Google-Analytics DSGVO Schrems IIGoogle Analytics darf - nach Ansicht der österreichischen Datenschutzbehörde (DSB) - nicht auf Internetseiten aus der EU eingesetzt werden. Dies sei mit der Datenschutz-Grundverordnung (DSGVO) nicht in Einklang zu bringen.

Diese - vor dem Hintergrund des Wegfalls des EU-USA Privacy Shields im Juli 2020 (wir berichteten) - wenig überraschende Entscheidung der österreichischen Datenschutzaufsichtsbehörde beruht auf der weit überwiegenden Rechtsansicht, dass die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO verletzt sind, wenn  persönliche Nutzerinformationen an Unternehmen in den USA (hier: die Google-Konzernzentrale) weitergegeben werden. Unerheblich ist, ob US-Konzerne irgendwelche europäischen Tochtergesellschaften formell in die Datenverarbeitungsprozesse eingebunden werden.

Mit dem jetzt veröffentlichten Teilbescheid reagiert die österreichischen Datenschutzaufsichtsbehörde auf eine Beschwerde, der Datenschutzvereinigung NOYB, die bereits im August 2020 eingereicht wurde. Die Beschwerde bezog sich auf den Betreiber einer Internetseite aus Österreich, der Google Analytics eingebunden hatte. Eine weitergehende Beschwerde gegen Google selbst wies die österreichischen Datenschutzaufsichtsbehörde laut Berichten von Heise.de ab. 

Wir werden die Entscheidung der österreichischen Datenschutzaufsichtsbehörde zeitnah juristisch näher prüfen und auf unserem Blog erörtern, welche praktischen Konsequenzen daraus gezogen werden sollten.

Cookiebot Urteil DSGVO CookiebannerDas Verwaltungsgericht Wiesbaden hat in einem Eilverfahren Anfang Dezember 2021 auf Antrag eines Internetnutzers hin im Beschlussweg entschieden, dass die Hochschule Rhein-Main das Cookiebanner des dänischen Anbieters „Cookiebot“ auf ihrer Internetpräsenz aufgrund fehlender Datenschutzkonformität des Cookiebot Cookiebanners nicht nutzen darf. Die Antragsgegnerin kann gegen den Beschluss binnen zwei Wochen noch Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof entscheiden würde.

Als datenschutzwidrig wertete das Verwaltungsgericht dabei, dass beim Laden des Cookiebanners ein sogenanntens „Content Delivery Network“ (auch „CDN“ genannt) des US-amerikanischen Anbieters „Akamai“ eingebunden war. Durch den Einsatz des CDN können die Ladezeiten eines Webservices, hier des Cookiebanners von Cookiebot, reduziert werden. 

Lesen Sie nachfolgend eine Zusammenfassung des Beschlusses des VG Wiesbaden bzgl. des Verbots des Einsatzes von Cookiebot und finden Sie den Volltext des Beschlusses.

security g27aef56f2 640Der Bundestag hat am 20.05.2021 das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) und damit ein neues datenschutzrechtliches Gesetz beschlossen. Das neue Gesetz wird die bisherigen datenschutzrechtlichen Gesetze des TMG und TKG zusammenführen und am 01.12.2021 in Kraft treten.

[UPDATE 22.12.2021]

Erfahren Sie welche neuen rechtlichen Regelungen das TTDSG mit sich bringt. 

2048 1356 maxDie Digitalisierung macht auch vor Kirchen und religiösen Vereinigungen nicht halt. Viele Kirchen, kirchliche Organisationen und Gruppierungen präsentieren sich im Internet und erbringen dort auf Internetseiten ihre Öffentlichkeitsarbeit. Auf den Seiten werden oft Informationen zur eigenen Tätigkeit veröffentlicht und es wird die eigene (diakonische) Arbeit beworben.

Was viele dabei nicht beachten ist, dass für christliche-religiöse Organisationen von der DSGVO und dem BDSG abweichende Rechtsgrundlagen für die Datenverarbeitung, nämlich die des eigenen Kirchendatenschutzrechts, gelten.

Dabei sind die kircheneigenen Regelungen zum Datenschutz zum Teil sogar strenger, als es bei privatrechtlichen Unternehmen und Organisationen der Fall wäre.

Erfahren Sie mehr über das Kirchendatenschutzrecht und worauf Kirchen, kirchliche Organisationen und Gruppierungen diesbezüglich beim Betrieb einer Internetseite achten müssen. 

zahnrad verostetDass die Datenschutzbehörden für Verstöße gegen datenschutzrechtliche Vorschriften Bußgelder verhängen können und das in der jüngeren Vergangenheit auch verstärkt tun, dürfte sich mittlerweile herumgesprochen haben. Dabei geht es häufig um eine Verarbeitung von Daten ohne ausreichende Rechtsgrundlage oder um die unzureichende Erfüllung von Informationspflichten. Dass aber auch eine an sich zulässige Verarbeitung Bußgelder nach sich ziehen kann, wenn sie mit unzureichenden Schutzmaßnahmen erfolgt, musste ein Online-Shop-Betreiber erfahren. Gegen diesen verhängte die Landesbeauftragte für Datenschutz des Landes Niedersachen ein Bußgeld in Höhe von 65.500 Euro. Grund war die Verwendung veralteter Technik im Web-Shop.

Erfahren Sie mehr zum Sachverhalt und zu den Hintergründen.

question gd0436cd1f 640Das Verwaltungsgericht Wiesbaden legt dem Europäischen Gerichtshof die Frage zur Klärung vor, ob Wirtschaftsauskunfteien wie die Schufa Daten aus öffentlichen Verzeichnissen speichern dürfen. Im Einzelnen geht es um die Frage, ob eine Wirtschaftsauskunftei Informationen aus den Veröffentlichungen der Insolvenzgerichte unverändert in private Verzeichnisse übernehmen darf, ohne dass bei der Auskunftei ein konkreter Anlass zur Datenspeicherung besteht. Das Verwaltungsgericht Wiesbaden möchte wissen ob diese Datenspeicherung zulässig ist und wenn ja für wie lange.

cookies g4ed00edee 640.jpgNachdem bereits im August 2021 die europäische Datenschutzorganisation Noyb gegen rechtswidrige Cookie-Banner vorging und über 400 Beschwerden bei über 10 Datenschutzbehörden einreichte, gehen nun auch deutsche Verbraucherschützer und –zentralen gegen rechtswidrige Cookie-Banner vor.

Erfahren Sie mehr zum Hintergrund und was Webseitenbetreiber auch in Zukunft bezüglich Cookie-Banner beachten sollten.

videoanruf g2b8750f02 640.jpgWie der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung bekannt gab, hat er die Senatskanzlei der Freien und Hansestadt Hamburg wegen der Nutzung der On-Demand-Variante des Softwareprogramms „Zoom“ verwarnt. Die Nutzung des Programms ist mit einer Übermittlung personenbezogener Daten in die USA verbunden. Dies ist gemäß der aktuellen Rechtslage in vielen Fällen unzulässig (vgl. EuGH-Urteil vom 16.07.2020 – C 311/18), da die USA kein vergleichbares Datenschutzniveau wie das der Europäische Union gewährleistet. Ein Datenexport in die USA ist nur noch unter strengen datenschutzrechtlichen Voraussetzungen möglich. Zoom erfüllt diese aber nach Auffassung des Hamburgischen Datenschutzbeauftragten nicht. Durch die Benutzung des Programms seien die Behördenmitarbeiter der Senatskanzlei und auch die Gesprächsbeteiligten einer anlasslosen staatlichen Massenüberwachung in den USA ausgesetzt. Dies ist nach dem Hamburgischen Datenschutzbeauftragten nicht hinnehmbar.

eu gb brexitAm 31. Januar 2020 um Mitternacht (MEZ) verließ das Vereinigte Königreich mit Inkrafttreten des Austrittsabkommens die Europäische Union und wurde zu einem Drittland. Damit begann ein Übergangszeitraum, der am 31. Dezember 2020 endete. Die Datenschutz-Grundverordnung (DSGVO) trat im Jahr 2018 verbindlich für alle Mitgliedsstaaten der Europäischen Union in Kraft.
Damit sind die Regelungen der DSGVO nicht mehr in Großbritannien anwendbar. Kurz bevor Ende Juni 2021 eine weitere Übergangsfrist abgelaufen ist, hat die EU-Kommission in letzter Minute einen Angemessenheitsbeschluss erlassen, der Großbritannien als sicheres Drittland deklariert. Das bedeutet, dass Datenflüsse nach Großbritannien derzeit weiterhin ähnlich zu behandeln sind wie Datenflüsse innerhalb der EU.

Erfahren Sie wie die Pläne Großbritanniens aussehen um sich von der DSGVO zu lösen und wie die Europäische Union darauf reagiert.

binary 6286234 640hjhBereits im Juni 2021 haben wir in einem Blogbeitrag über die Einführung der neuen Standardvertragsklauseln (SCC) berichtet, die in Verträgen verwendet werden müssen, soweit der Vertrag eine Verarbeitung von personenbezogenen Daten in einem "unsicheren Drittstaat" vorsieht / regelt, d.h. wenn personenbezogene Daten in einen Nicht-EU-Staat exportiert werden sollen, für den kein Angemessenheitsbeschluss vorliegt.

Nun ist es bald soweit!

Ab dem 27.09.2021, dürfen in allen neuen Verträge für eine internationale Datenübermittlung in unsichere Drittstaaten nur noch die neuen SCC verwendet werden. Die 3 monatige Umstellungsfrist für Neuverträge endet dann.
Lesen Sie nachfolgend weiter, was es noch zu beachten gibt:

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754, bei Amazon.de oder auf www.shop.ruw.de