Webversion | abmelden
‌
de lege data Newsletter 2/2024
‌
‌

Liebe Abonnentinnen und Abonnenten,

heute erhalten Sie den de lege data Newsletter 2/2024. Ich wünsche Ihnen eine gute Woche!

 ‌
‌
‌
 ‌
‌

Aktuelle Beiträge im Blog

 ‌
‌

Durchführung des Digital Services Act (DSA): Bundesratsausschüsse gegen Zuständigkeitskonzentration beim BfDI für Verbote zur Online-Werbung


Zum Beitrag

Widerspruch gegen die Datenverarbeitung: wann liegen „Gründe, die sich aus ihrer besonderen Situation ergeben“ vor?


Zum Beitrag
‌
‌
‌
 ‌
‌

Praxisthemen

 ‌
‌

OLG Köln zur Gestaltung eines Cookie-Banners (CMP) - gleichwertige Ablehnungsmöglichkeit auf erster Ebene zwingend?

Das Oberlandesgericht Köln hatte sich mit der Ausgestaltung eines Cookie-Banners (CMP) befasst (Urt. v. 19.01.2024 – 6 U 80/23). Ein Verbraucherschutzverband hatte gegen einen Webseitenbetreiber geklagt, da nach Auffassung des Klägers die aufgrund des CMP von Besuchern der Internetseite abgegebenen Einwilligungserklärungen in die Speicherung von Cookies nicht den gesetzlichen Anforderungen genügten.

Das CMP war derart ausgestaltet, dass auf erster Ebene keine Ablehnungsmöglichkeit für einwilligungspflichtige Cookies möglich war. Auf dieser ersten Ebene gab es rechts oben einen Schriftzug „Akzeptieren & Schließen“ und daran rechts anschließend ein „X“-Symbol. Zudem einen Button mit „Akzeptieren“. Die Besonderheit des Falles war also hier, dass über den Button „Akzeptieren & Schließen X“ gerade nicht erforderliche Cookies akzeptiert wurden. Auf die zweite Ebene gelangte man über einen Button „Einstellungen“. Dort gab es wohl auch noch keine ausdrückliche Ablehnungsmöglichkeit für nicht erforderliche Cookies. Hier hatten Betroffene dann die Auswahl zwischen dem Button „Alles akzeptieren“ und dem Button „Speichern“, konnten über die Einstellungen also quasi nicht erforderliche Cookies „abwählen“.

Das OLG sah in der konkreten (mittlerweile geänderten) Gestaltung des CMP einen Verstoß gegen § 25 Abs. 1 TTDSG und Art. 4 Nr. 11 DSGVO.

„Durch eine Gestaltung der Cookie-Banner wie in der vom Kläger in Bezug genommenen konkreten Verletzungsform wird dem Verbraucher weder auf der ersten noch auf der zweiten Ebene eine gleichwertige, mithin auf klaren und umfassenden Informationen beruhende, Ablehnungsoption angeboten, weshalb er – wie vom Landgericht zutreffend ausgeführt – zur Abgabe der Einwilligung hingelenkt und von der Ablehnung der Cookies abgehalten wird“.

Meines Erachtens eine verständliche Entscheidung. Wichtig ist aus meiner Sicht zu sehen, dass das OLG natürlich nur den konkreten Sachverhalt (keine ausreichend deutliche Ablehnungsmöglichkeit auf erster und zweiter Ebene des CMP) betrachtet.

In den sozialen Netzwerken wurde nach Bekanntwerden des Urteils diskutiert, ob das OLG denn in seiner Entscheidung eine Pflicht für eine Ablehnungsmöglichkeit auf erster Ebene erkennt. Dies also von Webseitenbetreibern zwingend umzusetzen wäre. Meiner Ansicht nach, kann man die Entscheidung so lesen – jedoch ist andererseits auch festzuhalten, dass das OLG eben gerade nicht allein auf eine fehlende Ablehnungsmöglichkeit auf erster Ebene des CMP abstellt. Die Begründung des OLG ist ja nicht: „Durch eine Gestaltung der Cookie-Banner wie in der vom Kläger in Bezug genommenen konkreten Verletzungsform wird dem Verbraucher auf der ersten Ebene eine gleichwertige,…“, sondern das OLG bezieht auch die zweite Ebene mit ein. Ausdrücklich benennt das OLG also nicht die Pflicht, zwingend auf erster Ebene des CMP eine Ablehnungsmöglichkeit vorzusehen, damit Einwilligungen wirksam sind.

Hier spielten meiner Ansicht nach die komplett fehlende Ablehnungsmöglichkeit auf erster Ebene und die unklar präsentierte Einstellungs- und Ablehnungsmöglichkeit auf zweiter Ebene im CMP zusammen. Wie gesagt, halte ich die Ansicht des OLG hier für nachvollziehbar. Es ist aber eben auch eine Entscheidung bezogen auf einen konkreten Sachverhalt.

Urteil des OLG: https://www.verbraucherzentrale.nrw/sites/default/files/2024-01/olg-koln-vom-19.01.2024_6-u-80_23_geschwarzt.pdf

‌
‌
‌
 ‌
‌

Wer überprüft die Gültigkeit des Vertrags i.R.d. Art. 6 Abs. 1 lit. b DGVO? Estnische Datenschutzbehörde: „Ich nicht.“

Gemäß Art. 6 Abs. 1 lit. b DSGVO ist die Verarbeitung rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.

Nach dem Wortlaut der Vorschrift ist also ein Vertrag erforderlich. Der EuGH hat in seinem Urteil in der Rechtssache C- 252/21 festgestellt, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen für die ordnungsgemäße Erfüllung des zwischen ihm und der betroffenen Person geschlossenen Vertrags wesentlich sein muss (Rn. 99). Es muss also ein Vertrag existieren.

Ob ein Vertrag aber tatsächlich zustande gekommen ist, ist jedoch keine Frage der DSGVO. Vielmehr ergibt sich dies in der Regel aus dem nationalen Vertragsrecht - ggfs. basierend auf europäischen Vorgaben. Art. 6 Abs. 1 lit. b DSGVO bezieht sich auch nicht nur auf eine bestimmte Art von Vertrag, sondern spricht von einem "Vertrag" im Allgemeinen.

Unklare Position des EDSA

Ob die Datenschutzbehörden davon ausgehen, dass sie im Rahmen ihrer Tätigkeit das (nationale) Vertragsrecht selbst anwenden und überprüfen dürfen, ist leider nicht ganz klar, zumindest nach den Leitlinien 2/2019.

In Rn. 9 dieser Leitlinien stellt der EDSA klar, dass "diese Leitlinien sich nicht zur Gültigkeit von Verträgen für Online-Dienste im Allgemeinen äußern, da dies außerhalb der Zuständigkeit des EDSA liegt". Gleichzeitig stellt der EDSA jedoch fest, dass "Verträge und Vertragsbedingungen den Anforderungen des Vertragsrechts genügen müssen".

Gemäß Rn. 13 der Leitlinien "müssen Verträge über Online-Dienste nach dem anwendbaren Vertragsrecht rechtsgültig sein".

Die Behörden verlangen also in jedem Fall einen gültigen Vertrag. Wenn sie die Gültigkeit jedoch nicht selbst beurteilen können, stellt sich die Frage, wie sie die Einhaltung von Art. 6 (1) b DSGVO überprüfen wollen.

Ansicht der estnischen Datenschutzbehörde

In einer Entscheidung vom 11. Oktober 2023 erklärte die estnische Datenschutzaufsichtsbehörde, dass sie:

"nicht befugt ist, zu beurteilen, ob die Verträge rechtsgültig sind, worin die Forderungen bestehen, ob die Schulden tatsächlich beglichen wurden, ob die Regeln für die Abtretung der Forderung eingehalten wurden oder nicht, da es sich hierbei um Streitigkeiten handelt, die sich aus vertraglichen Beziehungen ergeben."

Bei ihrer Überprüfung scheint die estnische Datenschutzbehörde davon auszugehen, dass die Verträge gültig sind, ohne dies selbst überprüfen zu können. Die Behörde scheint also eine Annahme der Gültigkeit zu treffen, wenn keine gegensätzlichen Hinweise vorliegen.

Entscheidung des estnischen Behörde: https://edpb.europa.eu/system/files/2024-01/ee_2023-10_decisionpublic.pdf

 ‌
‌
‌
 ‌
‌

Ist das Recht auf Auskunft zeitlich begrenzt? LG Bonn sagt „nein“

Der Kläger forderte von einer Rechtsanwaltskanzlei Auskunft gem. Art. 15 Abs. 1 und 3 DSGVO. Er war Mandant eines Rechtsanwalts, der bis 2018 für die Kanzlei tätig war.

Nach Ansicht des Landgerichts Bonn (Urt. v. 19.12.2023 - 5 S 34/23) hatte der Kläger im Rahmen des Auskunftsrechts gem. Art. 15 Abs. 1 und 3 DSGVO Anspruch auf eine kostenlose Kopie der Akten und anderer personenbezogener Daten, die im Zusammenhang mit seiner Person bei der Kanzlei gespeichert sind. Also etwa der Handakte.

Der Beklagte berief sich auf die Verjährung des Auskunftsanspruchs. Das Gericht stimmte dieser Auffassung aber nicht zu:

"Die eingewandte Verjährung der Beklagten greift im Rahmen des Art. 15 Abs. 1, Abs. 3 DSGVO nicht ein."

Meines Erachtens ist diese Entscheidung nachvollziehbar, auch wenn das Gericht seine Auffassung leider nicht begründet.

Die DSGVO selbst sieht keine Verjährungsfrist für Ansprüche nach Art. 15 DSGVO vor. Gleichzeitig ist es wichtig, sich den Zweck dieses Rechts vor Augen zu halten: Betroffene Personen sollten nicht nur während der aktiven Verarbeitung ihrer Daten ein Auskunftsrecht haben. Gleichzeitig enthält Art. 15 Abs. 1 DSGVO auch ein Recht auf Negativauskunft (wenn keine Daten vorhanden sind) (siehe Art. 15 Abs. 1 DSGVO: "...das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht").

Es wäre möglich, dieses Auskunftsrecht (insbesondere für die Negativauskunft) über die Einrede der Verjährung auszuschließen. Rein praktisch würde sich aber die Frage stellen, an welchen Zeitpunkt die Verjährung anknüpfen soll. Denn ein Betroffener hat oft gar keine Kenntnis, dass ein Verantwortlicher Daten von ihm verarbeitet. Gerade dies sollte aber nicht zu einem Ausschluss des Rechts führen.

Urteil des LG: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG%20Bonn&Datum=19.12.2023&Aktenzeichen=5%20S%2034%2F23

‌
‌
‌
 ‌
‌

Müssen die Backup-Daten i.R.d. Auskunft nach Art. 15 DSGVO bereitgestellt werden? Irische Datenschutzbehörde: „nein.“

In ihren FAQ befasst sich die irische Datenschutzbehörde (DPC) mit einer Frage, die in der Praxis immer wieder auftaucht: Müssen im Rahmen eines Auskunftsersuchens nach Art. 15 DSGVO auch personenbezogene Daten bereitgestellt werden, die in Backups vorhanden sind?

Die Antwort der Behörde ist sehr eindeutig:

"Da es sich bei Back-up-Daten um Kopien von "lebenden" Daten handelt, gelten sie nicht als Gegenstand eines Auskunftsersuchens nach Artikel 15 DSGVO."

