PDF Datenschutz

Datenschutz 3 Datenschutzgesetz, Digitale Dienste Gesetz und E-Commerce-Gesetz 3.1 Geltungsbereich Datenschutzgesetz Das Bundesdatenschutzgesetz (BDSG) wurde 2001 erstmals erlassen und re- gelt den Datenschutz in Deutschland. Es hat das Grundrecht auf Schutz per- sonenbezogener Daten im Verfassungsrang verankert. Seitdem gab es meh- rere Novellen, die das Gesetz an neue europäische und nationale Entwick- lungen angepasst haben. Die letzte größere Novelle erfolgte im Jahr 2018, um die Anforderungen der Datenschutz-Grundverordnung (DSGVO) umzu- setzen. Zusammen mit der DSGVO regelt das BDSG den Schutz personenbezogener Daten in Deutschland. Es ist auch dann anzuwenden, wenn die Datenverar- beitung im Zusammenhang mit einer deutschen Niederlassung eines Unter- nehmens erfolgt, selbst wenn die Verarbeitung in einem anderen Mitglied- staat der Europäischen Union stattfindet. Für Niederlassungen außerhalb der EU gilt das Marktortprinzip: Die DSGVO gilt auch für alle Datenverarbei- tungen, die Personen in der EU betreffen, unabhängig davon, wo das Unter- nehmen seinen Sitz hat. So gilt die DSGVO beispielsweise auch für ein Unter- nehmen in den USA, das seine Produkte über das Internet in Deutschland anbietet. Das BDSG stellt klar, dass die Bestimmungen der DSGVO und des BDSG nur für die Verarbeitung von Daten natürlicher Personen gelten. Das bedeutet, dass juristische Personen wie Unternehmen von den Regelungen des Daten- schutzes grundsätzlich ausgenommen sind, es sei denn, die Daten betreffen natürliche Personen, die für das Unternehmen tätig sind. Das BDSG enthält auch spezifische Regelungen zur Berichtigung, Löschung und Einschränkung von Auskunftsansprüchen. Darüber hinaus gibt es be- sondere Bestimmungen zur Zulässigkeit der Verarbeitung personenbezoge- ner Daten im Zusammenhang mit strafrechtlichen oder verwaltungsbe- hördlichen Maßnahmen. Das BDSG regelt auch mehrere spezifische Datenverarbeitungen zu beson- deren Zwecken, wie etwa für wissenschaftliche, historische oder statisti- sche Forschungszwecke. Diese Regelungen zielen darauf ab, einen rechtli- chen Rahmen für die Verarbeitung von Daten unter bestimmten Umständen zu schaffen, ohne die Grundrechte der betroffenen Personen unangemessen zu beeinträchtigen. 36 Datenschutz 3.2 Datenverarbeitung zu spezifischen Zwecken 3.2.1 Fotos und Videoaufnahmen Fotos und Videoaufnahmen dürfen laut den geltenden Bestimmungen unter folgenden Bedingungen gemacht werden: wenn sie im lebenswichtigen Interesse einer Person erforderlich sind, wie es zum Beispiel im medizinischen Bereich relevant ist; wenn die betreffende Person eingewilligt hat; wenn eine gesetzliche Pflicht oder Ermächtigung besteht; bei einem überwiegend berechtigten Interesse des Verantwortlichen oder eines Dritten, sofern die Verhältnismäßigkeit bewahrt wird. Die Verhältnismäßigkeit ist zum Beispiel bei der Überwachung eines Einfa- milienhauses und des dazugehörigen eigenen Grundstücks zum Schutz von Personen oder Sachen gewährleistet. Das gilt aber auch für die Überwa- chung eines öffentlich zugänglichen Ortes, der dem Hausrecht eines Verant- wortlichen unterliegt. Bei sämtlichen Bildaufnahmen ist darüber hinaus zu beachten, dass die sons- tigen Bestimmungen der DSGVO, wie beispielsweise die Pflicht zu einer Da- tenschutzmitteilung, zu beachten sind. Laut dem BDSG (Bundesdatenschutzgesetz) und der DSGVO sind Bildaufnah- men in folgenden Fällen ausdrücklich nicht gestattet: Bildaufnahmen im höchstpersönlichen Lebensbereich ohne aus- drückliche Einwilligung der betroffenen Person: Das gilt insbeson- dere im Rahmen von Arbeitsverhältnissen, weil die Betroffenen keine wirksame Einwilligung erteilen können. Bildaufnahmen zum Zweck der Kontrolle von Arbeitnehmern: Die- ses Verbot betrifft aber nur die unmittelbare Überwachung von Ar- beitsplätzen in der Form, dass das Verhalten der Mitarbeiterinnen durchgängig aufgezeichnet wird. Der Einsatz von Überwachungska- meras im Eingangsbereich oder in Aufzügen ist davon nicht betrof- fen. Digitaler Abgleich mehrerer Bildaufnahmen: Aufzeichnungen aus ei- ner Videoüberwachung dürfen nicht automatisiert mit anderen Bild- aufzeichnungen abgeglichen werden. In der betrieblichen Praxis spielt das aber eine eher untergeordnete Rolle. Auswertung von Bildaufnahmen im Hinblick auf sensible Daten: Aus dieser Bestimmung lässt sich ein Verbot der Gesichtserkennung 37 Datenschutz ableiten, weil damit biometrische Daten zur eindeutigen Identifizie- rung einer natürlichen Person verwendet würden. Anlasslose Bildaufnahmen: Eine anlasslose Anfertigung von Bildauf- nahmen zum Zweck ihrer potenziellen Verwendung in Rechtsstreitig- keiten ist wegen der Verletzung des Zweckbindungsgrundsatzes un- zulässig. Von der Regelung sind auch allenfalls mit der Videoüberwachung verbun- dene Tonaufnahmen erfasst. Das BDSG und die DSGVO sehen auch vor, dass Foto- und Videoaufnahmen üblicherweise nur 72 Stunden aufbewahrt werden dürfen. Eine längere Spei- cherung ist nur dann zulässig, wenn sie für den Verarbeitungszweck erfor- derlich ist, verhältnismäßig erfolgt und gesondert protokolliert und begrün- det wird.38 Eine längere Speicherung ist außerdem dann möglich, wenn in- nerhalb der regulären Speicherfrist festgestellt wird, dass die Bildaufnahme eine strafbare Handlung dokumentiert. Es gilt zu beachten, dass Aufzeichnungen einer Videoüberwachung zum Schutz von personenbezogenen Daten nur dann ausgewertet werden dür- fen, wenn der begründete Verdacht besteht, dass es zu einem Angriff auf Personen oder Sachen gekommen ist. Zudem darf eine Auswertung nur dann erfolgen, wenn der für die Auswertung ausschlaggebende Anlassfall vom Zweck der Videoüberwachung erfasst ist. Dabei muss der Verantwort- liche stets dafür sorgen, dass der Zugang zu Bildaufnahmen und ihre nach- trägliche Veränderung durch Unbefugte ausgeschlossen ist. Wenn im betrieblichen Kontext eine Videoüberwachung erfolgt, ist eine ent- sprechende Betriebsvereinbarung oder alternativ eine Einwilligung durch die Arbeitnehmer erforderlich. Eine allfällige Bildaufnahme muss auch immer entsprechend gekennzeich- net werden und es muss der Verantwortliche eindeutig erkenntlich sein. Wenn keine ausreichenden Informationen zur Verfügung gestellt werden, kann jeder von einer Verarbeitung potenziell Betroffene vom Eigentümer oder Nutzungsberechtigten einer Liegenschaft oder eines Gebäudes eine entsprechende Auskunft über die Identität des Verantwortlichen einfordern. Nicht nur bei der Aufnahme, sondern auch bei der Veröffentlichung von Fo- tos oder Videos in Druckwerken, auf Werbeplakaten, auf Websites oder in sozialen Medien müssen die Regeln der DSGVO beachtet werden. Es muss jedenfalls eine entsprechende Rechtsgrundlage, wie zum Beispiel eine 38 Vgl. § 13, Abs. 3 Datenschutzgesetz - DSG. 38 Datenschutz Einwilligung, eine Vertragserfüllung oder das Überwiegen berechtigter Inte- ressen, vorliegen. Begleitet werden die Bestimmungen vom Recht am eigenen Bild laut dem Urheberrechtsgesetz. Dieses besagt, dass Bildnisse von Personen nur dann öffentlich ausgestellt oder der Öffentlichkeit zugänglich gemacht werden dürfen, wenn dadurch keine berechtigten Interessen des Abgebildeten ver- letzt werden. Das ist beispielsweise bei der Veröffentlichung von Veranstal- tungsfotos auf einer Website der Fall, wenn vorher eine entsprechende Ein- willigung eingeholt wurde. Unzulässig sind demnach zum Beispiel Bilder, die ohne Zustimmung in einem werblichen Kontext veröffentlicht werden oder Bilder die das Privat-, Fami- lien- oder Sexualleben einer Person zeigen. Abseits der Themen Datenschutz und Recht am eigenen Bild müssen unbe- dingt auch die sonstigen urheberrechtlichen Vorschriften, wie das Nutzungs- recht des Fotografen und sein Recht auf Namensnennung, gewahrt werden. Für Datenverarbeitungen durch Medieninhaber, Herausgeber, Medienmit- arbeiter oder Mediendienste gelten das Datenschutzgesetz und weite Teile der DSGVO dann nicht, wenn sie sich im Rahmen ihrer journalistischen Tä- tigkeit bewegen. Deshalb sind die Regeln zur Aufnahme und weiteren Ver- arbeitung von Fotos und Videos nicht auf Journalisten anwendbar. Beson- ders grobe Datenschutzverstöße sind jedoch auch in der journalistischen Ar- beit verboten und es gilt auch das Recht am eigenen Bild.39 Wenn eine Bildverarbeitung entgegen den genannten Bestimmungen er- folgt, ist mit einer Geldstrafe von bis zu 50.000 Euro zu rechnen. Fotos und Videoaufnahmen sind nur dann gestattet, wenn die betroffene Person einer entsprechenden Verarbeitung vorher zugestimmt hat oder eine andere Rechtsgrundlage besteht. Eine Aufbewahrung von Fotos und Vi- Merksatz deoaufnahmen ist üblicherweise nur bis zu 72 Stunden möglich. 3.2.2 Wissenschaftliche Forschungszwecke Die DSGVO sieht eine privilegierte Stellung von wissenschaftlicher und his- torischer Forschung, Statistik und Archiven im öffentlichen Interesse bei der der Verarbeitung personenbezogener Daten vor. Es wurden daher im Rah- men des Datenschutzgesetzes Erleichterungen für die Zulassung derartiger Datenverarbeitungen geschaffen. 39 Vgl. Schoeller, Stefan und Daniel Heitzmann, Sebastian Pilz (2019), S. 42. 39 Datenschutz Falls die Verarbeitung dabei keine personenbezogenen Ergebnisse zum Ziel hat, dürfen zusätzlich zu öffentlich zugänglichen Daten auch jene verwendet werden, die für andere Untersuchungen oder andere Zwecke ermittelt wur- den oder die Identität der betroffenen Personen mit rechtlich zulässigen Mitteln nicht bestimmt werden kann. Wissenschaftliche Untersuchungen mit personenbezogenen Ergebnissen dürfen nur gemäß besonderen gesetzlichen Vorschriften, mit Zustimmung der betroffenen Person oder mit einer Genehmigung durch die Aufsichtsbe- hörde, verarbeitet werden. Die Datenschutzbehörde kann eine Genehmigung unter anderem bei einem öffentlichen Interesse an der Durchführung eines Forschungsvorhabens er- teilen. Das kann beispielsweise im Falle von Förderungen durch Stellen des Bundes, eines Landes oder einer Gemeinde erfolgen. Auch im Zusammen- hang mit der wissenschaftlichen Untersuchung der NS-Zeit oder bei For- schungsprojekten zur Verkehrssicherheit kann von einem wichtigen öffent- lichen Interesse ausgegangen werden. In jenen Fällen, in denen die Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung oder Statistik in personenbezoge- ner Form zulässig ist, ist der direkte Personenbezug unverzüglich zu ver- schlüsseln. 3.3 Aufgaben und Befugnisse der Datenschutzbe- hörde Die für die Vollziehung der DSGVO in Deutschland zuständige Aufsichtsbe- hörde ist die Bundesbeauftragte für den Datenschutz und die Informations- freiheit (BfDI). Sie wurde bereits 1978 gegründet und arbeitet weisungsfrei. Ihre Aufgaben liegen in der Überwachung der Einhaltung des Datenschutz- rechts und der DSGVO in Deutschland. Sie entscheidet außerdem über Be- schwerden von Betroffenen, die wegen Verletzungen des Rechts auf Aus- kunft, Geheimhaltung, Löschung und Richtigstellung vorgebracht werden. Zusätzlich kann sie von Branchenverbänden erstellte Verhaltenskodizes im Rahmen der DSGVO genehmigen. Die BfDI übt auf deren Ersuchen eine Beratungsfunktion für die Bundestags- ausschüsse, die Bundesregierung und die Landesregierungen bezüglich le- gislativer und administrativer Maßnahmen aus. Die Datenschutzbehörde ist befugt, im Anlassfall vom Verantwortlichen oder dem Auftragsverarbeiter alle notwendigen Aufklärungen zu verlangen und Einsicht in Datenverarbeitungen sowie in diesbezügliche Unterlagen zu 40 Datenschutz erhalten. Dazu ist sie nach einer vorherigen Ankündigung berechtigt, Räum- lichkeiten zu betreten, in denen Datenverarbeitungen durchgeführt werden, und Datenverarbeitungsanlagen in Betrieb zu nehmen. Liegt durch den Betrieb einer Datenverarbeitung eine wesentliche, unmit- telbare Gefährdung der schutzwürdigen Geheimhaltungsinteressen der be- troffenen Person vor und besteht