[Update 10.04.2021] Datenschutzaspekte bei der Nutzung von Zoom (Videokonferenzen) und Alternativen

Inhalt:

  1. Datenschutzrechtliche Aspekte bei Zoom u.a. Videokonferenzsystemen
    1.0 [Update 15.02.2021] Orientierungshilfe „Videokonferenzsysteme“ der Deutschen Datenschutzkonferenz [/Update]
    1.1. [Update 18.02.2021] Kurzprüfung von Videokonferenzdiensten – BlnBDI veröffentlicht Ergebnisse [/Update]
    1.2. [Update 29.05.2020] Das Kurzgutachten der Berliner Beauftragten für den Datenschutz und die Inforamtionsfreiheit [/Update]
    1.3. [Update 10.04.2021] Links zu verschiedenen Artikel zu Videokonferenzen im Allgemeinen und zur Zoom-Thematik im Besonderen[/Update]
  2. Alternativen
    2.1. Jitsi-Meet
    2.2. [Update 23.05.2020] Nextcloud Talk [/Update]
    2.3 whereby
    2.4 RED Connect Videosprechstunde (kostenlos für ÄrztInnen und RechtsanwältInnen)
  3. LfDI Baden-Württemberg: Datenschutzfreundliche technische Möglichkeiten der Kommunikation
  4. Digitale Konferenzen – Anleitung der studentischen Initiative #gnuHU zum Abhalten digital-nachhaltiger Konferenzen mittels Freier Software

Da die Nutzung von Zoom für Videokonferenzen auf Grund der aktuellen Lage immer häufiger erfolgt und sich die Frage nach einem datenschutzkonformen Einsatz dieser Software stellen, habe ich hier mal einige Informationen zusammengestellt.

nach oben

1. Datenschutzrechtliche Aspekte bei Zoom

Da gibt es zum Einen den hilfreichen Artikel von Stephan Hansen-Oest (Rechtsanwalt & Fachanwalt für IT-Recht): Externer LinkDatenschutz-Tipps 6/2020: Muster, Anleitungen & Co. für Online-Meetings via ‚zoom‘“. Damit lassen sich zumindest mal einige grundlegende formale Datenschutzvorgaben umsetzen. Zum Anderen hat Stephan Hansen-Oest einen inzwischen öfters aktualisierten Blogbeitrag mit dem Titel Externer LinkHilfe…ist „Zoom“ etwa eine Datenschleuder?“, in dem er zum Schluß kommt, dass Zoom keine Datenschleuder sei.

Allerdings würde ich der Aussage von RA Hansen-Oest nur noch sehr bedingt zustimmen, seitdem ich den vice-Artikel Externer LinkZoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account“ und den Heise-Artikel Externer LinkBericht: Zoom-App für iOS reicht Daten heimlich an Facebook weiter“ gelesen habe. Zoom hat in seinem Externer Link Blogbeitrag „Zoom’s Use of Facebook’s SDK in iOS Client“ erklärt, dass es sich bei der Datenweitergabe um einen Fehler handelte, der in der aktuellen Version für iOS beseitigt sei (vgl. auch den Heise.de-Beitrag: Externer LinkZoom beendet Datenweitergabe der iOS-App an Facebook“). Es war dann aber ein ziemlich eklatanter Fehler, der den EntwicklerInnen vor der Veröffentlichung der entsprechenden Version hätte auffallen müssen. Ich bin mal gespannt, ob Zomm die nun gemäß Art. 33 DSGVO erforderliche Meldung an die Datenschutzaufsichtsbehörde vornimmt. Zoom hat auch in Europa Kontaktadressen (auf der Seite etwas nach unten scollen), in Frankreich („Zoom France“) könnte es sich sogar um eine Niederlassung handeln, diese müsste dann die Meldung vornehmen.

nach oben

1.0. [Update 15.02.2021] Orientierungshilfe „Videokonferenzsysteme“ der Deutschen Datenschutzkonferenz [/Update]

„Die vorliegende Orientierungshilfe erläutert datenschutzrechtliche Anforderungen an die Durchführung von Videokonferenzen durch Unternehmen, Behörden und andere Organisationen.“ (Quelle: Orientierungshilfe „Videokonferenzsystem“, Seite 4)

nach oben

1.1. [Update 18.02.2021] Kurzprüfung von Videokonferenzdiensten – BlnBDI veröffentlicht Ergebnisse [/Update]

18.02.2021: „Mehr Ampeln auf Grün – Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat ihre Hinweise zu datenschutzgerechten Videokonferenzdiensten aktualisiert.“

03.07.2020: „Die Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlicht die Ergebnisse einer Kurzprüfung von Videokonferenzdiensten für Berliner Verantwortliche.“

nach oben

[Update 29.05.2020]
1.2. Das Kurzgutachten der Berliner Beauftragten für Datenschutz und Informationsfreiheit (Externer LinkBlnBDI)

Über eine Externer LinkAnfrage auf der Plattform „Frage den Staat“  wurde ein Kurzgutachten vom 23. April 2020 zum Vertrag zur Auftragsverarbeitung (Auftragsverarbeitungsvertrag, AVV) bekannt. Dieses wurde in der Behörde der  BlnBDI erstellt. Der Titel des Gutachtens lautet: „Videokonferenzdienste: Prüfung des AVV der Zoom Video Communications, Inc.“ Der Titel hält allerdings nicht ganz, was er verspricht, denn die oder der AutorIn des Gutachtens hat keine vollständige Prüfung des Externer LinkGlobal Data Processing Addendum“ von Zoom durchgeführt, „da bereits bei einer Kurzprüfung (..) teilweise schwerwiegende Verstöße gegen das Datenschutzrecht aufgefallen sind“. In dem Externer Link Gutachten sind dann immerhin sieben Punkte aufgeführt, die den oder die AutorIn bei der Firma Zoom Video Communications, Inc.zweifeln lässt,

„ob es sich um einen Auftragsverarbeiter handelt, der hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 Abs. 1 DS-GVO)“

Aber lesen Sie selbst: Externer Linkhttps://fragdenstaat.de/dokumente/4380/

nach oben

[Update 10.04.2021]
1.3. (Externer Linkexterne) Links zu verschiedenen Artikel zu Videokonferenzen im Allgemeinen und zur Zoom-Thematik im Besonderen

Wenn ich das so lese, kann wohl niemand den Einsatz von Zoom in sensiblen Bereichen oder in Bereichen, in denen die Vertraulichkeit der Inhalte der Videokonferenz wesentlich ist, guten Gewissens empfehlen.
[/Update]

Zudem kommt, dass, wie RA Hanse-Oest selbst schreibt, die deutsche Übersetzung der Datenschutzerklärung ziemlich schlecht sei (und damit m.E. nicht den Anforderungen des Art. 12 DSGVO entspricht). Auch wird kein in der EU ansäßiger Vertreter gemäß Art. 27 DSGVO benannt, obwohl die Zoom VIdeo Communications Inc. m.E. hierzu verpflichtet wäre, da sie ihre Dienstleistungen auch an EinwohnerInnen in der EU anbietet und – je nach Einstellung – auch das Verhalten der NutzerInnen mit Hilfe der – in manchem Kontext nicht nur sinnvollen sondern sogar erforderlichen – Aufmerksamkeitsüberwachung überwacht und daher die Voraussetzung für die Anwendungen des Marktortprinzips aus Art. 3 Abs. 2 DSGVO gegeben sind.

Zusammendfassend bin ich nach wie vor der Meinung, dass der Einsatz von Zoom zumindest sehr kritisch zu sehen ist.

2. Alternativen

Digitalcourage nennt im Blogbeitrag Externer LinkVernetzt bleiben trotz Corona – datensparsame Tools fürs Homeoffice“ u.a. Jitsi-Meet und Nextcloud Talk als datensparsame Alternativen. Daneben gibt es auch andere kommerzielle Videokonferenzanbieter, die datenschutzfreundlich sind und ihren Sitz in der EU oder dem Europäischen Wirtschaftsraum (EWR) haben.

nach oben

2.1. Jitis-Meet

Zu Externer LinkJitis-Meet habe ich auf die Schnelle zwei deutsche Kurzanleitungen zur Installation gefunden:

Darüberhinaus gibt es noch die englische Externer LinkOriginal-Installationsanleitung.

Im oben genannten Externer LinkBlogbeitrag von Digitalcourage sind allerdings auch einige öffentliche jitsi-Meet-Server genannt, die ohne Anmeldung – und ohne Installation der Jitsi-Meet-Serversoftware – direkt via „click and play“ im Browser benutzt werden können.

nach oben

2.2. Nextcloud Talk

Externer LinkNextcloud Talk ist besonders für Firmen und Institutionen interessant, die bereits Nextcloud im Einsatz haben. Auch für Nextcloud gibt es eine Externer LinkInstallationsanleitung, wenn mensch es auf seinem eigenen Server betreiben will.

Wie das Externer Linkix magazin (auf heise.de) am 22.05.2020 um 15:15 Uhr berichtet, stellt Nextcloud sein High-Performance Back-End nun unter Open-Source-Lizenz. Zudem kommen mit der Version 9 mehrere neue Funktionen für Nextclouds Talk. Das High-Performance Back-End ist für Videokonferenzen von 10 bis 50 TeilnehmerInnen gedacht.

nach oben

2.3 whereby

Eine weitere Alternative ist Externer Linkwhereby, dies ist ein Videokonferenzdienst der norwegischen Firma Video Communication Services AS mit Sitz in Norwegen. Das ist zwar nicht in der EU, aber immerhin im Europäischen Wirtschaftsraum (EWR), auch dort ist die DSGVO anzuwenden. Bei whereby werden kostenlose Videomeeetings für bis zu vier TeilnehmerInnen angeboten, die kostenpflichtige Pro-Version erlaubt bis zu 12 Video-Konferenz-TeilnehmerInnen, bei der teureren Business-Version sind zusätzlich bis zu 38 Audio-TeilnehmerInnen möglich.

nach oben

2.4. RED connect Videosprechstunde

Die RED connect Videosprechstunde wird von der Firma RED Medical Systems GmbH für ÄrztInnen – und zu Zeiten von Corona – auch für RechtsanwältInnen kostenlos angeboten.

nach oben

3. LfDI Baden-Württemberg: Datenschutzfreundliche technische Möglichkeiten der Kommunikation

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) schreibt in seinem Externer Linkaktuellen Beitrag vom 27.03.2020 (Hervorhebung von mir):

Datenschutzfreundliche technische Möglichkeiten der Kommunikation (insbesondere Videokonferenzsysteme)
Zusammenfassung

Angesichts der aktuellen Situation um Covid-19 stehen datenschutzrechtlich Verantwortliche vor der Aufgabe, technische Möglichkeiten der Online-Kommunikation einzuführen oder auszuweiten. Hierbei stellen sich auch einige Herausforderungen bei der Einhaltung geltender Datenschutzgesetze.

Bei der Auswahl von Video- oder Telefonkonferenzsystemen sollte aus technischer Sicht darauf geachtet werden, dass der Anbieter weder Metadaten (wer hat wann mit wem kommuniziert) noch die Inhaltsdaten der Kommunikation für eigene Zwecke auswertet oder an Dritte weitergibt. Dies können datenschutzrechtlich Verantwortliche am besten sicherstellen, wenn sie oder ihr Dienstleister (im öffentlichen Bereich sind das z.B. BITBW bei Landesbehörden oder ITEOS bei Kommunen) eine entsprechende Softwarelösung „On-Premises“ – also im eigenen Rechenzentrum – bereitstellen oder aufbauen. Dadurch ist es möglich, alle Datenflüsse und Datenerhebungen selbst zu kontrollieren. Dazu bieten sich zahlreiche Lösungen auf Basis von Open-Source-Software an (z.B. Nextcloud Talk, Jitsi Meet, RocketChat oder Matrix), die prinzipiell datenschutzgerecht einsetzbar sind.“

Details weiterlesen: Externer Linkhttps://www.baden-wuerttemberg.datenschutz.de/datenschutzfreundliche-technische-moeglichkeiten-der-kommunikation/

nach oben

4. Digitale Konferenzen – Anleitung der studentischen Initiative #gnuHU zum Abhalten digital-nachhaltiger Konferenzen mittels Freier Software

Auf der Webseite https://hu.berlin/FreieKonferenzen finden sich verschiedene Lösungsvorschläge zum „zum Abhalten digital-nachhaltiger Konferenzen mittels Freier Software“. Dabei werden für unterschiedliche Szenarien unterschiedliche Lösungsansätze vorgeschlagen. Einer der Lösungsansetze ist ein selbstgehosteter BigBlueButton-Server. Die Software hierzu ist unter https://github.com/bigbluebutton/bbb-install zu finden.

Der Kurzlink für diese Seite ist: https://ds-exp.de/zoomDS
Veröffentlicht unter DSGVO-Allgemein | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , | 4 Kommentare

Corona-Virus und Datenschutz

Ich habe eine kleine Zusammenstellung zum Thema Corona-Virus und Datenschutz erstellt. Diese hat folgende Inhalte:

  1. Umgang mit Beschäftigtendaten im Zusammenhang mit der Ausbreitung des Coronavirus
  2. Homeoffice und die Anforderungen an den Datenschutz
    2.1. Richtlinie zum Homeoffice bzw. zur Telearbeit
    2.2. Sensibilisierung der MitarbeiterInnen in Bezug auf Datenschutz im Homeoffice
    [Update 25.03.2020] Plötzlich im Homeoffice – und der Datenschutz?
    Die Landesbeauftragte für Datenschutz Schleswig-Holstein informiert auf ihrer Website und mit einer Broschüre als PDF-Datei. [/Update]
  3. Links zu allgemeinen Infos zum Coronavirus inkl. Links zu Allgemeinverfügungen etc.
    Diese Links finden Sie unter: Externer Link https://covid-19.wh61.de/wp/

Sie finden diese Zusammenstellung hier als PDF-Datei (http://dsgvo.expert/wp/wp-content/uploads/2020/03/2020-03-25-Datenschutz_und_Coronavirus.pdf)

Zudem biete ich Datenschutzunterweisungen für Ihre MitarbeiterInnen an. Diese sind auf Ihr Unternehmen zugeschnittene Live-Webinare, die etwa – inkl. Zeit für Rückfragen – eine Stunde dauern. In kleinen Gruppen (maximal 14 TeilnehmerInnen) werden Ihre MitarbeiterInnen für die besonderen Datenschutz- und Datensicherheitsanforderungen im Homeoffice sensibilisiert. Gerne erstelle ich Ihnen ein individuelles Angebot (Kontakt:  https://datenschutzwissen.de/wp/kontakt/)

Der Kurzlink für diese Seite ist: https://ds-exp.de/zrlh7
Veröffentlicht unter Allgemeines, DSGVO-Allgemein | Verschlagwortet mit , , | 2 Kommentare

ePrivVO: Neuer Text für die EU-ePrivacy-Verordnung veröffentlicht

Der Externer Link Vorsitz des EU-Rats (auch Externer Link EU-Ratspräsidentschaft genannt) hat am 21. Februar 2020 eine stark Externer Link überarbeitete Version der Artikel 6 bis 8 des Entwurfs der EU-ePrivacy-Verordnung (ePrivVO) veröffentlicht. Dieser Text soll nach Vorstellung des Vorsitzes in zwei Sitzungen der Externer Link Arbeitsgruppe „Telekommunikation und Informationsgesellschaft“ des Rats der EU (WP TELE) am 05. und 12. März 2020 behandelt werden.

Am 05. März 2020 hat der Vorsitz des EU-Rats vor, der Arbeitsgruppe die vorgeschlagenen Änderungen vorlegen. In diesem Treffen sollen die Delegationen auch die Möglichkeit haben, zusätzliche Erklärungen oder Erläuterungen anzufordern und ihre ihre ersten Reaktionen auf den Kompromissvorschlag zu äußern.

Für die Sitzung am 12. März 202 sieht der Vorsitz des EU-Rats eine Artikel-für-Artikel-Prüfung der geänderten Bestimmungen vor und möchte die Delegationen einladen, ihre Position zu den Änderungen darzulegen und erforderlichenfalls weitere Vorschläge für den Text zu verfassen. Der Vorsitz möchte den Delegationen auch signalisieren, dass er derzeit über mögliche Änderungen anderer Bestimmungen nachdenkt, beispielsweise in Bezug auf den Geltungsbereich, und beabsichtigt, Anfang März ein zusätzliches Dokument herauszugeben, das ebenfalls während des Treffens am 12. März 2020 erörtert werden soll.

[UPDATE 11.02.2021] Der Europäische Rat hat seine Entwurfsfassung beschlossen. Eine Synopse der Entwurfsfassungen der Europäischen Kommission, des Europäischen Parlaments und des Europäischen Rats habe ich erstellt. [/Update]

 

 

Der Kurzlink für diese Seite ist: https://ds-exp.de/eP0220
Veröffentlicht unter E-Privacy | Verschlagwortet mit , , | Kommentare deaktiviert für ePrivVO: Neuer Text für die EU-ePrivacy-Verordnung veröffentlicht

[Update 28.05.2020] Urteilsverkündung des BGH im „Cookie-Verfahren“ am 28. Mai 2020

[Update 28.05.2020] Einen ersten Beitrag zum BGH-Cookie-Urteil vom 28. Mai 2020 finden Sie hier. [/Update]

Wie der Externer Link Terminankündigungseite des Bundesgerichtshofs (BGH) zu entnehmen ist, findet die Externer Link Verkündung des Urteils in Sachen I ZR 7/16 (Einwilligung in die Speicherung von Cookies) am Donnerstag, 28. Mai 2020 um 09:00 Uhr statt.

Nachdem der EuGH in dem vom BGH angestrengten Vorabentscheidungverfahren am 01. Oktober 2019 sein Urteil (das sogenannte EuGH-Cookie-Urteil oder auch EuGH-Planet49-Urteil) verkündet hatte, fand die entsprechende mündliche Verhandlung des BGH in diesem Verfahren am 30. Januar 2020 statt.

 

Der Kurzlink für diese Seite ist: https://ds-exp.de/MiAqU
Veröffentlicht unter BGH, DSGVO-Allgemein, E-Privacy, Urteile | Verschlagwortet mit , , , , , , , , | Kommentare deaktiviert für [Update 28.05.2020] Urteilsverkündung des BGH im „Cookie-Verfahren“ am 28. Mai 2020

2. DSAnpUG-EU und DSUmsAG-EU heute im Bundesgesetzblatt veröffentlicht

Heute wurde das „Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (U) 2016/679* und zur Umsetzung der Richtlinie (EU) 2016/680** (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU)“ sowie das „Gesetz zur Umsetzung der Richtlinie (EU) 2016/680** um Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679*“ (Datenschutz-Umsetzungs- und Anpassungsgesetz EU – DSUmsAG***) im Bundesgesetzblatt Teil I Nr. 41 (https://www.bgbl.de/xaver/bgbl/start.xav#__bgbl__%2F%2F*%5B%40attr_id%3D%27I_2019_41_inhaltsverz%27%5D__1574679770668) veröffentlicht. Damit treten die Änderungen des BDSG morgen, am 26. November 2019 in Kraft.

*) EU-Datenschutz-Grundverordnung – DSGVO
**) EU JI-Richtlinie
***) Diese Kurzform und diese Abkürzung sind vom Autor eingefügt und kein Teil des offiziellen Titels des Gesetzes, während das „2. DSAnpUG-EU“ offiziell so abgekürzt wird.

Der Kurzlink für diese Seite ist: https://ds-exp.de/FOORR
Veröffentlicht unter Anpassung in Deutschland, BDSG-neu, DSGVO-Allgemein | Verschlagwortet mit , , , , | Kommentare deaktiviert für 2. DSAnpUG-EU und DSUmsAG-EU heute im Bundesgesetzblatt veröffentlicht

Das „EuGH-Cookie-Urteil“ vom 01. Oktober 2019 („Planet49-Urteil“)

[Update 30.11.2019] Stellungnahmen der Datenschutz-Aufsichtsbehörden ergänzt (s.u.)
[Update 28.05.2020] Den Beitrag zum BGH-Urteil vom 28. Mai 2020 im „Cookie-Verfahren“ finden Sie hier.
[/Updates]

Eine Woche ist es nun schon her, das sogenannte „EuGH-Cookie-Urteil“ (oder auch „Planet49-Urteil“ genannt). Dieses  Urteil sowie eine vom Europäischen Gerichtshof (EuGH) erstellte Zusammenfassung des Urteils finden Sie unter Externer Link http://curia.europa.eu/juris/documents.jsf?num=C-673/17.

Das Urteil erging in einem Vorabentscheidungsverfahren. In einem vor dem Bundesgerichtshof (BGH) anhängigen Rechtsstreit des Verbraucherzentrale Bundesverband e. V. gegen die Planet49 GmbH hat der BGH dem EuGH einige Fragen zur Einwilliung in die Nutzung eines Werbecookies vorgelegt.

Wie hat der EuGH entschieden?

Zusammenfassend und kurz lässt sich hier sagen:

  • Ein vorangekreuztes Kästchen zur Einholung der Einwilligung ist keine wirksame Einwilligung.
  • Für die Nutzung von Werbecookies ist nach Art. 5 Abs. 3 ePrivacy-Richtlinie eine wirksame Einwilligung durch die Nutzerin bzw. den Nutzer Voraussetzung.

Wird jetzt für jedes Cookie eine Einwilligung benötigt?

Nein, nicht für jedes Cookie. So bedarf es für technisch unbedingt erforderliche Cookies (hierzu gehören z.B. Cookies für einen Warenkorb, sofern dieses nach Ende der Sitzung gelöscht werden) keiner Einwilligung der NutzerInnen. Für alle anderen Cookies ist in strikter Anwendung des Art. 5 Abs. 3 noch geltenen ePrivacy-Richtlinie (ePrivRL, Richtlinie 2002/58/EG in der Fassung der RICHTLINIE 2009/136/EG – Cookie-Richtlinie) eine wirksame Einwilligung erforderlich.

Welche Anforderungen werden an eine wirksame Einwilligung gestellt?

Für die Anforderungen an eine wirksame Einwilligung im Sinne der ePrivacy-Richtline sind seit dem 25. Mais 2018 die Anforderungen aus den Art. 7 und 8 der EU-Datenschutz-Grundverordnung (DSGVO) maßgebend. Hierzu gehören insbeisondere die vorherige Information der NutzerInnen und dass die Einwilligung eine aktive Handlung ist.

Was ist zu tun?

Sofern Sie auf Ihrer Website andere als nur technisch unbedingt erforderliche Cookies einsetzen, sollten Sie für diese Cookies eine wirksame Einwilligung einholen. Ein Cookiebanner, der nur „OK“ oder „akzeptiert“ als einzige Möglichkeit zu Anklicken anbieten stellt keine wirksame Einwilligung dar. Es muss die Möglichkeit geben, die nicht technisch unbedingt erforderlichen Cookies abzulehnen und trotzdem die Website zu besuchen.

Und was ändert sich mit der ePrivacy-Verordnung?

Das läßt sich derzeit noch nicht sicher sagen. Im derzeitigen Entwurfsstand findet sich in Art. 8 des Entwurfs der ePrivacy-Verordnung (ePrivVO) eine Nachfolgeregelung für Art. 5 Abs. 3 ePrivRL. Dabei bezieht sich Art. 8 ePrivVO-Entwurf aber nicht nur auf Cookies, sondern auch andere Methoden, mit denen eine Identifizierung des Endgerätes erforderlich ist. Sofern das Cookie oder der Abruf von Informationen zu Hard- und Software nicht technisch unbedingt erforderlich bedarf es Grundsätzlich der Einwilligung der NutzerInnen. Es gibt zwar einige Ausnahmen, aber die Nutzung von Werbecookies oder der Hard- und Software-Informationen zum Tracking gehört nicht zu den genannten Ausnahmen.

Wollen Sie sich ausführlicher informieren?

Wenn Sie sich ausführlicher informieren wollen (z.B. darüber, welche Arten von Cookies datenschutzrechtlich zu unterscheiden sind), empfehle ich Ihnen das von mir erstellte eBook Externer Link Das „Cookie-Urteil“ des EuGH vom 01.10.2019 – Stellungnahme und Empfehlungen, das im Externer Link EfWeHa-Verlag erschienen ist. Es enthält auch ausführliche Informationen zum Urteil und meine Zusammenfassung des Urteils. Weitere Informationen zu diesem eBook (mit Inhaltsverzeichnis, kurzer Leserobe) und die Bestellmöglichkeit finden Sie unter Externer Link https://efweha-verlag.de/bd50
(ISBN 978-3-95546-050-1, eBook (PDF-Datei), 36 Seiten DIN A5, 4,90 €)

[Update 30.11.2019] Stellungnahmen der Datenschutz-Aufsichtsbehörden zum EuGH „Cookie-Urteil“ („Planet49-Urteil)

Nachfolgend ist jeweils die Pressmitteilung (Webseite oder PDF-Datei, je nach Angebot) zum „Cookie-Urteil (bzw. „Planet49-Urteil“ verlinkt. Die Links öffnen sich beim Anklicken in einem neuen Tab oder Fenster.

Im Mai 2019 hat die Deutsche Datenschutzkonferenz eine – auf Grund von der Rückmeldungen aus einem Konsultationsverfahren überarbeitete Version der im April 2018 erstmals herausgegebenen  „Orientierungshilfe für Anbieter von Telemedien“ veröffentlicht. Diese beschäftigt sich ebenfalls mit der mangelhaften Umsetzung der im Jahr 2009 erfolgten Änderungen in deutsches Recht und der Erforderlichkeit von Einwilligungen für Cookies, die dem Werbetracking dienen. [/Update]

Der Kurzlink für diese Seite ist: https://ds-exp.de/Cookie
Veröffentlicht unter DSGVO-Allgemein, E-Privacy, EuGH, Urteile | Verschlagwortet mit , , , , , , , , , , , , | Kommentare deaktiviert für Das „EuGH-Cookie-Urteil“ vom 01. Oktober 2019 („Planet49-Urteil“)

Bundesdatenschutzgesetz (BDSG) mit den aktuellen Änderungen veröffentlicht

Wie in meinem Newsletter vom 25. September 2019 beschrieben, hat der Bundestag dass 2. Datenschutzanspassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) am 27. Juni 2019 beschlossen und der Bundesrat am 20. September 2019 dem Gesetz zugestimmt.

Damit tritt nach Unterschrift durch den Bundespräsidenten und Veröffentlichung im Bundesgesetzblatt die Änderung des Bundesdatenschutzgesetztes (BDSG) durch Art. 12 des 2 .DSAnpUG-EU am Tag nach der Verkündung  in Kraft.

Hier finden Sie bereits jetzt die geänderte Fassung des BDSG: BDSG-2019-09-20.pdf

Die Seite zum neuen BDSG (https://dsgvo.expert/BDSG-neu) wurde auch entsprechend aktualisiert.

[Update 27.09.2019] Auch die Externer Link Synopse mit den Artikeln der DSGVO, de Erwägungsgründen und den Paragraphen des BDSG wurde aktualisiert:
Externer Link https://efweha-verlag.de/bd41 [/Update]

Der Kurzlink für diese Seite ist: https://ds-exp.de/VkbfK
Veröffentlicht unter Anpassung in Deutschland, BDSG-neu, Broschüre, Material | Kommentare deaktiviert für Bundesdatenschutzgesetz (BDSG) mit den aktuellen Änderungen veröffentlicht

Änderung des BDSG und anderer Gesetze – Aus 10 wird 20

Deutsche Regelung zur Benennungspflicht für betriebliche Datenschutzbeauftragte wird geändert

Das 2. DSAnpUG-EU (Datenschutz-Anpussungs-und Umsetzungsgesetz EU) wurde ebenso wie das DSUmsAnpG-EU (Datenschutz-Umsetzungs- und Anpassungsgesetz EU) am 27. Juni 2019 vom Bundestag in der Fassung der Ausschussempfehlungen verabschiedet (vgl. Link zum Bundestagsasusschuss). Mit diesen Gesetzen werden neben dem am 25. Mai 2018 in Kraft getretenen neuen Bundesdatenschutzgesetz (BDSG) viele weitere Gesetze an die EU-Datenschutz-Grundverordnung (DSGVO) angepasst. Des weiteren werden viele Gesetze zur Umsetzung der sogenannte EU-JI-Richtlinie (Richtlinie (EU) 2016/680, PDF-Datei) geändert.

Beide Gesetze bedürfen aber noch der Zustimmung des Bundesrates. Es ist allerdings davion auszugehen, dass dies nur noch eine Formsache ist. Die nächste Sitzung des Bundesrates ist nach der aktuellen Planung erst am 20. September 2019.

Änderung des § 38 BDSG

Eine wesentliche Änderung ist die Änderung des § 38 BDSG. Hierzu heißt es in der vom Bundestag beschlossenen Fassung:
„In § 38 Absatz 1 Satz 1 wird das Wort „zehn“ durch die Angabe „20“ ersetzt.“

In der Begründung der Ausschussempfehlung des Bundestagssausschusses für Inneres und Heimat zum 2. DSAnpUG-EUheißt es hierzu lapidar:
„In § 38 Absatz 1 Satz 1 wird die maßgebliche Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, von 10 auf 20 angehoben. Angestrebt wird damit vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine.“
Dabei wird verkannt, dass auch ohne Pflicht zur Benennung einer oder eines betrieblichen Datenschutzbeauftragten alle Umsetzungsaufgaben nach wie vor zu erledigen sind, auch von KMU und Vereinen. Es gibt ohne betrieblichen Datenschutbeauftragte in diesen Unternehmen und Vereinen meist niemanden mehr, der die zur effizienten Umsetzung  erforderlich Fachkunde hat. Im Endeffekkt wird sich hier vermutlich der Aufwand für die betroffenen Unternehmen und Vereine eher erhöhen.