Die Ansicht der DPC kann sicherlich aus verschiedenen Blickwinkeln diskutiert werden. Immerhin enthalten Backups oft personenbezogene Daten. Daher ist Art. 15 DSGVO eigentlich anwendbar - doch die Behörde scheint dies abzulehnen.

Geht man von der Anwendbarkeit des Art. 15 DSGVO aus, könnte man in diesem Zusammenhang an eine Ausnahme nach Art. 15 Abs. 4 DSGVO denken, nämlich ob das Suchen und die Bereitstellung der Daten die Rechte des Verantwortlichen "beeinträchtigt". Gemäß Art. 32 Abs. 1 lit. c DSGVO ist der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, einschließlich der Möglichkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten wiederherzustellen - also Backups vorzuhalten. Ist also der Eingriff in die bestehende Datensicherung und beispielsweise eine notwendige Suche in aus Sicherheitsgründen gespeicherten Datensätzen eine Aktivität, die die Rechte des Verantwortlichen "beeinträchtigt"?

Eine andere Option wäre ein Verweis auf nationale Regelung (basierend auf Art. 23 DSGVO), die Art. 15 DSGVO in Bezug auf Daten in Backups einschränkt.

So gilt beispielsweise nach § 34 Abs. 1 Nr. 2 BDSG das Auskunftsrecht der betroffenen Person dann nicht, wenn die Daten

  1. nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder
  2. ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen,

und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.
Gerade die zweite Alternative der Datensicherung kann hier in Betracht kommen.

Wichtig ist jedoch der Nachweis, dass die Daten alein für diesen Zweck gespeichert sind. Und der Verantwortliche muss stets einen unverhältnismäßigen Aufwand darlegen können.

Zu den FAQ der DPC: https://www.dataprotection.ie/en/faqs/access-and-rectification/should-back-data-be-considered-part-access-request 

 ‌
‌
‌
 ‌
‌

Veranstaltungshinweise: Piltz Legal update in 2024

 ‌
‌

Für 2024 sind schon jetzt einige Piltz Legal update Seminare & Veranstaltungen geplant, zu denen wir Sie herzlich einladen:

Neueste Entwicklungen im Beschäftigtendatenschutz
Datum: 21. Februar 2024
Ort: Berlin
Gemeinsam mit Dr. Stefan Brink, Geschäftsführender Direktor Institut wida und von 2017 bis 2022 Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, möchten wir mit Ihnen aktuelle Entwicklungen im Bereich des Beschäftigtendatenschutzes diskutieren. Herr Dr. Brink wird einen Vortrag unter dem Titel „ 15+82+83 - wie Betroffenenrechte den Arbeitgeber mattsetzen“ halten.

Anmeldung: https://www.piltz.legal/events/neuesteentwicklungenimbeschaeftigtendatenschutz 

DSGVO-Bußgelder und Schadenersatzansprüche von Betroffenen
Datum: 25. April 2024
Ort: Frankfurt am Main
Zusammen mit Maria Christina Rost (HBDI) möchten wir gemeinsam mit Ihnen zwei wichtige Themenfelder der DSGVO-Compliance beleuchten: einerseits wichtige Aspekte bei Bußgeldverfahren wegen Verstößen gegen die DSGVO (Was ist hier aus Sicht von datenverarbeitenden Stellen zu beachten? Was sind Aspekte, die von Aufsichtsbehörden positiv und negativ bewertet werden?); andererseits soll es um das Risiko von Schadenersatzklagen nach Art. 82 DSGVO gehen und wie man sich gegen diese verteidigen kann.

Anmeldung: https://www.piltz.legal/events/dsgvo-bussgelder-und-schadenersatzansprueche-von-betroffenen

‌
‌
‌
 ‌
‌
Sie erhalten diese E-Mail, weil Sie sich mit der Adresse für den Newsletter angemeldet haben. Wenn Sie keine weiteren E-Mails erhalten möchten, können Sie sich hier austragen abmelden.
‌