Gefahr in Verzug, kann die BfDI die Wei- terführung der Datenverarbeitung mit Bescheid untersagen. Die BfDI ist auch befugt, einen Verantwortlichen oder einen Auftragsverar- beiter zu verwarnen, wenn Verarbeitungsvorgänge voraussichtlich gegen die erlassenen Vorschriften verstoßen. Weiterhin kann sie den Verantwortli- chen oder Auftragsverarbeiter anweisen, Verarbeitungsvorgänge zu berich- tigen, personenbezogene Daten zu löschen oder die Datenverarbeitung ent- sprechend einzuschränken. Nicht zuletzt kann die Datenschutzbehörde die Verarbeitung vorübergehend oder endgültig einschränken oder auch verbie- ten. Sie ist außerdem für die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen verantwortlich. Die Datenschutzbehörde ist verpflichtet, jährlich einen Tätigkeitsbericht zu erstellen. Entscheidungen der Datenschutzbehörde, die von grundlegender Bedeutung für die Allgemeinheit sind, müssen in geeigneter Weise veröf- fentlicht werden. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist die in Deutschland mit der Vollziehung der DSGVO betraute Be- hörde. Sie ist weisungsfrei und für die Verhängung von Geldbußen zustän- Merksatz dig. 3.4 Rechtsmittel Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutz- behörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffen- den personenbezogenen Daten gegen die DSGVO oder das Datenschutzge- setz verstößt. Die Beschwerde muss unter anderem die Bezeichnung des als verletzt erach- teten Rechts, die Bezeichnung des Beschwerdegegners und eine Darstellung des Sachverhalts, inklusive einer entsprechenden Begründung der Be- schwerde, enthalten. Die Beschwerde muss innerhalb eines Jahres einge- bracht werden, nachdem die betroffene Person Kenntnis über das als ver- letzt erachtete Recht erlangt hat. Der Anspruch auf Behandlung einer Be- schwerde kann maximal auf drei Jahre ausgedehnt werden. 41 Datenschutz Der Beschwerdeführer muss von der Datenschutzbehörde innerhalb von drei Monaten ab der Einbringung der Beschwerde über den Stand und das Ergebnis der Ermittlungen informiert werden. Ansonsten ist er berechtigt, das Bundesverwaltungsgericht damit zu befassen. Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder eine Vereinigung ohne Gewinnerzielungsabsicht zu beauftragen, in ihrem Namen eine Beschwerde einzureichen sowie deren Rechte wahrzunehmen. 3.5 Datenschutzregeln in der Kommunikation Die Regelungen für den Datenschutz im Zusammenhang mit Kommunikati- onsmedien und E-Commerce werden im Telekommunikationsgesetz (TKG 2021) und im E-Commerce-Gesetz (ECG) geregelt. Bei entsprechenden Ver- stößen ist hier mit hohen Strafen zu rechnen. Das Telekommunikationsgesetz soll den fairen Wettbewerb und die Qualität der elektronischen Kommunikation fördern. Davon betroffen sind zum Bei- spiel elektronische Post, wie E-Mails oder SMS, Telefonanrufe und Faxaussendungen. 3.5.1 Cold Calling Laut dem Telekommunikationsgesetz bedürfen Anrufe, Faxbenachrichtigun- gen und elektronische Benachrichtigungen zu Zwecken der Direktwerbung per E-Mail oder SMS einer vorherigen Einwilligung des Empfängers.40 Diese Einwilligung kann jederzeit widerrufen werden. Dabei ist zu beachten, dass bereits das Einholen der Einwilligung für nachfolgende Kontakte unzulässig ist. Bei Telefonanrufen zu Werbezwecken ist zu beachten, dass die Rufnum- mernanzeige nicht unterdrückt werden darf. Marktforschungsunternehmen ist es gestattet, Cold Calling-Anrufe durchzuführen, wenn die Datenerhe- bung anonym erfolgt. Ein unerbetener Anruf zu Werbezwecken wird als Verwaltungsübertretung eingestuft und wird mit Geldstrafen in Höhe von bis zu 100.000 Euro geahn- det. Das Unterdrücken oder Verfälschen der Rufnummernanzeige wird mit bis zu 50.000 Euro bestraft. Zuständig ist dafür das jeweils regionale Fern- meldebüro. Wiederholte unerbetene Werbung wird außerdem als Verstoß gegen das Bundesgesetz gewertet und gilt als Verstoß gegen das Bundesgesetz gegen 40 Vgl. § 174 Telekommunikationsgesetz 2021. 42 Datenschutz unlauteren Wettbewerb (UWG). Entsprechend ist hier mit einer Unterlas- sungsklage oder einer Schadenersatzklage zu rechnen. 3.5.2 Spamming Auch für E-Mails gilt im Zusammenhang mit Direktwerbung die Pflicht zur Einholung einer vorherigen Einwilligung. Für elektronische Post oder E-Mails gilt jedoch eine Sonderbestimmung, wonach eine vorherige Einwilligung ausnahmsweise nicht erforderlich ist. Dabei müssen folgende fünf Voraussetzungen vorliegen: 1. Der Absender hat die Kontaktinformation, wie beispielsweise eine E-Mail-Adresse, für die Nachricht im Zusammenhang mit dem Ver- kauf oder einer Dienstleistung an seine Kundinnen erhalten und 2. die Nachricht erfolgt zum Zweck der Direktwerbung für eigene ähnli- che Produkte oder Dienstleistungen und 3. der Kunde hat die Möglichkeit erhalten, den Empfang solcher Nach- richten bei der Erhebung und 4. bei jeder Übertragung kostenfrei und problemlos abzulehnen und 5. der Kunde hat die Zusendung nicht im Vorhinein abgelehnt. Dabei ist auch auf die sogenannte ECG-Liste („Robinson-Liste“) zu achten, die von der Regulierungsbehörde für Telekommunikation und Rundfunk geführt wird. Hat der Empfänger dem Absender gegenüber einer ausdrücklichen Einwilligung zum Empfang von E-Mails gegeben, kann er sich nicht auf seinen Eintrag in der ECG-Liste berufen. Das Versenden anonymer elektronischer Post über eine verschleierte E- Mail-Adresse ist generell verboten. Daher muss bei jedem E-Mail-Versand klar ersichtlich sein, von welcher Adresse diese abgesendet wurde. Außer- dem ist es empfehlenswert, dass es einen Rückkanal gibt und Antworten empfangen werden können. Auch ein bloßes Angebot wird schon als Werbung gewertet. Bereits der Ver- sand einer einzigen E-Mail zu Werbezwecken erfüllt dabei einen Verwal- tungsstraftatbestand, sofern weder eine Einwilligung vorliegt noch eine Aus- nahme zur Anwendung kommt. Es ist auch zu beachten, dass jede Form von Werbung entsprechend gekenn- zeichnet werden muss. Das kann zum Beispiel über die Betreffzeile erfolgen. Dafür sind aber keine Formvorgaben vorgesehen und die Wortwahl ist ent- sprechend freigestellt. 43 Datenschutz Weiters muss auch der Auftraggeber jeweils klar erkennbar sein und alle E- Mails müssen auch mit einem Impressum versehen werden, zum Beispiel in Form eines Links zu einer Website. Das Zusenden unerbetener elektronischer Post oder einer sonstigen Verlet- zung der Bestimmungen, wie eine fehlende Kennzeichnung als Werbemail, wird mit bis zu 50.000 Euro bestraft. Spam-Verbote unterliegen dem nationalen Recht jenes Staates, in dem der Empfänger seinen Sitz hat. Hier gilt das Herkunftsprinzip nicht. Eine E-Mail an einen deutschen Empfänger unterliegt deshalb deutschem Recht, dem- zufolge Werbe- und Massen-E-Mails grundsätzlich sowohl im B2B- als auch im B2C-Bereich verboten sind.41 „Robinson Liste“ der Regulierungsbehörde für Telekommunikation und Rundfunk 3.5.3 Newsletter Eine Einwilligung zum Empfang eines Newsletters ist nur dann erforderlich, wenn der Empfänger kein Kunde des Unternehmens ist. Insbesondere bei der Erstellung von Newsletter-Verteilern ist darauf zu achten, dass die Emp- fänger ihr Einverständnis freiwillig und für diesen Zweck abgegeben haben. Idealerweise wird das Einverständnis vom Versender entsprechend doku- mentiert. Grundsätzlich gilt, dass sowohl Werbe-E-Mails auch sonstige E-Mails, die an mehr als 50 Empfänger adressiert sind, nur nach vorheriger Einwilligung der Empfänger gesendet werden dürfen. Eine solche Einwilligung muss durch ein sogenanntes Double-Opt-In-Verfahren eingeholt werden. Zuerst muss der Nutzer seine E-Mail-Adresse auf der Website angeben und einwilligen, dass diese für die Zusendung von Werbung verwendet wird. An- schließend wird an den Nutzer eine Bestätigungs-E-Mail an die angegebene Adresse geschickt. Nur wenn der Nutzer den in der E-Mail-Adresse enthalte- nen Bestätigungslink anklickt, wird die E-Mail-Adresse auf den Newsletter gesetzt. Dadurch kann die tatsächliche Inhaberschaft der E-Mail-Adresse ve- rifiziert werden. In Newslettern, die mindestens viermal im Kalenderjahr versendet werden, ist das Impressum laut dem Mediengesetz direkt im Newsletter anzugeben. Darüber hinaus ist eine Offenlegung im Newsletter selbst oder per Link auf eine Website anzuführen. 