours stattgefunden. Diesmal gemeinsam für Beginner & Profis. Dafür aber eben auch länger (1:12h). Die Aufzeichnung finden Datenschutz-Coaching-Mitglieder hier:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden