Zum 25.05.2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten, das ist nun wieder einige Monate her. Seit dem hat sich im Datenschutzbereich einiges getan, es ergingen Urteile zu datenschutzrechtlichen Themen auf deutscher wie auf europäischer Ebene und seit kurzem gibt es auch die ersten bekannt gewordenen Bußgelder, welche durch Aufsichtsbehörden auf Basis der DSGVO erlassen wurden. Näheres erfahren im Weiteren.

 

Inhaltsübersicht:

  1. Erste DSGVO-Bußgelder in Deutschland & Europa
  2. EUGH-Urteil zu Facebook-Fanpage
  3. VGH München- Einsatz von Facebook Custum Audiences ist datenschutzwidrig.
  4. Amtsgericht Urteil zu DSGVO-Schadensersatz bei einmaliger unerlaubter E-Mailwerbung
  5. BGH – Kundenzufriedenheitsanfrage per E-Mail erfordert grundsätzlich Einwilligung
  6. Brexit: Großbritannien möglicherweise bald Drittland

 

  1. Erste DSGVO-Bußgelder in Deutschland & Europa

Es dauerte eine Weile, aber inzwischen sind die ersten Bußgelder auf Basis der DSGVO einer deutschen Datenschutzaufsichtsbehörde verhängt worden. Der erste bekannte Fall betraf den Betreiber des Internet-Portals Knuddels.de, einer Social-Media / Chatplattform für Jugendliche, dieser musste Ende November 2018 20.000€ zahlen, da dort durch Hacker eine sechsstellige Anzahl Passwörter entwendet wurde, welche unzureichend geschützt waren. So waren die Passwörter im Klartext, also unverschlüsselt gespeichert.

20.000€ sind deutlich weniger als die Maximalhöhe von 20 Millionen € oder auch 4 % des weltweit erzielten Jahresumsatz eines Unternehmens, welche die DSGVO erlauben würde.
Die Aufsichtsbehörde begründete dies jedoch mit der hohen Kooperationsbereitschaft des betroffenen Unternehmens und der sofortigen Umsetzung von technischen Maßnahmen durch das Unternehmen. Auch habe das Unternehmen für die IT-Sicherheit und der Geldbuße insgesamt eine sechsstellige Summe aufwenden müssen.

Dies zeigt zum einen, dass das Verhängen von Bußgeldern keine theoretische Gefahr ist, es sich aber lohnt, im Falle eines Datenschutzverstoßes bestmöglich mit der Datenschutzaufsichtsbehörde zu kooperieren. Was bei einer Datenpanne zu tun ist, erfahren Sie hier.

80.000€ musste ein Unternehmen ebenfalls in Baden-Württemberg entrichten, da Gesundheitsdaten im Internet landeten.

In Nordrhein-Westfalen wurden bereits über 30 Bußgelder verhängt, allerdings noch in geringer Höhe.
Im vor kurzem veröffentlichten Tätigkeitsbericht von der baden-württembergischen Datenschutzbehörde wurde verlautet dass in einer Vielzahl von Fällen die Ermittlungen noch andauern, einige der Verfahren jedoch bald zum Abschluss kommen würden.
In Frankreich wurde gegen Google gar ein Bußgeld in Höhe von 50 Millionen wegen intransparenten Informationen zur Datenverarbeitung von der dortigen Datenschutzbehörde verhängt, gegen welches der Konzern jedoch vorgeht.

Die meisten Bußgelder erfolgen dabei aufgrund von Beschwerden durch Betroffene, welche die Aufsichtsbehörden zum Ermitteln zwingen.

 

  1. EUGH-Urteil zu Facebook-Fanpage

Am 05. Juni 2018 hatte der EUGH über die Nutzung von Facebook-Fanpages zu entscheiden. Hintergrund war ein Streit zwischen der schleswig-holsteinischen Datenschutz-Aufsichtsbehörde und der Wirtschaftskammer des Bundeslandes. Der Landesdatenschützer hatte der Wirtschaftskammer das Betreiben einer Facebook-Fanpage untersagt, welche sich gegen diese Anordnung gerichtlich wehrte.
Eine Facebook-Fanpage kann von Unternehmen oder auch Privatpersonen verwendet werden, um mit Facebook-Mitgliedern in Kontakt zu treten. Wenn ein Facebook-Nutzer die Fanpage abonniert, bekommt er Nachrichten von dieser in seinem Newsfeed bei Facebook angezeigt.
Die Aufsichtsbehörde störte sich hier insbesondere an „Facebook Insight“, eine Trackingfunktion die von Facebook zur Verfügung gestellt wird, und sowohl Facebook als auch dem Fanpage-Betreiber Informationen über die mit der Seite interagierenden Facebook-Nutzern gab.
Unklar war vor dem EUGH-Urteil, ob hierfür Facebook allein datenschutzrechtlich verantwortlich ist oder ob auch der Betreiber der Fanpage mitverantwortlich wäre.

Die europäischen Richter entschieden, anders als die deutschen Gerichte, auf eine gemeinsame Verantwortlichkeit von Facebook und dem Seitenbetreiber der Fanpage. Denn erst durch das Erstellen der Fanpage durch den Betreiber würden die Datenverarbeitungen dort realisiert. Das Urteil erging zwar noch nach alter Rechtslage, ist jedoch direkt auf die DSGVO übertragbar.

An dem Status des (gemeinsamen) Verantwortlichen hängt eine Reihe von Pflichten und Auflagen für ein Unternehmen.
Insbesondere bedeutet das Urteil, das ein Unternehmen, welches eine Fanpage betreibt,  die umfassenden Informationspflichten der DSGVO zur Verarbeitung der Daten erfüllen muss, obwohl es auf die Datenverarbeitungen durch Facebook weder Einfluss noch genaue Erkenntnisse hat.
Auch können Nutzer grundsätzlich sowohl an Facebook als auch an das Unternehmen, welches die Fanpage betreibt herantreten um ihre Rechte wie etwa das Auskunftsrecht wahrzunehmen.

Aktuell ist weiterhin nicht abschließend geklärt, ob das Betreiben einer Fanpage zulässig ist, darüber muss das Bundesverwaltungsgericht, welches die europarechtlichen Fragen an den EUGH übergab nun anhand der Vorgaben entscheiden.
Von der Datenschutzkonferenz(DSK), der Konferenz der deutschen Datenschutzaufsichtsbehörden kam relativ schnell die Aussage, dass das Betreiben von Fanpages rechtwidrig wäre. Allerdings hat dies erstmal keine rechtliche Wirkung, sondern ist eben die Ansicht der Datenschutzaufsichtsbehörden, die sich bei gerichtlicher Klärung auch als falsch herausstellen könnte.

Auch Facebook reagierte, und stellt seit 11. September ein sogenanntes „Page Controller Addendum“ zur Verfügung. Hier akzeptiert Facebook die Hauptverantwortlichkeit, Unternehmen die Facebook Pages betreiben müssen jedoch die eigene Rechtsgrundlage für die Verarbeitung der Insight-Tracking Daten bestimmen, einen eigenen Verantwortlichen benennen und Nutzeranfragen oder Kontaktanfragen der Aufsichtsbehörde an Facebook weiterleiten.

Wichtig ist, insbesondere, eine Datenschutzerklärung in der Facebook-Fanpage einzubinden, in welcher auf das Page Controller Addendum hingewiesen wird. Hier muss eine Rechtsgrundlage angegeben werden, im Normalfall kommt hier ein berechtigtes Interesse in Betracht.

Aktuell ist nicht bekannt, dass Datenschutzbehörden wegen der Verwendung von Facebook Fanpages Bußgelder ausgesprochen haben, gleichwohl bleibt das Thema präsent. Insbesondere sobald das Urteil des Bundesverwaltungsgerichtes vorliegt kann dies erneut an Fahrt gewinnen.
Letztendlich muss jedes Unternehmen für sich entscheiden, ob der Marketingnutzen der Fanpage das potentielle Risiko eines Bußgeldes wett macht.

Fazit:

Das Betreiben einer Facebook-Fanpage ist aktuell nicht völlig ohne Risiko. Nach Ansicht der Datenschutzaufsichtsbehörden ist dies nicht datenschutzkonform möglich. Ob sich diese Ansicht durchsetzt wird sich erst noch herausstellen, in jedem Fall sollte jedes Unternehmen eine aktuelle Datenschutzerklärung in Ihre Fanpage einbinden.

 

  1. VGH München- Einsatz von Facebook Custum Audiences ist datenschutzwidrig.

Mit Facebook Custom Audiences lassen sich beispielsweise Kundenlisten bei Facebook hochladen. Die Daten werden dabei mit einem sogenannten Hash-Verfahren verschlüsselt, Facebook gleicht die ebenso verhashten Facebook-Nutzer ab und erlaubt somit eine gezielte Ansprache von bzw. Werbung an (ehemalige(n)) Kunden.
An diesen Verfahren störte sich die bayrische Datenschutzbehörde für den nicht öffentlichen Bereich, sie untersagte einem bayrischen Online-Shop die weitere Nutzung und forderte die Löschung der bestehenden Listen.
Der betroffene Online-Shop wehrte sich gerichtlich, verlor jedoch sowohl vor dem VG Bayreuth als auch in der nächsten Instanz, dem VGH München.

Die übergebenen Daten wären weder ausreichend pseudonymisiert noch anonymisiert, da Facebook ja in der Lage ist, diese seinen Nutzern zuzuordnen. Hier läge auch keine Auftragsdatenverarbeitung vor, da Facebook hier nicht nur ausführendes Organ ist, letztendlich entscheidet Facebook wem Werbung präsentiert wird. Daher müsste eine Rechtsgrundlage vorliegen, eine solche sei hier nicht einschlägig. Letztendlich könnte diese Weitergabe auch nur über eine informierte Einwilligung eingeholt werden.

Fazit:
Aktuell kann von einem Einsatz von Facebook Custom Audiences nur abgeraten werden.
Denn dafür wäre wohl eine vorherige Einwilligung des betroffenen Kunden notwendig, es ist jedoch nicht denkbar wie diese sinnvoll eingeholte werden würde, und welcher Kunde darin so einwilligen würde. Ein Einsatz ohne Einwilligung jedoch ist aktuell wohl nicht zulässig und angesichts der potentiellen Bußgelder ein riskantes Unternehmen.

 

  1. Amtsgericht Urteil zu DSGVO-Schadensersatz bei einmaliger unerlaubter E-Mailwerbung

Etwas beruhigen kann Newsletterversender das Urteil des AG Diez (Urt. v. 07.11.2018 -8 C 130/18). Dies hatte zu entscheiden, ob und in welcher Höhe ein Betroffener auf Basis der DSGVO Schadensersatz verlangen kann, wenn ihm eine unerlaubte Werbenachricht erreicht.
Der Kläger hatte vom Beklagten eine E-Mail erhalten, worin dieser in Hinblick auf die DSGVO eine Einwilligung zum Newsletterbezug erfragte. Da er aber wohl vorher keine Einwilligung eingeholt hatte, war diese E-Mail unzulässig, der Empfänger forderte daher einen Schadensersatz.
Der Beklagte zahlte zwar ohne Anerkenntnis außergerichtlich 50€, der Kläger forderte jedoch mindestens 500€ und zog dafür vors Gericht.

Grundsätzlich gewährt die DSGVO einer Person dessen Daten in irgendeiner Weise missbraucht wurden ein Schadensersatzanspruch.
Das Amtsgericht sah diesen jedoch hier kaum einschlägig, da dieser nicht für Bagatellverstöße ohne wirklichen Schaden gelten könne. Erforderlich wären ein spürbarer Nachteil und eine Beeinträchtigung von persönlichkeitsbezogenen Belangen. Durch eine einzige unerwünschte E-Mail würde kein nennenswerter Schaden entstehen. Da bereits vorgerichtlich 50€ geflossen waren, hielt das Gericht jedenfalls mit dieser Summe einen etwaigen Schaden für beglichen.

Zwar ist dies erst ein Urteil eines Amtsgerichts, dennoch ist es begrüßenswert, dass aus einer einmaligen unerwünschten E-Mail hier kein hohes Haftungsrisiko erwuchs.

 

  1. BGH – Kundenzufriedenheitsanfrage per E-Mail erfordert grundsätzlich Einwilligung

Im zugrundeliegenden Fall wehrte sich ein Kunde gegen eine Email eines Amazon Marketplace Händlers, bei dem er zuvor ein Produkt gekauft hatte.
Der Amazon-Händler schickte ihm seine Rechnung und forderte ihn in dieser E-Mail darüber hinaus auf, ihn positiv zu bewerten. Hiergegen wehrte sich der Kunde wegen unerlaubter Zusendung von Werbung.
Der BGH bei dem der Fall schlussendlich landete erklärte das Vorgehen des Amazon-Händlers für rechtswidrig. Ein Kundenzufriedenheitsanfrage sei als Direktwerbung einzustufen und darf somit nur mit vorheriger ausdrücklicher Einwilligung verschickt werden.