41 Vgl. Kubanek, Peter (2019), S. 99. 44 Datenschutz 3.5.4 Einsatz von Cookies In Deutschland gelten für den Einsatz von Cookies die Bestimmungen des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), das seit dem 1. Dezember 2021 in Kraft ist. Wenn über eine Website personen- bezogene Daten verarbeitet werden, kommen zusätzlich die datenschutz- rechtlichen Bestimmungen der DSGVO zur Anwendung. Die IP-Adresse wird dabei als personenbezogenes Datum gewertet, was auch in einem Urteil des Europäischen Gerichtshofes (EuGH) bestätigt wurde. Cookies sind kleine Textdateien, die vom Informationsanbieter über den Browser auf dem Endgerät des Nutzers gespeichert werden. Sie dienen ver- schiedenen Zwecken, wie der Speicherung von Einstellungen (funktionale Cookies), der Analyse des Nutzerverhaltens (statistische Cookies) oder der Anzeige gezielter Werbung (Marketing-Cookies). Cookies, die für die Funktionalität der Website technisch zwingend erforder- lich sind (z.B. Session-Cookies), bedürfen keiner gesonderten Zustimmung. Für alle anderen Cookies ist jedoch eine aktive Einwilligung des Nutzers er- forderlich. Bevor Cookies gesetzt werden, müssen dem Nutzer relevante datenschutz- rechtliche Informationen bereitgestellt werden. Dazu gehören beispiels- weise Informationen über eine Weitergabe der Daten an Dritte, die Spei- cherdauer der Cookies und der Zweck der Datenverarbeitung. Einwilligungspflichtige Cookies dürfen nicht vor der entsprechenden Zustim- mung gesetzt werden. Es ist zudem nicht erlaubt, dass in einer Checkbox das Häkchen für die erforderliche Zustimmung vorab gesetzt wurde. Der Nutzer muss die Möglichkeit haben, die Cookies individuell zu akzeptieren oder ab- zulehnen. Zur Umsetzung der erforderlichen Maßnahmen empfiehlt sich der Einsatz eines Cookie Consent Tools, über welches der Nutzer die entsprechenden Einstellungen vornehmen kann. Das Tool sollte so gestaltet sein, dass der Nutzer Cookies nach Kategorien (z.B. funktionale Cookies, Tracking-Cookies oder Marketing-Cookies) zulassen oder abwählen kann. Zudem ist darauf zu achten, dass der Einsatz von Cookies auch in den Da- tenschutzbestimmungen der Website festgehalten wird. In diesen Bestim- mungen muss auch ein Hinweis enthalten sein, dass eine einmal erteilte Ein- willigung jederzeit widerrufen werden kann. Da im Zusammenhang mit der Nutzung einer Website Nutzerdaten verarbei- tet werden, besteht eine Dokumentationspflicht. Diese kann beispielsweise im Rahmen eines Verarbeitungsverzeichnisses erfolgen, in dem festgehal- ten wird, welche Daten zu welchem Zweck erhoben werden und was mit den 45 Datenschutz erhobenen Daten geschieht. Eine Meldepflicht bei der Datenschutzbehörde besteht nicht, es sei denn, es handelt sich um ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, was eine Datenschutz-Folgenab- schätzung erforderlich machen kann. Durch die Notwendigkeit zur Einholung einer Einwilligung beim Einsatz von Cookies sind diese Einwilligungen omnipräsent geworden. Das kann bei manchen Nutzern zu einer sogenannten Click-Fatigue führen, auch genannt Informationsermüdung. Damit wird die Überversorgung mit Informationen bezeichnet und die Tatsache beschrieben, dass entsprechende Hinweise oft schlicht weggeklickt bzw. ignoriert werden können.42 Seit dem Inkrafttreten der DSGVO und mit den Entwicklungen rund um die Datenschutzvorgaben wurden die Third Party Cookies stärker ins Visier ge- nommen. Viele Browser-Anbieter haben angekündigt, den Einsatz von Third Party Cookies, die von Drittanbietern platziert werden, stark einzuschränken oder zu unterbinden. Apple blockiert bereits sämtliche