Seit Jahren steht das Betreiben einer Facebook-Unternehmensseite, einer sog. Facebook-Fanapage datenschutzrechtlich in der Kritik. Für öffentliche Stellen wurde es auch bislang schon von den zuständigen Aufsichtsbehörden als gänzlich unzulässig angesehen. 

Betreibern von Facebook-Fanpages ist es nach Ansicht der Deutschen Datenschutzkonferenz (DSK), dem inoffiziellen Zusammenschluss aller deutschen Datenschutzaufsichtsbehörden, nicht möglich, ihre Facebook-Seite datenschutzrechtlich konform zu betreiben. Ein Kurzgutachten der Taskforce Facebook-Fanpages der Datenschutzkonferenz zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpage vom Herbst 2022 kommt zu dem Ergebnis, dass für die Speicherung und Verarbeitung personenbezogener Daten in Zusammenhang mit dem Betrieb einer Facebook-Fanpage keine wirksamen Rechtsgrundlagen bestehen. Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.

Die vom Bundesamt für Sicherheit und Informationstechnik (BSI) in ihrem Lagebericht zur IT-Sicherheit in Deutschland 2021 getätigte Einstufung der IT-Sicherheit als „angespannt bis kritisch“ stellt für alle Unternehmen eine große Gefahr dar.

Die Folgen können von einer Beeinträchtigung der Arbeitsfähigkeit bis zu einem kompletten Ausfall des Betriebs oder einzelner Betriebsteile reichen – mit finanziellen Auswirkungen und Reputationsverlust. Viele Unternehmen haben Ihre IT-Sicherheitsstruktur deshalb einer Überprüfung unterzogen und Schutzvorkehrungen getroffen.

Die Größe der Angriffe nimmt immer weiter zu, so berichtet der Softwareentwickler Sophos, der im Bereich der IT-Security beheimatet ist in seinem Whitepaper vom April 2022, dass 66 % der Unternehmen in einer Umfrage von Ransomware -Angriffen, also Angriffen die auf eine Verschlüsselung des Systems abzielen betroffen waren.

Das Amerikanische IT-Infrastruktur Unternehmen SonicWall berichtet in seinem Halbjahresupdate 2021 von 304,7 Millionen Ransomware-Angriffen im ersten Halbjahr 2021 (eine Zunahme von 151 % gegenüber dem ersten Halbjahr 2020).

Was Sie im Ernstfall tun können, um den Schaden zu minimieren, erfahren Sie hier.

Die irische Aufsichtsbehörde verhängte gegen Instagram ein Bußgeld in Höhe von 405 Millionen Euro wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO). Instagram ist eine Tochtergesellschaft des Konzerns Meta. Zu diesem gehören auch Facebook und WhatsApp, gegen die die irische Aufsichtsbehörde wegen Verstößen gegen die DSGVO bereits Bußgelder verhängte. Damit ist es das bislang zweithöchste Bußgeld seit Inkrafttreten der DSGVO. Das bisher höchste verhängte die luxemburgische Datenschutzbehörde gegen Amazon (746 Millionen Euro) (wir berichteten: https://www.dury.de/datenschutzrecht-blog/amazon-muss-wegen-dsgvo-verstoss-746-millionen-euro-zahlen).

UPDATE - 21.12.2022: Erste Hausdurchsuchungen bei involvierten Anwälten - https://www.dury.de/datenschutzrecht-blog/durchsuchungen-nach-abmahnwelle-wegen-google-fonts-nutzung

Derzeit werden in Deutschland zahlreiche Unternehmen angeschrieben, dass auf ihrer Internetseite rechtswidrig Google Fonts eingebunden sei. Die entsprechenden Rechtsanwälte und / oder Privatpersonen fordern in diesem Schreiben einen Schadenersatz bzgl. der Verwendung und stützen sich dabei auf ein Urteil des Landgerichts München vom 20.01.2022 (Az. 3 O 17493/20 – wir berichteten: https://www.dury.de/datenschutzrecht-blog/lg-muenchen-schadensersatz-wegen-einbindung-von-google-fonts).

Welche Möglichkeiten Sie haben und wie Sie auf solche Anschreiben reagieren können, erfahren Sie in diesem Blog-Beitrag.

Der Bundesbeauftragte für Datenschutz forderte bereits in der Vergangenheit Bundesministerien und oberste Bundesbehörden per Rundschreiben dazu auf, Facebook-Fanpages zu deaktivieren (wir berichtetet im Juli 2021 u.a. hier: https://www.dury.de/datenschutzrecht-blog/behoerden-sollen-ihre-facebook-seite-abschalten). Nun ermittelt er gegen das Presse- und Informationsamt der Bundesregierung (BPA), das die Facebook-Fanpage der Bundesregierung betreibt.

Nicht nur Onlinehändler haben beim Angebot eines Newsletters datenschutzkonform vorzugehen. Generell müssen alle Anbieter eines Online-Newsletters die rechtlichen Erfordernisse erfüllen.
Um den Adressaten zu erreichen bzw. einen E-Mail Newsletter an diesen zu versenden, ist es zunächst aus technischer Sicht notwendig, seine E-Mail-Adresse zu erheben. Hierbei handelt es sich bereits um die Verarbeitung von personenbezogenen Daten, welche laut DSGVO geschützt stattfinden muss. Zudem unterfallen Newsletter dem Wettbewerbsrecht.

Die Datenschutzkonferenz (kurz: DSK) als Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder veröffentlichte am 24.03.2022 neue Vorgaben für Onlinehändler (https://datenschutzkonferenz-online.de/media/dskb/20222604_beschluss_datenminimierung_onlinehandel.pdf). Unter anderem müssen Onlinehändler ihren Kunden grundsätzlich einen Gastzugang für die Bestellung bereitstellen.
[UPDATE - 04-2025] - Andere Ansicht: OLG Hamburg, Urteil vom 27.02.2025 (vgl. OLG Hamburg, Az. 5 U 30/24).

Am 03. Juni 2022 wurde in den USA überraschend ein Gesetzentwurf zur Verschärfung der Datenschutzrechte, der sogenannten American Data Privacy and Protection Act (kurz: ADPPA), vorgestellt. Dieser stellt eine vollkommen neue Vorgehensweise zum Thema Datenschutz in den USA dar. Was dieser beinhaltet, welche Möglichkeiten sich durch den Entwurf bieten können und ob der Entwurf wirklich so vielversprechend ist, wie es scheint, erörtern wir im nachfolgenden Blogbeitrag.

Bereits im Februar 2022 berichteten wir darüber dass die österreichische Datenschutzbehörde DSB und die französische Datenschutzbehörde CNIL die Nutzung von Google Analytics in datenschutzrechtlicher Hinsicht für rechtswidrig erklärten. Nun lehnte die österreichische Datenschutzbehörde auch den von den US-Diensten oftmals vorgeschlagenen „risikobasierten Ansatz“ für Datenübermittlungen in Drittländer ab.

Erfahren Sie mehr über den "riskobasierten Ansatz" und den Gründen der österreichischen Datenschutzbehörde diesen abzulehenen.