Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Datenschutz: Wichtige Themen der Datenschutztage

Veröffentlicht am 28. Februar 2023 von Dr. DSGVO · Zuletzt aktualisiert am 2. März 2023
2

Kategorien: Datenschutz

Cookies, Endgerätezugriffe und weitere Datenverarbeitungen sowie Google Analytics, aber auch die Rechte Betroffener bei Verstößen gegen die DSGVO: Das und mehr sind die Themen der Datenschutztage 2023. Meine Einordnung und Empfehlung zu diesen Themen.

Einleitung

Im vorigen Jahr war ich Referent bei den FFD Datenschutztagen und hielt einen Vortrag zum Thema „Datenschutz für Webseiten und Apps“. Danach hielt ich auf einer anderen Konferenz des Weka-Verlags zusammen mit einem mir gut bekannten Juristen auch noch einen Vortrag zum Thema Cloud Computing.

Wie im letzten Jahr finden die Datenschutztage wieder virtuell statt. Voriges Jahr war eine Hybridveranstaltung angedacht. Die Mehrheit der Teilnehmer hatte sich allerdings für die Online Variante eingebucht, sodass der Kongress nicht vor Ort stattfand. Gerne wäre ich nach Mainz (quasi um die Ecke) gekommen, habe ich aber auch gefreut, virtuell vortragen zu dürfen.

Diesmal wird der Kongress vom 25. bis 27. April virtuell ausgetragen. Details finden Sie auf der Webseite des Veranstalters.

Datenschutztage 2023

Das Programm ist meiner Ansicht nach wieder gut gespickt. Aus den Vorträgen picke ich mir ein paar heraus und kommentiere einige der Themen für alle, die nicht am Kongress teilnehmen können sowie alle, die teilnehmen und meine Hintergrundinfos gebrauchen können.

Wichtige Themen der Datenschutztage

Zu drei der zahlreichen Themen der Kongress-Vorträge fallen mir einige Dinge ein, die für Sie nützlich sein könnten. Entweder erhalten Sie so hoffentlich einen Vorausblick als Kongress-Teilnehmer. Oder Sie bekommen wenigstens einen Einblick, wenn Sie den Kongress nicht besuchen können.

Cookie, Fingerprint und Co. nur mit Einwilligung? – Anforderungen und Bedingungen für den Einsatz nach dem TTDSG

Der § 25 TTDSG thematisiert Endeinrichtungszugriffe. Das sind insbesondere Zugriffe, wie sie mit Cookies realisiert werden. Aber auch Zugriffe über Programmfunktionen wie mit JavaScript oder über Updates gehören dazu. Updates sind für Endeinrichtungen wie Smart Home Geräte relevant. Die Endgeräte sind in den Endeinrichtungen eingeschlossen.

Ein Fingerprinting ist jedenfalls dann kritisch gemäß § 25 TTDSG, wenn ein expliziter Endgerätezugriff stattfindet. Nachdem Cookies oder andere Daten aus dem Endgerät ausgelesen wurden, müssen sie nach DSGVO legitimiert werden. Dann gilt also Art. 6 DSGVO, oder auch Art 44ff DSGVO. Cookie-Werte sind im Übrigen immer als personenbezogen anzusehen. Und das TTDSG gilt für Cookies auch dann, wenn sie keine personenbezogenen Daten speichern.

Die Hauptbedingung aus § 25 TTDSG lautet: Cookies bedürfen einer Einwilligung, wenn sie nicht unbedingt erforderlich sind. Dies schließt das berechtigte Interesse aus. Wenn im TTDSG stehen würde „erforderlich“ und nicht „unbedingt erforderlich“, könnte man über Weiteres sprechen. Aber unbedingt erforderlich deutet schon sehr auf eine technische Erforderlichkeit hin.

Sofern Cookies legitimiert sind, entweder über die unbedingt Erforderlichkeit oder über eine Einwilligung, geht der Spaß jedenfalls weiter. Dann muss, wie oben geschrieben, für die Verarbeitung oft auch eine Einwilligung abgefragt werden. Haben Sie schon mal ein „Cookie Popup“ gesehen, dass sowohl nach Ihrer Erlaubnis für einen Endgerätezugriff fragt als auch nach der Weiterverarbeitung der Werte? Das dürfte (in rechtskonformer Weise) eher die seltene Ausnahme unter den Abfragen sein.

