Update Datenschutz No.8
Das letzte Update ist ein wenig her und deshalb wird es Zeit, mal wieder ein paar Zeilen aufs Papier zu bringen. Diesmal geht es u. a. um Werbung mittels Direktnachrichten auf Social Media, Löschpflichten, den rechtssicheren Einsatz von MS 365, um mich selbst und die Frage, warum du niemanden zwingen solltest deine Datenschutzhinweise zu akzeptieren.
Direktnachrichten auf Social Media mit werbendem Inhalt sind nur mit Einwilligung zulässig
Was aus dem E-Mail-Marketing bereits bekannt ist, wurde nun auch für Social Media entschieden. Direktnachrichten oder Inmails, die Werbung enthalten, sind nur mit Einwilligung zulässig. Den Begriff der Werbung solltest du dabei sehr weit auslegen und eigentlich alles einbeziehen, was etwas direkt oder indirekt dazu dient, dass Umsätze gemacht werden sollen. Ich habe dazu mal einen separaten Blogbeitrag geschrieben und auch ein YouTube-Video gedreht.
Anwendungshinweise zur Datenübermittlung in die USA
Die DSK, also die Datenschutzkonkferenz der Länder hat Anwendungshinweise für die Datenübermittlung in die USA herausgegeben: Anwendungshinweise der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 4. September 2023. Es wäre zu schön, um wahr zu sein, wenn es da nicht eine abweichende Stimme aus einem kleinen gallischen Bundesland gäbe, die natürlich anderer Auffassung ist und die Datenübertragung in die USA auch weiterhin als problematisch erachtet. Dr. Lutz Hasse:
Es mag sein, dass der EuGH das Framework kippt. Die erste Klage ist sogar schon eingereicht. Ich muss aber gestehen, dass ich mittlerweile das Gefühl habe, dass hier Datenschutz mehr und mehr an der Realität vorbeigeht. Die Rechtsauffassung des TLfDi kann ich jedenfalls bei einigen Sachverhalten nicht mehr nachvollziehen. Ich denke da nur an die Pressemitteilung „Klingelschilder – ein Fall für den Datenschutz“.
345 Mio. Bußgeld gegen TikTok
Die meisten von euch kennen mich hoffentlich als Pragmatiker im Datenschutz und als Datenschutzbeauftragter tue ich alles dafür, damit keiner von euch ein Bußgeld bekommt. Es gibt aber auch Fälle, in denen ich es gerechtfertigt finde, wenn ein Unternehmen ein Bußgeld bekommt. Die 345 Mio. EUR Bußgeld gegen TikTok gehören hier definitiv dazu. Hier hatte TikTok nämlich ziemlich viel Murks gemacht und das auch noch in Bezug auf Daten von Kindern. Auch hier haben wir einen eigenen Beitrag erstellt: 345 Mio. EUR Bußgeld gegen TikTok.
Rechtskonformer Einsatz von MS Office 365
Die Datenschutzaufsicht Niedersachsen hat in Zusammenarbeit mit sechs weiteren Datenschutzaufsichtsbehörden eine Handreichung zum rechtskonformen Einsatz von Microsoft 365 veröffentlicht.
Dort findest du Empfehlungen, um den Standardvertrag zur Auftragsdatenverarbeitung (DPA) von Microsoft anzupassen. Im Wesentlichen geht es dabei um die Anpassung von Löschfristen, den Einsatz von Unterauftragsverarbeitern, die Anpassung der TOM, Weisungsbindung, Offenlegung verarbeiteter Daten oder die Erfüllung rechtlicher Verpflichtungen.
Wie sich das Ganze auf die laufende Bewertung der DSK auswirkt, ist nicht klar. Die DSK ging jedenfalls noch im November 2022 davon aus, dass ein rechtskonformer Einsatz von MS365 nicht möglich ist. Ich begrüße es daher sehr, dass nun einige Datenschutzbehörden hier einen anderen Weg einschlagen.
Wie praktisch das Ganze ist, müssen wir mal abwarten. Die Handreichung sieht nämlich vor, dass „eine zwischen dem Verantwortlichen und Microsoft abzuschließende Zusatzvereinbarung zum DPA klarstellen sollte, dass diese Zusatzvereinbarung gegenüber sämtlichen entgegenstehenden Vertragstexten (u. a. DPA, Product Terms, Produktdokumentationen), die seitens Microsoft einbezogen werden, Vorrang hat und diesen im Kollisionsfalle vorgeht“. Ich bin gespannt wie ein Flitzebogen wie oft MS das in der Praxis vereinbart. Aber vielleicht kommt hier auch bald Hilfe von MS selbst.
BGH legt Fragen zum immateriellen Schadensersatz (Schmerzensgeld) nach DSGVO dem EuGH vor
Der Bundesgerichtshof legt mit Beschluss vom 26. September 2023 – VI ZR 97/22 dem Gerichtshof der Europäischen Union Fragen zum Bestehen eines unionsrechtlichen Unterlassungsanspruchs und zum Begriff des immateriellen Schadens nach der Datenschutz-Grundverordnung vor.
Hier geht es unter anderem um die in der Praxis höchstrelevante Frage, ob für die Annahme eines immateriellen Schadens im Sinne der DSGVo bloße negative Gefühle wie Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Aktuell werden nach meiner Erfahrung fast alle Schadensersatzansprüche auf solche Begründungen gestützt.
Warum du niemanden zwingen solltest deine Datenschutzhinweise zu „akzeptieren“
Manchmal lese ich oder besser entdecke ich (meist auf Webseiten) aber auch schon analog, dass man Datenschutzhinweise Akzeptieren soll. Das ist im besten Fall überflüssig, im schlimmsten Falls sogar gefährlich. Warum? Kurz und knapp: Überflüssig, weil es Datenschutzhinweise sind die das Gesetz da fordert. Hinweise werden mitgeteilt und mehr nicht. Gefährlich ist das Ganze, weil du dadurch ggf. eine vertragliche Vereinbarung mit der betroffenen Person eingehst und damit eventuell in den Bereich der AGB gerätst. Das ist eine Baustelle die du nicht brauchst. Also lass es. Ein bisschen ausführlicher haben wir das im Blog beschrieben: Warum du niemanden zwingen solltest, deine Datenschutzhinweise zu akzeptieren!
Wer steckt hinter Landgraf Datenschutz und dem Blog und dem YouTube-Kanal
Ich hatte es natürlich angedroht. Heute geht es auch um mich. Ich wurde letztens darum gebeten, doch einmal ein wenig mehr über mich preiszugeben und nicht nur, dass ich seit 13 Jahren Anwalt bin und auch seit über 10 Jahren im Datenschutz. So gefragt, so getan. Für alle, die mich bislang nicht so gut kennen, aber trotzdem ein wenig mehr erfahren wollen, gibt es hier den Beitrag im Blog: Der Typ hinter „Landgraf Datenschutz“ und „Kekse und Daten“. Noch Fragen? Immer her damit, gerne auch bei einem Bier oder Glas Wein.
Aus der Rechtsprechung
- OLG München (Beschluss vom 03.03.2023, Az. 6 W 1491/22): Datenschutzhinweise können urheberrechtlich geschützt sein
- LG München I (Endurteil v. 22.03.2023 – 26 O 1037/21): Allein die Behauptung, ein in einer Suchmaschine gefundener Artikel sei unwahr, löst noch keine Löschpflicht nach Art. 17 DSGVO aus.
- LAG Hamm (Urteil vom 23.03.2023, Az. 18 Sa 888/22): Recherchen zum Bewerbungs- und Prozessverhalten gegenüber anderen Unternehmen sind beim Verdacht auf AGG-sHopping zur Wahrung berechtigter Interessen zulässig.
- LG Frankfurt a. M.(Urteil vom 26.05.2023, Az. 2–24 O 156/21): Die Rechtsgrundlage aus Art. 6 Abs. 1 lit. b) DSGVO (Durchführung eines Vertrages) muss eng ausgelegt werden, wenn sie als Ausnahme zum Einwilligungserfordernis herhalten soll. Es muss ein unmittelbarer Zusammenhang zwischen der Verarbeitung und dem Vertragszweck bestehen.
- LAG Baden-Württemberg (Urteil vom 27.7.2023, 3 Sa 33/22): Die verspätete Auskunftserteilung auf ein Auskunftsverlangen der betroffenen Person nach Art. 15 Abs. 1 DSGVO stellt für sich genommen noch keinen immateriellen Schaden dar und begründet und deshalb keinen Schadensersatzanspruch; 10.000 € Schadensersatz wegen der unautorisierten Verwendung von Bildmaterial
- LAG Baden-Württemberg (Urteil vom 28.07.2023, Az. 9 Sa 73/21) : 2.500 € Schadensersatzanspruch wegen verspäteter und unvollständiger Auskunft