Es ist wieder die „stade Zeit“ wie man in Bayern sagt. Weihnachten steht vor der Tür und alle freuen sich auf ein paar besinnliche Tage im Kreis der Familie. Auch wenn dieses Weihnachten mit vielen sozialen Einschränkungen einhergeht blicken wir noch einmal zurück auf einige wichtige Datenschutzthemen 2020…

COVID-19 HÄLT DIE WELT IN ATEM

Dieses Jahr war ganz stark bestimmt vom Coronavirus, der die ganze Welt im Würgegriff hält. Auch aus Datenschutzsicht war und ist das Pandemiegeschehen von hoher Brisanz. Beschäftigten uns zum Jahresanfang vor allem noch solche Fragen wie „Darf man Mitarbeiter nach Ihrem Aufenthaltsort in einem Risikogebiet befragen?“ oder „Darf ich Mitarbeiter nach Krankheitssymptomen befragen?“, so kamen hier im Laufe des Jahres viele weitere Thematiken wie Infektionsschutzgesetz, Corona Landesverordnungen und einiges mehr hinzu, die Datenschutzfragen zur Kontaktnachverfolgung oder Fiebermessen auf dem Firmengelände oder zur Corona-Warn-App der Bundesregierung aufwarfen.

BGH BESTÄTIGT EUGH URTEIL ZU COOKIES

In seiner Grundsatzentscheidung vom 28.05.2020 (I ZR 7/16) erklärte der BGH abschließend alle Cookies, die für den Betrieb einer Webseite nicht zwingend erforderlich sind, auch in Deutschland für unbeschränkt einwilligungspflichtig.
Hierfür bediente sich der BGH des sog. Grundsatzes der unionsrechtkonformen Auslegung. Der BGH bestätigte, dass § 15 Abs. 3 TMG in seinem Wortlaut mit Art. 5 Abs. 3 der Richtlinie 2002/58/EG (in der Fassung der Richtlinie 2009/136/EG) nicht zu vereinbaren sei. Während die Richtlinie eine Opt-In-Pflicht für technisch nicht notwendige Cookies vorsehe, gehe § 15 Abs. 3 TMG vom Ausreichen eines bloßen Cookie-Opt-Outs (also eines Widerspruchs) aus.
Der BGH entschied daher, dass § 15 Abs. 3 TMG richtlinienkonform dahingehend ausgelegt werden müsse, dass für den Einsatz von technisch nicht notwendigen Cookies die Einwilligung des Nutzers erforderlich sei. Der fehlenden erforderlichen Einwilligung sei der gemäß § 15 Abs. 3 TMG dem Cookie-Tracking entgegenstehende Widerspruch gleichzusetzen.
Der wortlautgemäßen Anwendung der Vorschrift sprach der Senat damit seine Gültigkeit ab und überschrieb sie unter Beachtung des Unionsrechts.
Seit dem 28.05.2020 muss § 15 Abs. 3 TMG richtlinienkonform so angewendet werden, als setze er für den Einsatz technisch nicht erforderlicher Cookies eine Nutzereinwilligung voraus.
Eine Opt-Out-Lösung für Cookies, die nicht zwingend erforderlich sind, ist damit ab sofort offiziell unzulässig und rechtswidrig.
Im Einklang mit dem Urteil des EuGH entschied der BGH sodann, dass eine Cookie-Einwilligung durch ein vorangekreuztes Einwilligungskästchen nicht wirksam abgefragt werden könne. Vielmehr sei ein aktives Setzen des Opt-In-Häkchens erforderlich.

EUGH KIPPT PRIVACY SHIELD

Mit seinem im Juli verkündeten Urteil stellte der Gerichtshof fest, dass das Privacy Shield Abkommen zwischen der EU und den USA keine ausreichenden Sicherheitsgarantien für die personenbezogenen Daten der EU Bürger darstellt. Dies sein insbesondere auf die Zugriffsmöglichkeiten durch Geheimdienste und Strafverfolgungsbehörden zurückzuführen. Parallel wurde festgestellt, dass die EU Standardvertragsklauseln zwar weiterhin eingesetzt werden können, aber aus gleichem Grund eine Vereinbarung von zusätzlichen Maßnahmen erforderlich machen. Die Aufsichtsbehörde in Baden-Württemberg hat hierzu eine sinnvolle Vorgehensweise und Vorschläge für diese zusätzlichen Maßnahmen veröffentlicht. Alle Auftragsdatenvereinbarungen mit Dienstleistern oder Gesellschaften in den USA müssen darauf überprüft und angepasst werden.

ERSTMALS AUFSICHTSBEHÖRDLICHE MASSNAHME GEGEN EINE KOMMUNE

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Dr. Stefan Brink untersagt der Stadt Tübingen die Nutzung polizeilicher Daten für eine Liste „auffälliger“ Asylbewerber. Mit der förmlichen Untersagungsverfügung setzt LfDI Brink einen vorläufigen Schlusspunkt unter den sich seit eineinhalb Jahren hinziehenden Streit um die Rechtmäßigkeit einer von der Stadtverwaltung geführten „Liste der Auffälligen“.
Die listenmäßige Datenerfassung von Asylbewerbern, die durch bestimmte Verhaltensweisen, meist Rohheitsdelikte, angeblich aufgefallen sind, soll dazu dienen, so die tragende Rechtfertigung der Stadt, städtische Bedienstete vor Übergriffen dieses Personenkreises zu schützen. Die Stadt Tübingen nennt diese Listenführung „strukturierten Datenaustausch“ – der nach den Feststellungen des LfDI allerdings rechtswidrig durchgeführt wird und untersagte die Verarbeitung.

AUFSICHTSBEHÖRDE BREMEN BESTÄTIGTE: KUNDENZUFRIEDENHEITS-E-MAILS NUR MIT EINWILLIGUNG

Im Jahresbericht 2019 der Landesbeauftragten für Datenschutz der freien Hansestadt Bremen, klärte diese nochmals, dass E-Mails zur Kundenzufriedenheit nur mit Einwilligung in E-Mail Werbung möglich sind. Ein Unternehmen versandte über 3.000 Kundenzufriedenheitsanfragen per E-Mail, obwohl die Kundinnen und Kunden nicht in den Erhalt von Werbung eingewilligt hatten. Nach ständiger Rechtsprechung fallen Kundenzufriedenheitsabfragen unter den Werbebegriff, da sie zumindest auch dazu dienen, Kundinnen und Kunden zu binden und künftige Geschäftsabschlüsse zu fördern.
Aufgrund der rechtlichen Ausführungen der Behörde stellte das Unternehmen diese Praxis ein und versendet nunmehr nur noch Kundenzufriedenheitsabfragen, wenn eine wirksame Einwilligung zum Erhalt von Werbung vorliegt.

FRÖHLICHE WEIHNACHTEN

Man kann gespannt sein, was 2021 dem Datenschutz bringt. Wir möchten jedenfalls an dieser Stelle allen Lesern dieses Blogs, all unseren Kunden und Partnern sowie allen Menschen aller Nationen und jeder ethnischen Herkunft ein besinnliches und friedliches Weihnachtsfest wünschen.
Frohes Fest – Merry Christmas – Joyeux Noël – Buon Natale – Feliz Navidad – Hyvää Joulua – メリークリスマス – С Рождеством