Kategorie: Verarbeitungen

Cookie als Wettbewerbsverstoß

Ein Cookie als Wettbewerbsverstoß

Aktuell sind viele Unternehmen bzw. ihre Dienstleister auf der Suche nach Cookies, welche auf ihrer Webseite gesetzt werden. Gerade bei großen Projekten ist das mitunter gar nicht so einfach. Cookies sind kleine Textinformationen, die über den Browser bei der Nutzung einer Website auf dem Endgerät des Nutzers gespeichert werden. Ruft der Nutzer die Webseite dann erneut auf, sendet er automatisch seine Cookies mit. Dies ermöglicht, wiederkehrende Nutzer zu erkennen und deren Verhalten zu protokollieren.

 

Cookie als Wettbewerbsverstoß bei fehlender Einwilligung

Das Landgericht Köln hat in seinem Beschluss vom 29.10.2020, Aktenzeichen 31 O 194/20, entschieden, dass das Setzen von nicht notwendigen Cookies ohne Einwilligung ein Wettbewerbsverstoß darstellen kann. Ein solcher Verstoß kann von Mittbewerbern oder Verbänden abgemahnt werden.

 
Es lohnt sich daher, genau zu prüfen, ob für alle nicht notwendigen Cookies auch eine Einwilligung eingeholt wurde. Streitwert des vor dem Gericht geführten Verfahrens waren immerhin 10.000 Euro.

 

Prüfung der Aufsichtsbehörden

Zuletzt hatte die niedersächsische Aufsichtsbehörde Hinweise zur datenschutzkonformen Einwilligungen auf Webseiten und zu Anforderungen an Cookie-Banner veröffentlicht. Lesen Sie dazu mehr in meinem Beitrag unter: https://rechtsanwalt-harzewski.de/anforderungen-an-cookie-banner. Den dazugehörigen Fragebogen der Aufsichtsbehörde können Sie hier herunterladen.

 
Rechtsanwalt Robert Harzewski

Erfassung von Kundendaten

Erfassung von Kundendaten nach DSGVO

Aufgrund des zunehmenden Infektionsgeschehens können Verantwortliche zur Erfassung von Kundendaten verpflichtet sein. Insoweit müssen dann Namen, die Telefonnummer oder E-Mail-Adresse sowie der Zeitraum des Besuchs des Kunden oder Besuchers erhoben werden.

In den meisten Verordnungen findet sich der Hinweis, dass diese Daten geschützt vor Einsichtnahme durch Dritte zu erheben sind. Der Sächsische Datenschutzbeauftragte empfiehlt die Verwendung von Einzelformularen. Alternativ können Mitarbeiter mit der Datenerfassung beauftragt werden. Kunden oder Besucher dürfen in jedem Fall nicht die Daten anderer Kunden oder Besucher zur Kenntnis nehmen.

Ein in der Praxis häufig zu beobachtender Fehler bei der Erfassung von Kundendaten ist auch Fehlen jeglicher Datenschutzhinweise. Wie bei anderen Verarbeitungen ist der Betroffen auch bei Erhebung seiner Kontaktdaten über die Datenverarbeitung nach Art. 13 DSGVO zu informieren. Hier bieten die Aufsichtsbehörden Muster an, die nur noch aktualisiert und angepasst werden müssen. Das Formular für Kontaktdaten des Sächsischen Datenschutzbeauftragten ist hier (docx-Format) abrufbar.

Rechtsanwalt Robert Harzewski

Orientierungshilfe für Videoüberwachung

Orientierungshilfe für Videoüberwachung

In einer neuen Orientierungshilfe informiert die DSK über den Einsatz von Videoüberwachung:

 

Der Begriff der Videoüberwachung

Der Begriff der Videoüberwachung umfasst sowohl die Videobeobachtung, als auch die Aufzeichnung von Videoaufnahmen. Es kommt also nicht darauf an, dass die Aufnahmen tatsächlich angesehen werden. Auch  das sofortige Löschen bereits aufgezeichneter Sequenzen stellt eine Videoüberwachung dar.

 

Zulässigkeit von Videoüberwachungen

Die Zulässigkeit von Videoüberwachungen durch Privatpersonen und Unternehmen richtet sich in der Regel nach Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse im Rahmen der Interessenabwägung sollte gut dokumentiert werden. Als berechtigtes Interesse kommen grundsätzlich die Ausübung des Hausrechts, die Abwehr von unbefugtem Betreten, der Schutz vor Einbrüchen und Vandalismus, die Verhinderung von Betrug oder Leistungsmissbrauch in Betracht.

 

berechtigtes Interesse

Das berechtigte Interesse muss sich jedoch aus einer konkreten Gefahrenlage ergeben und darf nicht rein spekulativ sein. Die Aufsichtsbehörden fordern hier, dass etwaige Vorfälle, wie Beschädigungen, auch nachgewiesen werden müssen. Ein allgemeines Unsicherheitsgefühl oder allgemeine Statistiken zu Wohnungseinbrüchen sollen dagegen nicht ausreichen.

