- EuGH (1): Entscheidung zur Cookie-Einwilligung („Planet49“) – Aus deutscher Sicht bleibt Einwilligungserfordernis weiter offen
- EuGH (2): Facebook kann gezwungen werden, bei rechtswidriger Beleidigung auch wort- und sinngleiche Kommentare zu entfernen
- EuGH (3): Zur räumlichen Reichweite des „Rechts auf Auslistung” gegenüber Betreibern von Suchmaschinen
- AG München: Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO umfasst Position zu Inkassokosten, nicht aber interne Vermerke
- Arbeitspapier zum Datenschutz von Kindern in Online-Diensten
- Leitlinien zur Auslagerung finden Anwendung
- Update zu Kennzeichnungspflichten von Influencer-Werbung
1. EuGH (1): Entscheidung zur Cookie-Einwilligung („Planet49“) – Aus deutscher Sicht bleibt Einwilligungserfordernis weiter offen
von Ramona Kimmich
Der EuGH hat mit Urteil vom 1. Oktober 2019 (Az.: C-673/17 – „Planet49“) entschieden, dass in allen EU-Ländern, die die Cookie-Richtlinie 2002/58/EG in nationales Recht umgesetzt haben (z.B. das Vereinigte Königreich), Cookies nur mit Einwilligung des Webseitenbesuchers zulässig sind. In Stellungnahmen zu dem Urteil betonen deutsche Datenschutzbehörden, dass auf deutschen Webseiten Analyse-Cookies, die Nutzerverhalten über Webseiten hinweg tracken, und Funktionalitätscookies auf Basis der legitimen Interessen des Webseitenbetreibers gerechtfertigt sein können. Der EuGH hat außerdem entschieden, dass eine Einwilligung zum Setzen von Cookies – sofern diese erforderlich ist – nicht durch vorangeklickte Kästchen eingeholt werden kann.
Fazit: Der EuGH und die EU-Gesetzgeber haben keinen einheitlichen Rechtsrahmen für die Nutzung von Cookies auf EU-weiten Webseiten geschaffen. Die Datenschutzbehörden sind weiterhin wegen Cookies aktiv: Die spanische Aufsichtsbehörde hat ein Bußgeld wegen einer unzureichenden Cookie-Lösung zur Einstellung von Cookie-Präferenzen verhängt (Pressemitteilung des Europäischen Datenschutzausschusses verfügbar unter edpb.europa.eu). Mehr auf unserem Blog.
2. EuGH (2): Facebook kann gezwungen werden, bei rechtswidriger Beleidigung auch wort- und sinngleiche Kommentare zu entfernen
Der EuGH hat sich jüngst in einer Entscheidung vom 3. Oktohheit eine Sperre und Löschung von Postings verlangt werden kann. Der EuGH hat ferner festgehalten, dass Art. 15 E-Commerce-Richtlinie der weltweiten Geltung einer gericber 2019 (Az.: C-18/18) mit der Frage beschäftigt, wie weit die Pflichten von Hosting-Providern zur Löschung von Inhalten gehen. Der EuGH stellte fest, dass bei Wortgleichtlichen Verfügung nicht entgegenstehe.
Fazit: Das Urteil enthält in Teilen Altbekanntes. Kontrovers beurteilt wird das Urteil aber insbesondere insoweit, als der EuGH nun urteilt, Facebook müsse den Post weltweit entfernen, statt ihn etwa nur in Österreich oder im EU-Raum unsichtbar zu machen.
3. EuGH (3): Zur räumlichen Reichweite des „Rechts auf Auslistung” gegenüber Betreibern von Suchmaschinen
von Dr. Philipp Süss, LL.M./Dr. Alexander Hardinghaus, LL.M.
