BDSG oder doch LDSG? - Wann gilt welches Datenschutzrecht?

mistake 1966448 640Seit dem Inkrafttreten der DSGVO am 25. Mai 2018 bildet ein weitgehend einheitlicher Europäischer Datenschutz den primären datenschutzrechtlichen Rahmen für das Handeln öffentlich-rechtlicher und privatwirtschaftlich organisierter Stellen. Doch trotz Inkrafttreten dieser - unmittelbar in den Mitgliedsstaaten geltenden - EU-Verordnung, existieren in Deutschland weiterhin diverse datenschutz-rechtliche Regelungen. Die relevantesten sind das Bundesdatenschutzgesetz (BDSG), sowie die 16 Landesdatenschutzgesetze der einzelnen Bundesländer auf Landesebene.

Zudem gibt es zum Teil auch spezifische Regelungen wie z.B. die Regelungen des Sozialdatenschutzes oder der jeweiligen Krankenhausgesetze der Länder. Dabei ergänzen die Regelungen die Vorgaben der DSGVO. Sie füllen die sogenannten Öffnungsklauseln aus, also Regelungsbereiche, in denen die Europäische Union den einzelnen Mitgliedstaat ausdrücklich eine Regelungsbefugnis überragen hat. Und dann sollte man auch noch das kirchliche Datenschutzrecht nicht vergessen.

Welches der oben benannten Datenschutzgesetze neben der DSGVO zur Anwendung kommt, hat dabei oftmals einen nicht unerheblichen Einfluss auf die datenschutzrechtliche Rechtslage und sollte im Rahmen eines Beratungsprojektes immer zuerst geklärt werden.

Dieser Artikel zeigt die Abgrenzungsschwierigkeiten auf, die im Bereich des Datenschutzrechts existieren und verschafft einen Überblick darüber, in welchen Fällen welches datenschutzrechtliche Gesetz anzuwenden ist. Den kirchlichen Datenschutz klammert dieser Artikel bewusst weitgehend aus. Hier gilt die Faustregel, dass dieser nur für kirchliche Träger relevant werden kann.

Durchsuchungen nach Abmahnwelle wegen „Google Fonts“-Nutzung

cease and desist letter ga4c153b99 200Gemeinsame Pressemeldung der GStA Berlin: Durchsuchungen nach Abmahnwelle wegen „Google Fonts“-Nutzung

Pressemitteilung vom 21.12.2022

In einem Verfahren gegen zwei Beschuldigte – einen 53‑jährigen Rechtsanwalt mit Kanzleisitz in Berlin und dessen 41‑jährigen Mandanten, dem angeblichen Repräsentanten einer „IG Datenschutz“ – wurden heute wegen des Verdachts des (teils) versuchten Abmahnbetruges und der (versuchten) Erpressung in mindestens 2.418 Fällen durch die Polizei im Auftrag der Staatsanwaltschaft Berlin Durchsuchungsbeschlüsse in Berlin, Hannover, Ratzeburg und Baden-Baden sowie zwei Arrestbeschlüsse mit einer Gesamtsumme vom 346.000 Euro vollstreckt.

Den Beschuldigten wird vorgeworfen, bundesweit Privatpersonen und Kleingewerbetreibende, die auf Ihren Homepages sog. „Google Fonts“ – ein interaktives Verzeichnis mit über 1.400 Schriftarten, die das Schriftbild einer Webseite bestimmen – eingesetzt haben, per Anwaltsschreiben abgemahnt zu haben. Zugleich wurde diesen angeboten, ein Zivilverfahren gegen Zahlung einer Vergleichssumme in Höhe von jeweils 170 Euro vermeiden zu können. Dass die behaupteten Schmerzensgeldforderungen wegen Verletzung des Rechts auf informationelle Selbstbestimmung nicht bestanden, soll den Beschuldigten dabei bewusst gewesen sein. Entsprechend sollen sie auch gewusst haben, dass für die Angeschriebenen kein Anlass für einen entsprechenden Vergleich bestand, da sie die angeblichen Forderungen gerichtlich nicht hätten durchsetzen können. Die Androhung eines Gerichtsverfahrens soll daher tatsächlich nur mit dem Ziel erfolgt sein, die Vergleichsbereitschaft zu wecken.

Bei Google Fonts handelt es sich um ein Tool, das lizenzfrei von der Firma Google für Websitebetreiber zur Verfügung gestellt wird. Internetseiten, die dieses nutzen, übermitteln die Internet Protocol (IP)‑Adresse in der Regel ohne Kenntnis und Einwilligung von Besuchern der Website automatisch an die Firma Google in den USA. Vor diesem Hintergrund hat das Landgericht München mit Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) entschieden, dass die automatische Weitergabe der IP‑Adresse (als personenbezogenes Datum) durch den Betreiber einer Website einen datenschutzrechtlichen Eingriff darstelle, in den der Besucher der Seite nicht eingewilligt habe. In dieser Vorgehensweise dürfte also tatsächlich ein Verstoß gegen die Datenschutzgrundverordnung liegen und so auch ein entsprechender Unterlassungsanspruch bestehen, wenn ein unbedarfter Nutzer eine solche Website besucht.