Wer jedenfalls sogenannte Cookie Tools (CMPs) einsetzt, hat meist schon einen Fehler gemacht. Vor alle sogenannte Cookie Blocker sind kritisch zu betrachten, ebenso vorgegeben Mustertexte für die Einwilligungsabfrage. Aber auch Cookie Scanner sind Bullshit. Mehr in einem früheren Beitrag von mir (falls Sie der Referent sind: bitte nicht von mir ablesen 😉 Ebenso nicht meine zahlreichen Informationen zur zentralen Einwilligungsverwaltung – PIMS – nach § 26 TTDSG).

Meine Empfehlung: Einwilligungspflichtige Vorgänge so weit wie möglich vermeiden. Siehe auch den folgenden Abschnitt (oder mein Karten-Plugin, falls Sie immer noch das Google Maps Plugin verwenden). Dann brauchen Sie kein Cookie-Popup. Wer eines braucht, sollte von null anfangen und kann in diesem Fall mein kostenfreies Consent Tool nutzen.

Google Analytics 4: Datenschutzkonformes Tracking auf Servern in den USA?

Die einfache Antwort lautet: Google Analytics, egal in welcher Version, ist rechtswidrig, entweder vor oder auch nach Einwilligung durch den Nutzer (wie die CNIL feststellte und das Server Side Tracking als einzige Möglichkeit einer Abhilfe für GA sah).

Google überträgt sämtliche Analyse-Daten immer in die USA, hat Google selbst zugegeben. Bei Bedarf suche ich die Quelle heraus (in dem Verfahren war ich damals eingebunden).

Google Analytics nutzt zudem technisch nicht notwendige Cookies. Beweis: Die Cookies lassen sich durch vorgesehene Analytics-Konfiguration deaktivieren.

Weiterhin nutzt GA4 sogar nicht notwendige Endgerätezugriffe ungleich Cookies.

Meine Empfehlung: Lieber Matomo nutzen und 100 % der Daten erhalten und auswerten, als rechtswidrig mit GA4 arbeiten und nur ca. 25 % der Daten ausbeuten.

Datenschutz vor Gericht? Umgang mit aufsichtsrechtlichen Entscheidungen

Dieses Vortrag hält der von mir geschätzte ehemalige Richter (Verwaltungsgericht Wiesbaden) Hans-Hermann Schild, den ich zuletzt bei einem Datenschutzkongress sah. Er ist Co-Moderator der Veranstaltung.

Soviel kann ich zum Thema des Vortrags von Herrn Schild sagen: Der BGH hatte bereits mindestens zweimal eine Entscheidung getroffen, die von den Rechten betroffener Personen handelt, deren Daten entgegen der Regelungen der DSGVO verarbeitet wurden.

Einmal hatte der BGH entschieden, dass ein Unterlassungsanspruch demjenigen zusteht, dessen Daten nicht gemäß Art. 6 (1) DSGVO verarbeitet wurden (siehe BGH, Urteil vom 21.01.2021 – I ZR 207/19, Rn. 36-42 – „Sascha Hehn“).

Ein anderes Mal hatte der BGH aus dem Art. 17 DSGVO (Löschanspruch) heraus abgeleitet, dass gegen eine rechtswidrige Datenspeicherung (nach DSGVO) als besondere Form der Datenverarbeitung auch ein Unterlassungsanspruch besteht. Das Urteil hierzu habe ich nicht zur Hand, kann es aber bei Bedarf heraussuchen. Allerdings ist jede Art der Datenverarbeitung durch die DSGVO geschützt, nicht nur die Speicherung.

Somit besteht bei rechtswidriger Datenverarbeitung aus Art. 6 oder 17 DSGVO gemäß BGH-Urteilen ein Unterlassungsanspruch (§ 1004 BGB) für betroffene Personen. Das LG München hatte in der Google Fonts Entscheidung den Unterlassungsanspruch auch für Verstöße gegen Art. 44ff DSGVO bejaht (LG München, Urteil vom 20.01.2022 – 3 O 17493/20).

