Datenschutz Newsletter Februar 2023

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:

1. EuGH und Landgericht München I
2. Digitalisierung und Datenschutz
3. Aktuelles aus dem Datenschutz

1. EuGH Landgericht München I

Es gab einige Gerichtsurteile, die man näher betrachten muss. Der EuGH hat eine Entscheidung zur Auskunftspflicht in Bezug auf die Übertragung von Daten an dritte Empfänger getroffen. Hintergrund war ein Fall der österreichischen Post, der vor dem EuGH landete. Die österreichische Post hatte auf eine Auskunftsanfrage einer betroffenen Person hin lediglich die Kategorie „Unternehmen der Werbungsbranche“ als Empfänger von personenbezogenen Daten mitgeteilt. Auch auf Nachfrage wurden die konkreten Empfänger, also welche Werbefirmen genau die Daten erhalten hatten, nicht genannt. Hiergegen klagte die betroffene Person. Der EuGH gab ihr recht und es ist nun geklärt, dass allein die Nennung einer Kategorie nicht ausreichend ist. Auch dann nicht, wenn die Empfänger umfangreich sind. Alle Empfänger von personenbezogenen Daten sind zu nennen, wenn diese für de verantwortliche Stelle identifizierbar sind. Letzteres war hier eindeutig der Fall.

Und dann hat auch das Landgericht München I wieder etwas entschieden. Wir kennen dieses Gericht schon mit dem Urteil zu Google Fonts, was durch zwielichtige Abmahner einiges an Aufsehen erlangt hatte. Dieses Mal ging es jedoch nicht um Google Fonts, sondern um Cookie-Banner. Kläger ist der Bundesverband der Verbraucherzentralen und Beklagte Partei der Burda Verlag. Streitgegenstand ist dessen Angebot „Fokus Online“, also die Webseite www.focus.de. Allein das sagt schon aus, dass es hier um Grundsatzfragen geht. Diese Tatsache spiegelt auch das Urteil wieder. Es nennt sehr detailliert die Positionen der beiden Parteien mit zahlreichen Screenshots. Genaugenommen geht die Urteils-begründung, bzw. die Darlegung der Entscheidungsgründe, erst auf Seite 179 des Urteils los, was schon für sich spricht. Im Kern wirft die Verbraucherzentrale dem Verlag vor, ohne korrekte Einwilligungen diverse Tracking-Methoden zu nutzen, was gegen die DS-GVO und das TTDSG verstößt. Der Burda Verlag bestreitet das. Ferner wird die Art des Einwilligungsformulars angegriffen.

 

Das Urteil ist meiner Meinung nach nur bedingt hilfreich. Letztlich ist der Datenschutz wieder einmal das Opfer der Juristen geworden. Ein großer Teil der Klage wurde damit abgetan, dass der Sachverhalt, hier also das Tracking der Daten, nicht hinreichend nachgewiesen werden konnte. Das betrifft insbesondere Google Analytics. Es gibt jedoch zwei Punkte mit klaren und für die Praxis relevanten Entscheidungen. Das betrifft die Nutzung eines TC-Strings (TFC 2.0 Format) durch Content Management Provider (CMP). Und es betrifft zum anderen das Design eines Einwilligungsformulars.

Die TC-Strings sind eine sehr technische und etwas komplizierte Sache. Ich versuche es einmal ganz simpel zu erklären: In der Werbe- und Marketingbranche ist man nicht begeistert, dass personenbezogene digitale Werbung durch DS-GVO und andere Gesetze beschränkt wird. Man will auch ohne Einwilligungen personenbezogene Werbung ausspielen. Dazu hat man den TFC-Format erfunden, wozu auch das TC-String gehört. Ich lasse mal alles weitere technische weg und drücke es so aus: Es geht darum personenbezogene Werbung auszuspielen, ohne im Sinne des Datenschutzes ein personenbezogenes Merkmal zu nutzen. Wer dieses liest, der merkt sicher den Wiederspruch in dem Satz. Ohne personenbezogenes Merkmal, anhand dessen man jemanden identifizieren kann, wird es nichts mit personenbezogener Werbung. Der TC-String ist also etwas, was dieses personenbezogene Merkmal verschachtelt und verschleiert, so dass man es als pseudonymisiert betrachten kann, aber es immer noch funktioniert. Dazu hat das LG München I nun gesagt, dass das alles Quatsch ist, der TC-String ein personenbezogenes Merkmal ist und er nur mit einer Einwilligung auf einem Endgerät gespeichert werden darf. Das war hart für die Werbebranche, die das sicher nicht ohne weitere juristische Gegenwehr hinnehmen wird.

Zum anderen gab es klare Aussagen vom LG München I zum Design von Einwilligungsformularen und wie ein Cookie-Banner aufgebaut sein soll. Das Urteil verpflichtet zu einer Möglichkeit der Ablehnung aller nicht technisch notwendigen Cookies, Trackingmethoden oder Speicherungen auf dem Endgerät des Nutzers direkt auf erster Ansichtsebene des Banners. Der Umweg über einen Button Einstellungen ist nicht rechtens. Und es dürfen auch keine optischen Hervorhebungen stattfinden, die einen „Akzeptieren-Button“ begünstigen. Das sind schon sehr klare Worte und damit sind die meisten Einwilligungen, die wir auf den Webseiten sehen, rechtswidrig.

Ich halte beide Entscheidungen, die in diesem Urteil enthalten sind, für richtig. Und an dieser Stelle möchte ich nochmal betonen, was ich regelmäßig meinen Kunden sage: Erstellen Sie Webseiten ohne jede Nutzung von Tracking-Cookies oder dritten Skripten. Wer das nicht hat, braucht kein Einwilligungsformular. Dann kann auch nichts falsch laufen und die Nutzer der Webseite freuen sich, dass sie nicht erst eine Menge Klicks machen müssen, bevor sie auf die Seite kommen. Gewöhnliche Webseitenbetreiber, die mit Ihrer Webseite keine Werbung anderer ausspielen oder Daten verkaufen wollen, brauchen keine solchen Funktionen. Sie sind meistens so gar nur von Nachteil für solche Webseitenbetreiber.

 

 

2. Digitalisierung und Datenschutz

Ein globaler Blick auf die Digitalisierung ist immer auch ein Blick auf den Datenschutz. Das eine ist mit dem anderen verbunden. Wir haben den  Datenschutz deswegen erfunden, weil die Verarbeitung von Daten mit digitalen Techniken sicher erfolgen soll. Diese Sicherheit hat zwei Seiten. Zum einen die Technik und zum anderen den Menschen. Datenschutzprobleme entstehen auf beiden dieser Seiten. Jedoch ist es bei technischen Fehlern am Ende auch immer ein Mensch, der die Technik falsch konfiguriert hat. Damit ist der Mensch der Mittelpunkt. Und ich stelle fest, dass die Anforderungen an den Menschen immer komplexer und komplizierter werden. Alle digitalen Anwendungen, und das ist einerseits auch gut so, werden immer sicherer und bekommen immer mehr Funktionen. Allerdings wird es für die Menschen, die die Anwendungen bedienen müssen, damit auch immer schwieriger sich im Dschungel der Einstellungsmöglichkeiten zurechtzufinden. Der Autonormalverbraucher überblickt die Konfigurationseinstellungen digitaler Technik nicht mehr vollständig. Auch sind die Zusammenhänge bei den Datenflüssen für die meisten Menschen nicht erkennbar. Wirklich verstehen tun es eigentlich nur noch Experten, und selbst diese manchmal nicht mehr. Das wird zunehmend zum Problem.

Selbst einfache Dinge sind inzwischen nicht mehr einfach. So kann man bereits eine kleine Schulung darüber machen, wie man ein E-Mailkonto sicher konfiguriert sowie E-Mails richtig schreibt und ggf. verschlüsselt, damit diese konform mit dem Datenschutz, aber auch mit Spam- und Phishing-Richtlinien sind. Diese Tatsache bedeutet, dass selbst einfache digitale Tätigkeiten nicht mehr ohne weiterführende Kenntnisse korrekt erledigt werden können. „Weiterführende Kenntnisse“ erhält man über eine Ausbildung. In Zeiten von Personalmangel und Überforderung ist aber genau das nicht mehr möglich. Und auch unsere Schulen schaffen es nicht den jungen Menschen eine zeitgemäße digitale Ausbildung zu gewährleisten. Zwar können diese perfekt ein Smartphone nutzen und zweihändig WhatsApp Nachrichten tippen, jedoch fällt es manchen dann schon schwer bei einer Windows-Anmeldung zwischen „Kennwort“ und „Hello-PIN“ zu unterscheiden.

Ich sehe diesen Trend und ich versuche darauf zu reagieren. Ich werde in meinen Schulungen zukünftig diese Problematik mit aufnehmen und mich in den IT-Schulungen auch mehr auf die Grundlagen eines Umgangs mit digitaler Technik und Kommunikation konzentrieren. Ich erkenne dabei immer wieder, dass durch „Nichtwissen“ von zum Teil sehr einfachen Einstellungsmöglichkeiten oder Zusammenhängen Menschen sehr viel Zeit verlieren. Zeit, so denke ich, ist heutzutage eine wertvolle Ressource, die wir nicht verschwenden dürfen. Und leider verschwenden wir sehr viel davon, indem wir Funktionen suchen und uns durch digitale Anwendungen klicken, bis wir gefunden haben, was uns weiterhilft. Noch mehr Zeit verliert man, wenn man gar nichts findet und am Ende einen Support kontaktieren muss.