Dokumentieren Sie ihre Interessenabwägung am besten gleich im Verzeichnis der Verarbeitungstätigkeiten. Die Abwägung selbst sollte so konkret wie möglich auf den Einzelfall abstellen. Vermeiden Sie allgemeine oder abstrakte Erwägungen oder generelle Beschreibungen.

 

Überblick

Eher zulässige Videoüberwachung (eigene Interessen überwiegen):
- Überwachung entspricht den vernünftigen Erwartungen und ist typischerweise gesellschaftlich akzeptiert  (Bank, Tankstellen)

Eher unzulässige Videoüberwachung (Interessen der Betroffenen überwiegen:
- Überwachung entspricht nicht den vernünftigen Erwartungen und ist gesellschaftlich nicht akzeptiert  (Wald, Sport- oder Sanitärbereich)
- Beobachtungen, die die Intimsphäre von Betroffenen betreffen, etwa die Überwachung von Toiletten, Saunas, Duschen und Umkleidekabinen oder -bereichen
- lediglich der Schutz vor Bagatelldelikten
- Bereiche, in denen Menschen kommunizieren, essen und trinken, sich austauschen, erholen oder Sport treiben

 

Fallkonstellationen finden Sie in der Orientierungshilfe für Videoüberwachung

Die besonderen Fallkonstellationen finden Sie in der Orientierungshilfe für Videoüberwachung der Datenschutzkonferenz, ab S. 24., welche unter www.datenschutzkonferenzonline.de/media/oh/20200903_oh_vü_dsk.pdf abrufbar ist.

 

Rechtsanwalt Robert Harzewski

Widerruflichkeit der Einwilligung

Ein Mausklick kommt selten allein

Auf die Widerruflichkeit der Einwilligung muss vor Abgabe hingewiesen werden. Die Ausübung des Widerrufs muss dabei so einfach wie die Erteilung sein (Art. 7 Abs. 3 S. 4 DSGVO).

Nach Ansicht des EDPB muss der Widerruf nicht durch die gleiche Aktion erfolgen. Wenn die Zustimmung aber auf elektronischem Wege durch einen Mausklick, ein Wischen oder einen Tastendruck eingeholt wird, dann muss der Betroffene seine Einwilligung in gleicher Weise widerrufen können. Demnach ist auch ein Verweis auf ein anderes Medium oder eine andere Schnittstelle unzulässig. Wird die Einwilligung also per Mausklick eingeholt, dann kann deren Widerruf nicht per E-Mail, Fax oder durch einen Anruf verlangt werden.

Rechtsanwalt Robert Harzewski

Einwilligung

Kein Zurück von der Einwilligung

Häufig wird eine Einwilligung von Betroffenen eingeholt, obwohl für die entsprechende Verarbeitung eine andere Rechtsgrundlage zur Verfügung steht. Auf diese Praxis sollte dringend verzichtet werden.

Denn nach Ansicht des Gremiums der europäischen Datenschutzaufsichtsbehörden (EDPB) ist es nicht zulässig, zwischen den Rechtsgrundlagen zu wechseln. Auch nach Auffassung der deutschen Aufsichtsbehörden verbietet sich ein Rückgriff auf eine andere Rechtsgrundlage, wenn z.B. eine zusätzlich eingeholte Einwilligung widerrufen wird. Dieser soll nach dem Grundsatz der Transparenz und Fairness unzulässig sein.

Widerruft ein Betroffener also seine Einwilligung oder ist diese nicht wirksam, so ist die entsprechende Verarbeitung vom Verantwortlichen einzustellen. Problematisch ist dies dann, wenn der Verantwortliche aber noch zur Verarbeitung vertraglich (Art. 6 Abs. lit. b DSGVO) oder gesetzlich (Art. 6 Abs. lit. c DSGVO) verpflichtet ist.

Beispiel: Die Mustermann GmbH lässt ihre Beschäftigten eine Einwilligung unterzeichnen, dass dienstliche E-Mails gespeichert werden dürfen. Ein Mitarbeiter widerruft seine Einwilligung. Nach Art. 6 Abs. 1 lit. c DSGVO iVm. mit § 257 Abs. 1 Nr. 2, 3, Abs. 4 HGB müssen jedoch Handelsbriefe 6 Jahre aufbewahrt werden. Die Mustermann GmbH kann daher ihrer gesetzlichen Aufbewahrungspflicht nicht nachkommen, da ein Wechsel der Rechtsgrundlage im Nachhinein nicht möglich ist.

Ich empfehle daher, mithilfe des Verarbeitungsverzeichnisses zu überprüfen, ob bestehende Einwilligungen durch andere Rechtsgrundlagen ersetzt werden können.

Die Guidelines 05/2020 on consent under Regulation 2016/679 des EDPB, abrufbar in englischer Sprache unter https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

Rechtsanwalt Robert Harzewski