Die Beschuldigten aber sollen gerade nicht unbedarft gewesen sein: Mittels einer eigens dafür programmierten Software sollen sie zunächst Websites identifiziert haben, die Google Fonts nutzen. In einem zweiten Schritt und wieder unter Nutzung einer dafür entwickelten Software sollen Sie Websitebesuche durch den beschuldigten 41‑jährigen automatisiert vorgenommen, diese letztlich also fingiert haben. Die dann protokollierten Websitebesuche sollen die Grundlage für die Behauptung der datenschutzrechtlichen Verstöße und die Geltendmachung von Schmerzensgeldansprüchen gewesen sein, die durch die Annahme des „Vergleichsangebotes“ angeblich hätten abgewendet werden können.

Die Beschuldigten sollen daher darüber getäuscht haben, dass eine Person die Websites besucht hat (und nicht tatsächlich eine Software). Mangels Person läge dann aber keine Verletzung eines Persönlichkeitsrechts vor.
Da sie diese Besuche außerdem bewusst vorgenommen haben sollen, um die IP‑Adressen‑Weitergabe in die USA auszulösen, hätten sie faktisch auch in die Übermittlung eingewilligt, so dass eben gerade kein datenschutzrechtlicher Verstoß mehr gegeben war, der eine Abmahnung hätte begründen können.
In einigen Fällen soll zudem überhaupt keine Datenübermittlung in die USA erfolgt, ein darauf basierender Anspruch aber trotzdem geltend gemacht worden sein.

420 Anzeigen von „Abgemahnten“, die letztlich nicht gezahlt haben, liegen der Staatsanwaltschaft Berlin inzwischen vor. Aus der Auswertung der Kontounterlagen der Beschuldigten ergibt sich indes, dass etwa weitere 2.000 Personen das „Vergleichsangebot“ aus Sorge vor einem Zivilverfahren und in der unzutreffenden Annahme, der behauptete Anspruch bestünde tatsächlich, angenommen und gezahlt haben.

Die heutigen Durchsuchungen führten zum Auffinden von Beweismitteln, insbesondere Unterlagen und Datenträgern, die nunmehr ausgewertet werden müssen. Sie sollen unter anderem über die Anzahl, Auswahlkriterien und Identität, die tatsächlichen Umsätze und die genaue Vorgehensweise weiteren Aufschluss geben.


Original-PM der GStA-Berlin:

https://www.berlin.de/generalstaatsanwaltschaft/presse/pressemitteilungen/2022/pressemitteilung.1277538.php

Wer darf eigentlich bei Datenschutzverstößen abmahnen?

cease and desist letter g13bb543af 640In einem digitalen Zeitalter, in dem Daten einer Ware gleichkommen, ist es wichtig zu wissen, welche rechtlichen Probleme bei der Verarbeitung von Daten entstehen können. Auch den Betreibern von Websites und Online-Shops drohen mittlerweile Datenschutzabmahnungen. Dabei stellt sich die Frage, wann Datenschutzverstöße überhaupt abmahnfähig sind und wer berechtigt ist Datenschutzabmahnungen auszusprechen.

Diese und weitere Fragen zum Thema Abmahnung bei Datenschutzverstößen klären wir in unserem folgenden Blogbeitrag.

Datenschutzrechtliche Konformität von Facebook-Unternehmensseiten - Fanpages-Fanpages

Facebook-Fanpage DatenschutzSeit Jahren steht das Betreiben einer Facebook-Unternehmensseite, einer sog. Facebook-Fanapage datenschutzrechtlich in der Kritik. Für öffentliche Stellen wurde es auch bislang schon von den zuständigen Aufsichtsbehörden als gänzlich unzulässig angesehen. 

Betreibern von Facebook-Fanpages ist es nach Ansicht der Deutschen Datenschutzkonferenz (DSK), dem inoffiziellen Zusammenschluss aller deutschen Datenschutzaufsichtsbehörden, nicht möglich, ihre Facebook-Seite datenschutzrechtlich konform zu betreiben. Ein Kurzgutachten der Taskforce Facebook-Fanpages der Datenschutzkonferenz zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpage vom Herbst 2022 kommt zu dem Ergebnis, dass für die Speicherung und Verarbeitung personenbezogener Daten in Zusammenhang mit dem Betrieb einer Facebook-Fanpage keine wirksamen Rechtsgrundlagen bestehen. Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.

Was tun bei Verschlüsselung durch Hackerangriff?

cyber security g7ac6c5e88Die vom Bundesamt für Sicherheit und Informationstechnik (BSI) in ihrem Lagebericht zur IT-Sicherheit in Deutschland 2021 getätigte Einstufung der IT-Sicherheit als „angespannt bis kritisch“ stellt für alle Unternehmen eine große Gefahr dar.

Die Folgen können von einer Beeinträchtigung der Arbeitsfähigkeit bis zu einem kompletten Ausfall des Betriebs oder einzelner Betriebsteile reichen – mit finanziellen Auswirkungen und Reputationsverlust. Viele Unternehmen haben Ihre IT-Sicherheitsstruktur deshalb einer Überprüfung unterzogen und Schutzvorkehrungen getroffen.

Die Größe der Angriffe nimmt immer weiter zu, so berichtet der Softwareentwickler Sophos, der im Bereich der IT-Security beheimatet ist in seinem Whitepaper vom April 2022, dass 66 % der Unternehmen in einer Umfrage von Ransomware -Angriffen, also Angriffen die auf eine Verschlüsselung des Systems abzielen betroffen waren.

Das Amerikanische IT-Infrastruktur Unternehmen SonicWall berichtet in seinem Halbjahresupdate 2021 von 304,7 Millionen Ransomware-Angriffen im ersten Halbjahr 2021 (eine Zunahme von 151 % gegenüber dem ersten Halbjahr 2020).

Was Sie im Ernstfall tun können, um den Schaden zu minimieren, erfahren Sie hier.

405 Millionen Euro Bußgeld für Instagram wegen Verstöße gegen die DSGVO

hammer g06a4780ef 640Die irische Aufsichtsbehörde verhängte gegen Instagram ein Bußgeld in Höhe von 405 Millionen Euro wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO). Instagram ist eine Tochtergesellschaft des Konzerns Meta. Zu diesem gehören auch Facebook und WhatsApp, gegen die die irische Aufsichtsbehörde wegen Verstößen gegen die DSGVO bereits Bußgelder verhängte. Damit ist es das bislang zweithöchste Bußgeld seit Inkrafttreten der DSGVO. Das bisher höchste verhängte die luxemburgische Datenschutzbehörde gegen Amazon (746 Millionen Euro) (wir berichteten: https://www.dury.de/datenschutzrecht-blog/amazon-muss-wegen-dsgvo-verstoss-746-millionen-euro-zahlen).

Schadensersatzforderungen durch Privatpersonen wegen der Einbindung von Google Fonts

keyboard g60117ad6f 640UPDATE - 21.12.2022: Erste Hausdurchsuchungen bei involvierten Anwälten - https://www.dury.de/datenschutzrecht-blog/durchsuchungen-nach-abmahnwelle-wegen-google-fonts-nutzung

Derzeit werden in Deutschland zahlreiche Unternehmen angeschrieben, dass auf ihrer Internetseite rechtswidrig Google Fonts eingebunden sei. Die entsprechenden Rechtsanwälte und / oder Privatpersonen fordern in diesem Schreiben einen Schadenersatz bzgl. der Verwendung und stützen sich dabei auf ein Urteil des Landgerichts München vom 20.01.2022 (Az. 3 O 17493/20 – wir berichteten: https://www.dury.de/datenschutzrecht-blog/lg-muenchen-schadensersatz-wegen-einbindung-von-google-fonts).

Welche Möglichkeiten Sie haben und wie Sie auf solche Anschreiben reagieren können, erfahren Sie in diesem Blog-Beitrag.

BfDI ermittelt wegen Facebook-Fanpage gegen Bundespresseamt

facebook scrabbelDer Bundesbeauftragte für Datenschutz forderte bereits in der Vergangenheit Bundesministerien und oberste Bundesbehörden per Rundschreiben dazu auf, Facebook-Fanpages zu deaktivieren (wir berichtetet im Juli 2021 u.a. hier: https://www.dury.de/datenschutzrecht-blog/behoerden-sollen-ihre-facebook-seite-abschalten). Nun ermittelt er gegen das Presse- und Informationsamt der Bundesregierung (BPA), das die Facebook-Fanpage der Bundesregierung betreibt.

Die größten Datenschutz-Fehler bei Newslettern

email g48005b58b 640Nicht nur Onlinehändler haben beim Angebot eines Newsletters datenschutzkonform vorzugehen. Generell müssen alle Anbieter eines Online-Newsletters die rechtlichen Erfordernisse erfüllen.
Um den Adressaten zu erreichen bzw. einen E-Mail Newsletter an diesen zu versenden, ist es zunächst aus technischer Sicht notwendig, seine E-Mail-Adresse zu erheben. Hierbei handelt es sich bereits um die Verarbeitung von personenbezogenen Daten, welche laut DSGVO geschützt stattfinden muss. Zudem unterfallen Newsletter dem Wettbewerbsrecht.