An dieser Stelle schließt sich der Kreis wieder und führt zurück zum Datenschutz. Immer dann, wenn wir gar nichts finden und einfach weitermachen, weil die Zeit einem im Nacken sitzt, tun wir etwas unsicheres oder falsches, was am Ende gegen den Datenschutz verstößt und einem so auf die Füße fällt. Es ist ein Kreislauf, aus dem man irgendwie versuchen muss auszubrechen.

 

3. Aktuelles aus dem Datenschutz

Das Deezer Security Team hat alle Kunden über einen Cyberangriff auf einen früheren Serviceanbieter aus dem Jahr 2019 informiert. Sie betonen dabei, dass des den Hackern nicht gelungen ist, an sensible personenbezogene Daten zu kommen. Liest man weiter, weiß man dann, dass Namen, Geburtsdaten und E-Mailadressen abgegriffen wurden, die Passwörter jedoch nicht. Trotzdem wird empfohlen Passwörter zu ändern und auf Phishing mit den Daten zu achten. Die Frage, ob diese Warnung nach über 3 Jahren noch einen Sinn hat oder vielleicht etwas spät kommt, wird von Deezer nicht beantwortet.

Der Fall Deutsche Wohnen, falls sich noch jemand daran erinnert, wird jetzt vor dem EuGH verhandelt. 2019 hatte die Berliner Datenschutzbeauftragte ein Bußgeld gegen die Deutsche Wohnen (DW) in Höhe von 14 Millionen Euro erlassen. Die DW, welch Überraschung, zahlte das Bußgeld nicht. Streitpunkt ist jetzt die Frage, ob für Bußgelder nach DS-GVO der §30 OWiG gilt oder nicht. Zu dieser Frage herrscht keine Einigkeit unter den deutschen Gerichten. Der EuGH wird das jetzt entscheiden und damit auch festlegen, wie es mit DS-GVO Bußgeldern der Aufsichtsbehörden gegenüber Unternehmen in Deutschland weitergeht. Vielleicht geht dabei die Arroganz, mit welcher die DW seinerzeit das Bußgeld verlacht hat, am Ende nach hinten los.

In eigener Sache muss ich berichten, dass gerade eine meiner privaten E-Mail-Adressen mit SPAM zugeschüttet wird. Die Liste, an die der SPAM geht, man kann es gut sehen, sagt auch gleichzeitig aus, warum das passiert ist. Eine Lehrkraft meiner älteren Tochter schickt ihre Verteilerliste aller Eltern immer offen im Feld „An“ und nicht, wie man es tun sollte, als „BCC“, also Blindcopy. Als Folge erhalte ich jedes mal einige Antworten anderer Eltern, die versehentlich „allen antworten“ geklickt haben, und nun ist auch noch bei einem Elternteil, wo vermutlich Malware auf dem Endgerät war, die ganze Liste zu SPAM-Versendern gewandert. Ich hatte schon mehrfach freundlich gebeten, ob der E-Mailversand nicht über BCC erfolgen kann, aber bekam als Antwort, dass der Aufwand zu groß ist. Nun grübele ich darüber, was den Unterschied macht, die Liste bei „An“ oder bei „BCC“ einzufügen. Ich würde ja fast denken, dass es der gleiche Aufwand ist, aber ich bin kein Pädagoge und will mich da nicht aus dem Fenster lehnen. Aufwand hin oder her, nochmal für alle der Hinweis „BCC“ zu nutzen, wenn externe Empfängerlisten verarbeitet werden.

Da wir das Thema Schulen eben hatten: An Schulen ist weiterhin, insbesondere in Hamburg, die Plattform Moodle das erste Mittel der Wahl. Und man verteufelt ja MS Teams wegen des Datenschutzes. Allerdings, um ehrlich zu sein, stellen sich mir bei Moodle sehr viel mehr Fragen in Sachen Datenschutz als bei MS Teams. So kann jedermann alle angelegten Räume einer Schule und auch Schulen sehr leicht finden. Und die meisten Schulen nutzen dann eine Selbsteinschreibung, so dass quasi jeder in jeden Moodle-Raum kann. Auch hier ist wieder der Faktor Mensch der Fehler, der den Datenschutz bei der Geschichte einfach nicht im Auge hat und die Zutrittsbeschränkung eines Raumes nicht für erforderlich hält. Mit Moodle werde ich mich sicher mal in einem meiner zukünftigen Newslettern näher beschäftigen. Es gibt aus Datenschutzsicht wirklich viele Fragen dazu.

Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Über die Themen des nächsten Newsletter habe ich mir noch keine Gedanken gemacht. Wir können aber sicher sein, dass bis dahin viele spannende Dinge passieren, über die man schreiben kann.

 

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter