Home / Aktuelles & Termine / it.sec blog

In unserem heutigen Blogbeitrag möchten wir zusammenfassend über datenschutzrelevante Ereignisse der letzten Monate informieren:

 

 

  • Mit der Entscheidung des Landgerichts Würzburg (LG Würzburg, Beschluss vom 13.9.2018, Az. 11 O 1741/18), können Verstöße gegen die DSGVO von Mitbewerbern abgemahnt werden. Bisher bestand hier erhebliche Unsicherheit, ob es sich bei der DSGVO überhaupt um eine drittschützende Norm im Sinne des § 3a UWG handelt.

 

 

  • Derzeit verschickt die sog. "Datenschutzauskunft-Zentrale“ ein Schreiben, in dem Unternehmen aufgefordert werden, Angaben über ihren Betrieb zu machen, "um ihrer gesetzlichen Pflicht zur Umsetzung des Datenschutzes nachzukommen". Hierbei handelt es sich um eine Abo-Falle. .

 

 

  • Laut dem Thüringer Landesarbeitsgericht (Urteil vom 16.05.2018, Az. 6 Sa 442/17) ist die Erhebung der privaten Telefonnummer durch den Arbeitgeber ein erheblicher Eingriff in die Persönlichkeitsrechte des Mitarbeiters.

 

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

„Ist das Werbung oder können wir das auch ohne Einwilligung per E-Mail verschicken?“ Diese Frage hören wir in unserem Beratungsalltag sehr häufig. Viele Unternehmen haben ein Interesse daran, ihre Informationen schnell und kostengünstig an die Empfänger zu verteilen, nur ist der Grad zwischen „Werbung“ und „notwendige Kundeninformation“ oftmals ein sehr schmaler.

In seinem jüngst veröffentlichten Urteil VI ZR 225/17-LG Braunschweig stellt der BGH fest, dass hier ggfs. sogar eine Zweiteilung des Inhalts angemessen und richtig sein kann. In dem zu entscheidenden Fall versandt das Unternehmen zusammen mit der Rechnung für das gekaufte Produkt einen Link zu seiner Zufriedenheitsumfrage ohne zuvor die nach § 7 Abs. 2 Nr. 3 UWG notwendige Einwilligung des Rechnungsempfängers eingeholt zu haben. Zu Unrecht, wie der BGH entschied.

Während die Zusendung der Rechnung im Rahmen der Abwicklung des Kaufvertrags ohne weiters auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden konnte, handelt es sich laut BGH bei dem Link zur Zufriedenheitsumfrage um eine werbliche Ansprache, für die gem. Art. 13 Abs. 1 der Datenschutzrichtlinie EK eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO erforderlich ist, die jedoch nicht vorlag.

Klargestellt hat der BGH damit, dass jeder Teilinhalt einer E-Mail gesondert auf deren Charakter zu überprüfen ist und für jeden Teil daher auch gesondert die entsprechenden Rechtsgrundlagen vorhanden sein müssen. Anderenfalls haben die betroffenen Personen ggfs. einen Unterlassungsanspruch gegenüber dem Unternehmen.

Können sich nun alle Unternehmen, die keine Kundenzufriedenheitsanfragen durchführen, entspannt zurücklehnen? Keineswegs!

Zahlreiche Unternehmen nutzen sogenannte E-Mail-Abbinder, in denen sie auf aktuelle Veranstaltungen, einen Messestand, einen gewonnenen Unternehmenspreis etc. hinweisen. All dies sind Instrumente, um sich bei dem Kunden in Erinnerung zu bringen, was der Kundenbindung dient und eine Weiterempfehlung ermöglicht. Laut BGH sollen damit auch weiteren Geschäftsabschlüssen der Weg geebnet und hierfür geworben werden. Daher bedarf es für den Versand dieser Inhalte per E-Mail einer entsprechenden Einwilligung des Empfängers.

Es ist daher aus unserer Sicht dringend dazu zu raten Ihre E-Mail-Abbinder auf deren werblichen Charakter zu untersuchen und auf den Prüfstand zu stellen, unter anderem auch, da hier aufgrund des neuen BGH-Urteils eine Abmahnwelle zu befürchten ist.

C. Lürmann

Rechtsanwältin

Consultant Datenschutz

In seiner Pressemitteilung vom 04.10.2017 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) klargestellt, dass das Profiling der Webseitenbesucher und Facebook-Nutzer mit Hilfe des Trackingverfahrens ‚Facebook Custom Audience‘ nur mit Einwilligung der betroffenen Personen möglich ist (die Pressemitteilung ist abrufbar unter https://www.lda.bayern.de/media/pm2017_07.pdf).

Das Marketing-Werkzeug ‚Facebook Custom Audience‘ kann durch Unternehmen auf zwei verschiedene Arten genutzt werden: Zum einen können Listen mit personenbezogenen Kundendaten, wie z.B. E-Mail-Adressen, an Facebook Inc. übermittelt werden. Facebook Inc. gleicht diese Daten dann wiederum mit ihren Nutzerkonten ab, um so dem Unternehmen eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform zu ermöglichen. Zum anderen kann ‚Facebook Custom Audience‘ über ein Pixel in die Webseite eingebunden werden, um die Internetaktivitäten der Webseitenbesucher zu tracken und diese Informationen direkt an Facebook Inc. weiterzuleiten, damit dem Unternehmen auch hier wieder eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform möglich wird. Auch bei diesem Verfahren werden personenbezogene Daten an Facebook Inc. übermittelt.

Obwohl Unternehmen in beiden Fällen personenbezogene Daten (u.a. Name, E-Mail-Adresse, Internetaktivitäten) an einen Dritten (= Facebook Inc.), zudem in einen Drittstaat, zu Werbezwecken übermitteln, stellt die Aufsichtsbehörde fest, dass ‚Facebook Custom Audience‘ oftmals nicht in datenschutzrechtlich zulässiger Weise eingesetzt wird, entweder weil Unternehmen keine Ahnung haben, wie diese Trackingverfahren funktionieren, oder sich keine Gedanken darüber machen, welche Vorgaben eigentlich für eine solche Datenverarbeitung gelten (-> Art. 6 Abs. 1, Art. 44 ff, Art. 13 DSGVO, § 7 UWG).

Daher gibt das BayLDA den verantwortlichen Unternehmen in seiner Pressemitteilung Vorgaben an die Hand. Die Aufsichtsbehörde weist zudem darauf hin, dass der Einsatz von ,Facebook Custom Audience‘ zukünftig Gegenstand von Prüfaktionen sein wird und Unternehmen, die dieses Produkt in unzulässiger Weise einsetzen, mit Bußgeldern rechnen müssen: „Unternehmen, die (…) nicht wissen, wie solche Werbetools tatsächlich funktionieren, können auch ihre Nutzer nicht richtig informieren. Wer das nicht kann, darf eben solche Tools nicht einsetzen. (…) Adressat (…) eines Bußgeldbescheides [ist] nicht Facebook, sondern das jeweilige Unternehmen, das dieses Werbemittel unzulässig einsetzt.“

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Die Datenschutzgrundverordnung enthält keine Detailregelungen für Werbung mehr.

 

Mit der DSGVO fallen alle detaillierten Regelungen des BDSG für die Verarbeitung personenbezogener Daten für werbliche Zwecke weg.

 

Die rechtliche Grundlage für die Beurteilung der Zulässigkeit von Werbung ist in Zukunft, neben einer Einwilligung, die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO. Eine tragende Rolle spielt hier Erwägungsgrund 47, der ausführt: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

 

Bei der dann folgenden Interessenabwägung sind aber auch die allgemeinen Grundsätze aus Art. 5 Abs. 1 DS-GVO zu berücksichtigen. Und es darf kein Widerspruch der betroffenen Person vorliegen. Im Rahmen der Interessenabwägung wird man aber wohl bei der Nutzung der Kontaktdaten von Verbrauchern für Telefon- und Fax-Werbung dazu kommen, das diese weiterhin nur mit einer vorherigen ausdrücklichen Einwilligung erlaubt ist. Des Weiteren ist eine Nutzung für E-Mail- und SMS-Werbung ohne Einwilligung nur im Fall der Eigenwerbung bei Bestandskunden unter den Maßgaben von § 7 Abs. 3 UWG zulässig.

 

Ohne Einwilligung kann aber keine werbliche Nutzung besonderer Datenkategorien aus Art. 9 DSGVO erfolgen. Art 6 Abs. 1 lit. f DSGVO stellt für solche Daten keine zulässige Rechtsgrundlage dar. Die DSGVO enthält keine Erlaubnisnorm für die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke der Werbung.

 

Bereits erteilte rechtswirksame Einwilligungen in die Nutzung oder Übermittlung personen-bezogener Daten (z. B. für werbliche Zwecke) gelten fort, sofern sie der Art nach den Bedingungen der Datenschutzgrundverordnung entsprechen, Erwägungsgrund (171 S. 3).

 

Das bisher schon bestehende Koppelungsverbot für Werbung findet sich auch in der DSGVO wieder. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, ist dem Umstand in größtmöglichem Umfang Rechnung zu tragen, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist.

 

Fazit:

 

Für die Zulässigkeit von Werbung wird in Zukunft fast ausschließlich die nach Art. 6 Abs. 1 lit. f DSGVO vorgeschriebene Interessenabwägung Anwendung finden.

Dr. Bettina Kraft

Beraterin für Datenschutz

Volljuristin

50 Millionen Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angreifer Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu Beamte BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonität Bonitätsprüfung Brexit Britische Datenschutzbehörde Browser BSI Bund Bundesarbeitsgericht Bundesnetzagentur Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL ehrenamtlich tätiger Vereine Eigentum Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entlastung Entsorgung Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Union externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Firmensitz FlugDaG Fluggastdaten Folgenabschätzung Foto freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien hacken Hacker Hackerangriff Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Integrität interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip MD5 Meldebehörde Meldepflicht Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen Office Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware schutzwürdige Interessen Schwachstellen Schweiz Seitenbetreiber SHA1 sicher Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TKG TLS TMG Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unerlaubt unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit zuständig § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31