Der EuGH hat mit Urteil vom 24. September 2019 (Az.: C-507/17) entschieden, dass ein Suchmaschinenbetreiber das „right to be forgotten“ nicht weltweit umsetzen muss, sondern nur in allen mitgliedstaatlichen Versionen der jeweiligen Suchmaschine. Allerdings, so der EuGH, müssten seitens des Suchmaschinenbetreibers erforderlichenfalls Maßnahmen getroffen werden um zu vermeiden, dass bei Suchanfragen aus der EU über die Ergebnisliste auf diejenigen Links zugegriffen werden könne, welche Gegenstand des Auslistungsantrags sind (sog. Geo-Blocking). Der EuGH stellte gleichzeitig jedoch klar, dass das Unionsrecht Befugnissen von nationalen Aufsichts- oder Justizbehörden, Suchmaschinenbetreiber nach Abwägung der Privatsphäre und Informationsfreiheit gegeneinander zum weltweiten Auslisten zu zwingen, nicht entgegensteht.
Fazit: Grundsätzlich besteht das Recht auf Auslistung von Suchmaschinenergebnissen nur innerhalb der EU. Das Unionsrecht steht der Anordnung einer weltweiten Auslistung durch nationale Behörden auf Grundlage einer Einzelfallabwägung jedoch nicht entgegen.
4. AG München: Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO umfasst Position zu Inkassokosten, nicht aber interne Vermerke
von Arne Senger, LL.M.
Mit Urteil vom 4. Oktober 2019 (Az.: 155 C 1510/18) hat das AG München entschieden, dass der Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO alle personenbezogenen Daten umfasst, die zum Zeitpunkt des Auskunftsanspruch beim Verantwortlichen gespeichert sind und die die Identifizierbarkeit des Betroffenen ermöglichen. Hierzu zählt das Gericht neben Gesundheitsdaten und Kontonummer auch explizit Daten zur Geltendmachung von Inkassokosten gegen den Betroffenen. Vom Auskunftsanspruch aus nimmt das Gericht interne Vorgänge wie Vermerke, sämtlichen gewechselter Schriftverkehr, der dem Betroffenen bereits bekannt ist sowie rechtliche Bewertungen oder Analysen. Der Anspruch aus Art. 15 Abs. 1 DSGVO diene nicht der vereinfachten Buchführung des Betroffenen, sondern solle sicherstellen, dass der Betroffene den Umfang und Inhalt der über Ihn gespeicherten und verarbeiteten Daten beurteilen könne.
Fazit: Es bleibt abzuwarten, ob dieses Urteil für mehr Klarheit in dem Streit um den Umfang des Auskunftsanspruchs aus Art. 15 Abs. 1 DSGVO sorgt oder nur noch mehr Verwirrung stiftet. Für umfassend hat zuletzt das LG Landau (Az.: 3 O 389/17) den Auskunftsanspruch befunden.
5. Arbeitspapier zum Datenschutz von Kindern in Online-Diensten
Die Internationale Arbeitsgruppe für den Datenschutz in der Telekommunikation („IWGDPT") hat ein Arbeitspapier zum Datenschutz von Kindern in Online-Diensten („AP") veröffentlicht. Das AP stellt die wichtigsten Risiken und Herausforderungen dar, die mit der Nutzung von Online-Diensten durch Kinder verbunden sind. Das AP empfiehlt insbesondere, dass (i) die Einwilligung von Eltern eingeholt werden soll, es sei denn es liegt eine andere Rechtsgrundlage für die Datenverarbeitung vor, (ii) zuverlässige Maßnahmen zur Verifizierung des Alters der Kinder und Rechtmäßigkeit der Einwilligung der Eltern implementiert werden sollen, (iii) die Datenschutzinformation transparent und kinderfreundlich (z.B. mithilfe von Fotos und Videos) bereitgestellt werden sollen, und (iv) Mechanismen zur Sicherstellung der Datenqualität implementiert werden sollen, da Daten zu Kindern schnell veraltet sind.
Fazit: Anbieter von Online-Diensten für Kinder müssen spezielle Mechanismen einsetzen, um die Privatsphäre von Kindern angemessen zu schützen. Die IWGDPT hat Behörden aufgefordert, Online-Dienste für Kinder besonders zu prüfen. Wir erwarten daher ein verstärktes Tätigwerden der Datenschutzbehörden in diesem Bereich.
6. Leitlinien zur Auslagerung finden Anwendung
Seit dem 30. September 2019 gelten die neuen Leitlinien zur Auslagerung der Europäischen Bankenaufsichtsbehörde („EBA“) („Leitlinien“). Die Leitlinien ersetzen die Vorgängerversion aus dem Jahr 2006 sowie die Leitlinien zur Auslagerung auf Clouddienste. Schwerpunkte sind neben einer einheitlichen Definition der Auslagerung für Banken, Investmentfirmen sowie Zahlungsdiensteanbieter viele Anpassungen, die sich aus der Digitalisierung sowie Änderungen der Wirtschaft ergeben wie Cloud-Computing, Unterauslagerung, Auslagerung innerhalb einer Unternehmensgruppe, Verarbeitungsorte sowie Business-Continuity.
Fazit: Regulierte Unternehmen sollten die Leitlinien beachten; unabhängig davon, ob die EBA die zuständige Aufsichtsbehörde ist. Aufgrund der Vielzahl möglicher Auslagerungen, müssen die Leitlinien im Einzelfall darauf geprüft werden, ob eine Vorgabe zutrifft.
7. Update zu Kennzeichnungspflichten von Influencer-Werbung
von Ramona Kimmich
Das OLG Frankfurt hat mit Beschluss vom 24. Oktober 2019 (Az.: 6 W 68/19) entschieden, dass Influencer-Posts, die Unternehmensprofile mittels Tags verlinken, kennzeichnungspflichtige Werbung darstellen. Das Gericht begründet die geschäftliche Handlung damit, dass jeder Influencer-Post eine Werbemaßnahme für das eigene Influencer-Profil sei. Im konkreten Fall hat die Influencerin ferner einem getaggten Hotel für die Reiseeinladung gedankt. Nach Auffassung des Gerichts durfte die Influencerin nicht wegen Umständen, aus denen man auf den Werbecharakter ihres Handelns schließen kann, von der Kennzeichnung absehen – obwohl sie mehr als 500.000 Follower hatte.
Fazit: Erneut hat die deutsche Rechtsprechung die Schwelle für Kennzeichnungspflichten bei Influencer-Posts niedrig angesetzt. Die unterschiedlichen Gerichtsentscheidungen zum Influencer-Marketing schaffen keine Rechtssicherheit – z.B. bei der Frage, ob der Werbecharakter bei hohen Followerzahlen offensichtlich ist und deshalb die Kennzeichnungspflicht entfällt.
Lesehinweise zum IT und Datenschutzrecht
Neue Gesetze
- Entwurf des GWB-Digitalisierungsgesetzes.
Lesehinweise
- Reed Smith Blockchain White Paper.
- Europäischer Datenschutzausschuss:
- Guidelines zu Data Protection by Design and by Default.
- Guidelines zum räumlichen Anwendungsbereich der DSGVO. Mehr auf unserem Blog.
- Guidelines zur Datenverarbeitung auf Grundlage von Artikel 6 Abs. 1 lit. b DSGVO. Mehr auf unserem Blog.
- Guidelines zum Right to be forgotten bei Suchmaschinen.
- Datenschutzkonferenz:
- Konzept zur Bußgeldberechnung. Mehr auf unserem Blog.
- Erfahrungsbericht zur Anwendung der DSGVO.
- Sicherheitsmaßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen.
- Standard-Datenschutzmodell 2.0.
- Weitergabe sensibler Daten durch Gesundheitswebseiten und Gesundheitsapps.
- Datenschutzbehörde Niedersachsen: Bericht über DSGVO-Prüfung von 50 Unternehmen. Mehr auf unserem Blog.
- BayLDA: DSGVO FAQ.
- Bericht der Datenethikkommission der Bundesregierung.
- Bericht der Europäischen Kommission zur 3. jährlichen Prüfung des EU-US Privacy Shield. Mehr auf unserem Blog.
Um immer aktuelle Informationen zu bekommen, besuchen Sie unseren Blog Technology Law Dispatch.