Insbesondere hilft es aus Sicht der Richter nichts, die Kundenanfrage mit einer zulässigen Information wie den Rechnungsversand zu verbinden. Auch wenn die Zusendung einer Rechnung ohne Einwilligung zulässig ist, darf diese nicht zur Werbung missbraucht werden.

Dieses Urteil ging zwar noch nach altem Datenschutzrecht, ist jedoch problemlos übertragbar.

Fazit:
Kundenzufriedenheitsanfragen sind nach Ansicht des BGH klar Werbung und dürfen nur mit vorheriger Einwilligung verschickt werden. Auch ein Verknüpfen mit sachlich zulässigem E-Mailkontakt wie dem Zusenden einer Rechnung ändert hieran nichts.
Selbst ein bloßer Link im E-Mail-Footer welcher zur Bewertung auffordert sollte unterblieben, sofern keine Einwilligung vorliegt. Was Sie bei der Einwilligung zu beachten haben, erfahren Sie hier.

 

  1. Brexit: Großbritannien möglicherweise bald Drittland

    Es sind nur noch wenige Wochen, nach wie vor ist jedoch völlig unklar ob es zum 29.03.2019 noch zu einem geregelten Abkommen zwischen der EU und Großbritannien kommt, zu einem ungeregelten Bruch oder zu einer Verschiebung der Frist.
    Sollte die Frist jedoch nicht verlängert werden, und es kein eigenes Datenschutzabkommen geben, und ein solches war zumindest bisher nie Thema der öffentlichen gewordenen Diskussion, so würde Großbritannien ab Ende März zum Datenschutzrechtlichen Drittland.

Dies betrifft alle Unternehmen, die Daten nach Großbritannien übertragen, etwa weil diese einen britischen Dienstleister einsetzen(z.B. Einsatz von Paymentdienstleister Skrill).

Für Datenübertragungen in Drittländer außerhalb der EU gelten nach der DSGVO besondere Regeln
Eine Datenübertragung wäre unproblematisch, so die EU-Kommission einem Land ein angemessenes Schutzniveau bescheinigen. Solche Garantien gibt es bereits für Länder wie die Schweiz, Norwegen, Kanada oder die USA(Privacy-Shield), ob Großbritannien jedoch eine solche (rechtzeitig) erhalten würde, ist mehr als fraglich.

Ansonsten bedarf es in den meisten Fällen eigenen Abkommen zwischen dem verantwortlichen Unternehmen und dem Auftragsverarbeiter, welche sicherstellen dass die Daten ausreichend geschützt sind. Am häufigsten kommen hier sogenannte Standardvertragsklauseln der EU-Kommission zum Einsatz.
So Daten auf Basis einer Einwilligung ans Drittland übertragen werden sollen, muss der Betroffene bei Einwilligungserteilung ausdrücklich informiert werden dass die Weitergabe ohne Angemessenheitsbeschluss oder andere Garantie erfolgt und er über die möglichen Risiken aufgeklärt werden.
Unproblematisch ist allerdings die Datenübermittlung, so diese zur Erfüllung oder Abschluss eines Vertrages erforderlich ist. Dies ist etwa der Fall bei einer Bestellung in ein Nicht-EU-Land wo durch den Versand eine Datenverarbeitung durch den nicht-europäischen Versanddienstleister erfolgt.

Fazit:

Angesichts der zerfahrenen Verhandlungen und den großen innenpolitischen Zerwürfnissen innerhalb Großbritanniens ist die Gefahr eines Austretens ohne Abkommen wahrlich nicht klein.
Unternehmen sollten daher schon jetzt prüfen, ob diese britische Dienstleister einsetzen oder andersweitig Daten nach Großbritannien übertragen.
Ist dies der Fall, sollten Vorkehrungen getroffen werden, etwa ein Abschluss eines neuen Auftragsverarbeitungsvertrag mit dem Dienstleister auf Basis der Standardvertragsklauseln der EU-Kommission.