Ansonsten stelle ich fest: Ein prominenter Vertreter des Hessische Datenschutzbeauftragten empfiehlt öffentlich, sich bei Problemen mit Datenschutzverstößen nicht an seine Behörde zu wenden (jedenfalls nicht bei Problemen mit Web Tracking, einem nur ganz selten (Ironie) vorkommenden Verstoß). Vielmehr sollen Betroffene doch vor Gericht gehen.

OK, habe ich gemacht. Das Gericht teilte mir daraufhin mit, ich solle doch zur Aufsichtsbehörde gehen. Sicher und zum Glück ist nicht jedes Gericht so unlustig. Die Chancen für Sie stehen gut.

Eine Beschwerde bei einer Aufsichtsbehörde (außerhalb von Hessen) gegen eine prominente Online-Plattform mit verantwortlicher Stelle in der deutschen Stadt, in der auch die Behörde sitzt, führte zum Ignorieren der Vorgaben der DSK. Die DSK ist die Datenschutzkonferenz von Bund und Ländern. Die DSK beschloss, wie mir Herr Dr. Ambrock bei einem persönlichen Treffen auf einer Datenschutzkonferenz mitteilte: Datentransfers in die USA ohne Rechtsgrundlage müssen von der Aufsichtsbehörde ausgesetzt oder sanktioniert werden. Punkt. Die Behörde, an die ich mich wandte, tat das nicht. Sie schrieb vielmehr, dass sie das berechtigte Interesse gelten lasse, welches die Verantwortliche anführte.

Meine Empfehlung lautet hier: gehen Sie den Klageweg, wenn eine vorige Abmahnung nicht erfolgreich ist. Wenn Sie es nicht ganz so ernst meinen, reichen Sie eine möglichst fundierte Beschwerde bei einer Aufsichtsbehörde ein. Wenn Sie einen Sachverständigen für ein Verfahren benötigen, wenden Sie sich gerne an mich.

Wer schnell starten möchte, kann das mit meinem Auskunftsgenerator für Webseiten tun. Nach Art 15. DSGVO steht Ihnen als Besucher einer Webseite das Recht zu, zu erfahren, wie Ihre Daten verarbeitet wurden.

Fazit

Wenn Sie ein spannendes Thema haben, über das ich berichten könnte, sei es auf einer Konferenz, in einem eigenen Webinar auf Dr. DSGVO oder in einem Beitrag meines Datenschutz Blogs, dann schreiben Sie mir.

Die FFD Datenschutztage kann ich jedenfalls empfehlen. Die Organisation fand bei mir als Referent anklang, ebenso die Themenauswahl. Für nächstes Jahr ist meine Teilnahme auf der Konferenz als Referent angedacht.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/datenschutz-wichtige-themen-der-datenschutztage
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Gabimarie Cissek

    Hallo und guten Tag Herr Meffert,
    vielen Dank für die Empfehlung. Sobald man die Seite https://www.datenschutztage.de/ aufruft, erscheint ein Cookie-Banner. In den Informationen dieses Cookie-Banners lese ich, dass folgende Dienste technisch notwendig sind: reCAPTCHA, Google Tag Manager, Usercentrics Consent Management Platform. Auch Google Fonts werden als technisch notwendig klassifiziert.
    Nicht zuletzt durch die Informationen Ihrer Webseite dr-dsgvo.de/ weiß ich, dass das so nicht stimmt. Es ist immer wieder frustrierend, dass auch Webseiten, die zum Thema Datenschutz Aufklärung betreiben wollen, solche Schwächen haben. Es ist kein Einzelfall.

    Antworten
    • Dr. DSGVO

      Danke für Ihre Rückmeldung. Ich habe die öffentlichen Teile Ihres Kommentars an den Veranstalter weitergegeben. Wie es nach Sichtung der Startseite zumindest scheint, werden Google Fonts gar nicht eingebunden, sondern "nur" erklärt.

      Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Datenschutz: Google Ads sind gleichermaßen schlecht für Werbetreibende und für Werbeopfer