Cookie Consent Tools: LG Rostock schiebt „Nudging“ einen Riegel vor

Der Europäische Gerichtshof (EuGH) und der Bundesgerichtshof (BGH) hatten zuletzt entschieden, dass für das Setzen von Cookies zu Tracking- und Marketingzwecken eine aktive Einwilligung des Website-Nutzers erforderlich ist. In Detailfragen ließen die Urteile jedoch einigen Gestaltungsspielraum. Das Landgericht Rostock setzt diese Rechtsprechung nun in einem aktuellen Urteil fort, schließt jedoch einige Lücken und macht Website-Betreibern das Leben dadurch ein bisschen schwerer.

Continue reading

Schwerwiegender Datenschutzverstoß: 35,3 Mio. Euro Bußgeld gegen H&M

Aufgrund massiver Datenschutzverstöße gegenüber den eigenen Mitarbeitern durch die H&M Hennes & Mauritz Online Shop A.B. & Co. KG, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein Bußgeld von über EUR 35.000.000.00 erlassen. Das Unternehmen sammelte über Jahre Informationen zu den privaten Lebensumständen von über hundert Angestellten. In sogenannten „Welcome-Back-Talks“, sowie in Einzel- und Flurgesprächen wurden unter anderem Informationen zu Krankheitssymptomen und Diagnosen der Mitarbeiter erlangt und teilweise aufgezeichnet.

Ein Gastbeitrag unseres studentischen Mitarbeiters Benjamin Diez.

Continue reading

AG Schwetzingen: Anwaltskosten für DGSVO-Auskunft auch ohne Verzug zu erstatten

Im Zuge eines Verfahrens wegen der unerlaubten Zusendung von Werbemails hat das Amtsgericht Schwetzingen der Klägerin den Ersatz von Rechtsanwaltskosten für die Geltendmachung des datenschutzrechtlichen Auskunftsersuchens nach Artikel 15 DSGVO zugesprochen (Urteil vom 19.08.2019, Az 4C 44/19). Ein derartiger Kostenersatz wird im Allgemeinen nur bei Verzug oder aufgrund einer Rechtsverletzung gewährt.

Continue reading

EuGH kippt Privacy Shield

Am 16. Juli 2020 hat das höchste europäische Gericht in der Rechtssache Maximilian Schrems gegen Facebook und die irische Datenschutzbehörde (C-311/18) sein Urteil gesprochen. Das dem Rechtsstreit zugrunde liegende US-EU-Datenschutzabkommen wurde für unwirksam erklärt und die Anforderungen an Unternehmen, die sich der Standarddatenschutzklauseln (SCC) bedienen, wurden verschärft.

Continue reading

BGH urteilt zu Cookie-Verwendung: aktive Einwilligung der Nutzer erforderlich

Der EuGH hatte bereits im Oktober 2019 mit der Entscheidung Az. C-673/17 vorgelegt und nun hat der BGH in seiner aktuellsten Entscheidung vom 28. Mai 2020 I ZR 7/16 zur „Cookie-Thematik“ für Recht erkannt, dass Website-Betreiber die aktive Einwilligung der Nutzer benötigen, wenn sie Cookies zur Speicherung und Analyse des Nutzerverhaltens auf ihrer Seite setzen wollen.

Continue reading

Pflicht zur Benennung eines Datenschutzbeauftragten

Im November 2019 wurden die deutschen Datenschutzregelungen an die Vorgaben der europäischen Datenschutzgrundverordnung (DS-GVO) angepasst. Eine der wichtigsten Änderungen betraf das Bundesdatenschutzgesetz (BDSG): Erst ab 20 Mitarbeitern, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Continue reading

Facebook-Fanpages im Widerspruch zum Datenschutzrecht

Mit Urteil vom 11.09.2019 – 6 C 15.18 befasste sich das BVerwG mit der Frage, ob ein Fanpage-Betreiber bei Facebook verpflichtet werden kann, seine Seite zu deaktivieren, wenn die digitale Infrastruktur der Internetplattform schwerwiegende datenschutzrechtliche Mängel aufweist. Es liegen noch keine Entscheidungsgründe vor. Aus der Pressemitteilung jedoch ergibt sich, dass das Schließen von Fanpages den Seitenbetreibern auferlegt werden kann. Allerdings trug das Urteil nur wenig zu dem wesentlichen Aspekt der Streitigkeit bei: Wie kann die Verpflichtung, Fanpages zu schließen, verhindert werden?

Continue reading

Neue Vorgaben der Datenschutz-Aufsichtsbehörden zu Tracking und Cookies

Die Konferenz der Datenschutz-Aufsichtsbehörden in Deutschland (DSK) hatte im letzten Jahr für Verunsicherung bei Website-Betreibern gesorgt, als sie sich in einem Positionspapier – relativ undifferenziert – auf den Standpunkt stellte, Tracking-Mechanismen (z.B. Cookies, Tracking-Pixel etc.) seien nur nach vorheriger Einwilligung des Website-Nutzers zulässig.

Da dieser Standpunkt (jedenfalls ohne jegliche Differenzierung) aus Sicht der meisten Experten zu streng war, wurde diese Vorgabe in der Praxis bisher kaum umgesetzt (und auch nicht geahndet). Die meisten Unternehmen, die auf ihrer Website Tracking-Dienste einsetzen, verwenden aktuell sogenannte „Cookie-Banner“ (Einblendung beim Aufruf der Website, z.B. „Unsere Website verwendet Cookies. Durch die Nutzung unserer Website erklären Sie sich mit der Speicherung von Cookies einverstanden.“).

Nun hat die DSK ihre Vorgaben zur Verwendung von Tracking-Mechanismen in einer neuen Orientierungshilfe konkretisiert und differenziert. Die Orientierungshilfe können Sie hier abrufen.

Continue reading

Aufgepasst! Google ändert verantwortlichen Dienstanbieter in Europa

Kürzlich hat Google eine wichtige Änderung des Service-Modells angekündigt. Die Bereitstellung einiger Dienste für den Europäischen Wirtschaftsraum (EWR) und die Schweiz wird ab 2019 die Tochtergesellschaft Google Ireland Limited übernehmen. Bisher war der verantwortliche Dienstanbieter dieser Dienste die Google LLC. mit Sitz in den USA. Die Änderungen sind am 22. Januar 2019 in Kraft getreten. Continue reading

Sind Facebook-Seiten noch legal – Die gemeinsame Verantwortlichkeit von Facebook und Seitenbetreibern

Anfang Juni 2018 entschied der Europäische Gerichtshof (EuGH), dass die Betreiber von Facebook-Seiten neben Facebook für die datenschutzrechtlichen Belange verantwortlich sind. Nach diesem, viel diskutierten und bereits als Todeserklärung für Facebook-Seiten betitelten, Urteil (Az:  C‑210/16 vom 05.06.2018) geschah erst einmal lange gar nichts.

Am 05.09.2018 hielt die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in einem Beschluss fest, dass Facebook-Seiten in der zu diesem Zeitpunkt aktuellen Fassung rechtswidrig seien, da zwischen Facebook und dem Seitenbetreiber ein sog. „joint-controller-Vertrag“ vorliegen muss, der klärt, wer die Pflichten aus der Datenschutzgrundverordnung (DSGVO) übernimmt. Continue reading