Cookies von Drittan- bietern.43 Auch Google hat mit der Privacy Sandbox eine Alternative zu Coo- kies in Aussicht entwickelt. Die Privacy Sandbox von Google ist eine Initiative zur Verbesserung des Da- tenschutzes im Web, die darauf abzielt, die Privatsphäre der Nutzer zu schüt- zen und gleichzeitig effektive Werbelösungen bereitzustellen. Im Juli 2023 wurden die relevanten APIs der Privacy Sandbox für alle Chrome-Nutzer all- gemein verfügbar gemacht, was Entwicklern ermöglicht, skalierte Tests mit realem Datenverkehr durchzuführen und sich auf die geplante Abschaffung von Drittanbieter-Cookies in Chrome vorzubereiten. Ursprünglich plante Google, die Unterstützung für Drittanbieter-Cookies in Chrome bis Ende 2023 schrittweise einzustellen. Allerdings hat Google diese Entscheidung im Juli 2024 revidiert und angekündigt, dass Drittanbieter- Cookies in Chrome weiterhin unterstützt werden. Stattdessen wird den Nut- zern die Möglichkeit gegeben, selbst zu entscheiden, ob sie Drittanbieter- Cookies zulassen möchten, ähnlich wie bei Apples App-Tracking-Transpa- renz. Diese Änderung wurde von der britischen Wettbewerbs- und Marktauf- sichtsbehörde (CMA) bestätigt. Google wird weiterhin an der Entwicklung der Privacy Sandbox-Technologien arbeiten und gleichzeitig Schutzmaßnah- men gegen IP-Tracking im Inkognito-Modus bereitstellen. Kritiker, darunter die Bewegung für ein offenes Web, argumentieren, dass Googles ursprünglicher Plan den Wettbewerb beeinträchtigen und dem 42 Vgl. Ebner, Gordian Konstantin (2022), S. 365. 43 Vgl. Schmerer, Kai (2020). 46 Datenschutz eigenen Werbegeschäft von Google zugutekommen könnte. Sie begrüßen die Änderung und plädieren dafür, dass die Privacy Sandbox auf ihren eige- nen Verdiensten basieren sollte, anstatt marktweit durchgesetzt zu werden. Trotz der Beibehaltung von Drittanbieter-Cookies bleibt die Privacy Sandbox ein bedeutender Schritt in Richtung eines datenschutzfreundlicheren Webs. Nutzer können nun selbst entscheiden, ob sie Drittanbieter-Cookies zulassen möchten, und Unternehmen können weiterhin datenschutzfreundliche Werbelösungen implementieren. Google Analytics, das bekannte Tracking-Tool von Google, wurde von den Datenschutzbehörden in Deutschland und anderen EU-Staaten mehrfach geprüft und für unzulässig erklärt, wenn die Daten ohne ausreichende Schutzvorkehrungen übertragen werden. Unternehmen, die Google Analy- tics weiterhin nutzen, müssen sicherstellen, dass die Einstellungen mög- lichst datensparsam erfolgen und das Setzen von Cookies auf einer transpa- renten Einwilligung der Nutzer basiert. Eine datenschutzfreundliche Alter- native sind Tools wie Matomo oder etracker, die eine lokale Datenverarbei- tung auf eigenen Servern ermöglichen, sodass keine Daten an Dritte über- mittelt werden. In Deutschland ist die Nutzung von Cookies grundsätzlich nur dann zulässig, wenn eine aktive Einwilligung der Nutzer vorliegt. Eine transparente Infor- mation und die Möglichkeit zur Auswahl von Cookie-Kategorien sind erfor- Merksatz derlich, um den datenschutzrechtlichen Anforderungen der DSGVO und des TDDDG gerecht zu werden. 3.5.5 Soziale Netzwerke Werden Social-Media-Plattformen, wie Facebook, Instagram, Twitter oder WhatsApp, für Unternehmenszwecke genutzt, ist darauf zu achten, dass da- bei oft unbedacht Datenschutz- oder andere Rechtsverstöße erfolgen. Laut einer Entscheidung des Europäischen Gerichtshofes ist beim Betrieb ei- ner Facebook-Fanpage zu beachten, dass nicht nur Facebook selbst, sondern auch der jeweilige Betreiber einer Fanpage datenschutzrechtlich verant- wortlich ist. Deshalb ist es unter anderem erforderlich, dass der Nutzer so umfangreich wie möglich informiert wird. Bei der Verwendung von sogenannten Social-Media-Plugins (zum Beispiel Teilen-Buttons von Facebook oder Twitter) auf Firmen-Websites werden personenbezogene Daten verarbeitet, indem IP-Adressen an die Betreiber der zugehörigen Social-Media-Dienste übermittelt