Die weiteren Schritte sind: Zustimmung des Bundesrates, Unterzeichnung durch den Bundespräsidenten und Verkündung im Bundesgesetzblatt. Ab dem Tag nach der Verkündung (Inkrafttreten des 2. DSAnpUG-EU) lautet der § 38 BDSG dann

„(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“

Für alle betrieblichen Datenschutzbeauftragten, die in Betrieben, Vereinen oder anderen Einrichtungen benannt sind, die nicht mehr unter die Benennungspflicht fallen, fällt damit auch von einem Tag auf den anderen der Kündigungsschutz aus § 6 Absatz 4 BDSG fort.

 

Der Kurzlink für diese Seite ist: https://ds-exp.de/10-20
Veröffentlicht unter Anpassung in Deutschland, BDSG-neu, Beschäftigtendatenschutz, DSGVO-Allgemein | Kommentare deaktiviert für Änderung des BDSG und anderer Gesetze – Aus 10 wird 20

Konsequenzen aus dem Facebook-Fanpages-Urteil des EuGH

„Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich“

so überschreibt der EuGH in der Pressemitteilung zu seinem Urteil zur Verantwortlichkeit für die Facebook-Fanpages (vgl. meinen Linksammlung zu diesem Urteil vom 07. Juni 2018).

Konsequenzen?

[Update vom 05.09.2018] „Beschluss der dt. Datenschutzkonferenz (DSK) zu Facebook Fanpages: 2018-DSK-Facebook_Fanpages.pdf vom 05. September 2018 – Zitat: „Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“ [/Update]

Aus meiner Sicht ist für die Frage der datenschutzrechlichen Zulässigkeit des Weiterbetriebs von Facebookfanpages insbesondere die Entschließung der Konferenz der
unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 6. Juni 2018 mit dem Titel „Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern“ (hier auch als PDF-Datei) relevant.

Dort steht u.a.

„Im Einzelnen ist Folgendes zu beachten:

  • Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
  • Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
  • Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
  • Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.“

Erst wenn diese vier Bedingungen erfüllt sind – was derzeit m.E. derzeit allerdings nicht möglich ist – ist ein datenschutzkonformer Betrieb von Facebook-Fanpages wieder möglich. Ich verstehe nicht, warum Facebook hier bislang noch nicht reagiert hat und die entsprechenden Informationen und Vereinbarungen bereit gestellt hat.

Daher kann meine Empfehlung nur sein, die Facebook-Fanpage solange zu deaktivieren, bis Facebook zum einen die Vereinbarung für die gemeinsame Verantwortung (gemäß Art. 26 DSGVO) anbietet und die erforderlichen Informationen zur Erfüllung der Informationspflichten aus Art. 13 und 14 bereit stellt.

Hinweis: Das Urteil und weitere Informationen finden Sie unter https://dsgvo.expert/EuGHFBFP

Der Kurzlink für diese Seite ist: https://ds-exp.de/EuGHFBK
Veröffentlicht unter DSGVO-Allgemein, E-Privacy, EuGH, Urteile | Verschlagwortet mit , , , , , , , , , , | Kommentare deaktiviert für Konsequenzen aus dem Facebook-Fanpages-Urteil des EuGH

EuGH-Urteil zu Facebook-Fanpages – Linksammlung

Am 05. Juni 2018 wurde das EuGH-Urteil zur Verantwortung der Betreiber von Facebook-Fanpages veröffentlicht:

„Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich“

so titelt der EuGH selbst in seiner Externer Link Pressemitteilung zu seinem Urteil. In der Pressemiteilung wird u.a. ausgeführt:

"Nach Ansicht des Gerichtshofs kann der Umstand, dass ein 
Betreiber einer Fanpage die von Facebook eingerichtete Platt-
form nutzt, um die dazugehörigen Dienstleistungen in Anspruch 
zu nehmen, diesen nicht von der Beachtung seiner Verpflich-
tungen im Bereich des Schutzes personenbezogener Daten be-
freien."

Anstelle einer inhaltlichen Bewertung finden Sie hier eine Reihe von externen Externer LinkLinks zu diesem Urteil (Links ohne Datum wurden vom 05. – 07. Juni eingestellt):

Europäischer Gerichtshof:

Datenschutzaufsichtsbehörden

Weitere (externe) Links

 

Der Kurzlink für diese Seite ist: https://ds-exp.de/EuGHFBFP
Veröffentlicht unter DSGVO-Allgemein, E-Privacy, EuGH, Pressemitteilung, Urteile | Verschlagwortet mit , , , , , , , , , , , | 1 Kommentar