werden. Dabei ist zu 47 Datenschutz beachten, dass eine Einwilligung des Nutzers erforderlich ist. Ohne aus- drückliche Einwilligung müssen die Plugins deaktiviert bleiben und es dürfen keine Daten übermittelt werden. Für die Umsetzung ist eine Zwei-Klick-Lösung zu empfehlen, bei der die IP- Adresse erst nach einer aktiven Einwilligung an die Social-Media-Dienste übertragen wird. Zusätzlich müssen die Nutzer über eine allfällige Verwen- dung von Social-Media-Plugins in der Datenschutzerklärung informiert wer- den. 3.5.6 Behavioral Targeting Der Betreiber einer Website ist auch datenschutzrechtlich mitverantwort- lich, wenn auf einer Website Platz für Dritte bereitgestellt wird, um Behavi- oral Targeting durchzuführen, und dabei personenbezogene Daten verarbei- tet werden. Dabei spielt es keine Rolle, dass der Website-Betreiber selbst keine Kontrolle über die in seine Website eingebundenen Datenverarbeitun- gen hat. Deshalb muss auch für diesen Zweck eine Einwilligung eingeholt und es müs- sen hinreichende Informationen über die Datenverarbeitung erteilt werden. 3.5.7 Videokonferenzen Die fortschreitende Digitalisierung hat nicht zuletzt auch den digitalen Aus- tausch mit Kundinnen und Kolleginnen mit Hilfe von neuen Kommunikati- onsdiensten, wie zum Beispiel Videokonferenzen, befördert. Das birgt aber auch zahlreiche neue datenschutzrechtliche Fallstricke. Falls es die Be- triebsgröße zulässt, ist deshalb eine entsprechende Betriebs- oder Dienstvereinbarung empfehlenswert. Waren Telefone früher meistens ortsgebunden und verhältnismäßig gut ge- gen ein unbefugtes Mithören abgesichert, gilt dies für die web- bzw. cloud- basierte Kommunikation nicht mehr. Gerade die Bildübertragung rückt ne- ben dem eigentlichen Arbeitsplatz etwa im Homeoffice gerne Kinder, Besu- cher oder persönliche Einrichtungsgegenstände in den Fokus. Auch die grundsätzliche Möglichkeit, Videokonferenzen oder Webinare aufzuzeich- nen, macht es nicht leichter, die Vertraulichkeit sicherzustellen. Verantwortliche und Arbeitnehmer sind deshalb verpflichtet, technisch und organisatorisch sicherzustellen, dass Gespräche unabhängig von ihrer Form weder abgehört oder mitgehört noch aufgezeichnet werden. 48 Datenschutz Typisch für viele Kommunikationsdienste ist die Erfassung des Anwesen- heits- bzw. Erreichbarkeitsstatus der Beschäftigten. Der wahrscheinliche An- wesenheits- bzw. Erreichbarkeitsstatus wird dabei je nach verwendetem Dienst durch manuelle Eingabe ermittelt und optisch durch eine Ampel-Sym- bolik dargestellt. Aus Datenschutzsicht ist darauf zu achten, dass sich der vorgeschlagene Anwesenheits- bzw. Erreichbarkeitsstatus jederzeit durch manuelles Eingreifen der Beschäftigten überschreiben lässt. Die Freigabe von Kamera und Mikrofon innerhalb von Videokonferenzen er- folgt in der Regel durch die Teilnehmenden selbst. Tritt jemand einer Tele- fon- oder Videokonferenz bei, sollten Kamera und Mikrofon standardmäßig deaktiviert sein. Bei aktivierter Kamerafunktion sollten die Beschäftigten die Kamera so ausrichten, dass das Sichtfeld unbeteiligte Dritte nicht dauerhaft erfasst. Für das gemeinsame Arbeiten an Dokumenten können die Teilnehmer Bild- schirminhalte freigeben, sodass andere diese sehen können. Die Freigabe des gesamten Bildschirmes ist dabei nach Möglichkeit zu vermeiden. Doku- mente mit besonders umfangreichen oder sensiblen personenbezogenen In- halten dürfen Arbeitnehmer nicht über die Bildschirmfreigabe teilen. Vorstellungsgespräche zählen ebenso wie andere arbeitsrechtliche Belange zu den besonders sensiblen Gesprächsinhalten und sollten daher grundsätz- lich nicht über Videokonferenzen erfolgen.44 Reflexionsfragen: Was gilt es bei Videoaufnahmen im Unternehmenskontext zu beach- Reflexionsfragen ten? Welche Befugnisse hat die Datenschutzbehörde? Welche Vorgaben gibt es für den Einsatz von Cookies? 44 Vgl. Thieme-Hermann, Jana (2022), S. 12. 49

Document Details

Tags

Related

Summary

Full Transcript