Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Wichtige Urteile zur DSGVO

2
Stormtrooper, Lego, Bahre, Wurf, Kinderwagen
Datenschutzgesetze einzuhalten erspart viel Ärger (Bildlizenz: CC0)

Belgien gegen Facebook: Welche Behörde ist zuständig?

Bezeichnung: EuGh-Urteil vom 15.06.2021 – C-645/19

Beschreibung: Die belgische Datenschutzaufsicht GBA wollte wissen, ob auch andere Behörden als diejenige im Land des EU-Hauptsitzes eines Unternehmens zuständig sein können. Der EuGH bejahte dies. Auch gilt die Richtlinie 95/46/EG weiter, sofern ein Verstoß früher als bei Einführung der DSGVO begangen wurde. Ebenso gilt die DSGVO im jeweiligen Staat, auch wenn noch keine nationale gesetzliche Umsetzung erfolgte.

Privacy Shield (Schrems II)

Bezeichnung: EuGH-Urteil vom 16.07.2020 – C-311/18

Beschreibung: Der EuGH hat festgestellt, dass das Privacy Shield ungültig ist. Das Privacy Shield war ein informelles Datenschutzabkommen zwischen Europa und den USA.

Cookies (Planet49)

Bezeichnung: EuGH-Urteil vom 01.10.2019 – C-673/17

Beschreibung: Der EuGH hat festgestellt, dass für Cookies, die technisch nicht notwendig sind, eine Einwilligung vom Nutzer einzuholen ist und dass die Einwilligung durch aktives Handeln des Nutzers erfolgen muss. Eine voraktivierte Checkbox für die Einwilligung ist unzulässig. Ebenso stellte der EuGH fest, dass es unerheblich ist, ob personenbezogene Daten in Cookies gehalten werden oder andere Daten.

Cookies (Planet49, Cookie-Einwilligung II)

Bezeichnung: BGH-Urteil vom 28.05.2020 – I ZR 7/16

Beschreibung: Der BGH hat das Urteil des EuGH bestätigt. Außerdem stellte der BGH fest, dass § 15 Abs. 3 des TMG richtlinienkonform auszulegen ist und dass die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) insbesondere in Form des Art. 5 Abs. 3 ebenda somit auch in Deutschland anzuwenden ist.

Setzen von Cookies ohne Einwilligung ist Wettbewerbsverstoß

Bezeichnung: Urteil des LG Köln vom 29.10.2020 – Az.: 31 O 194/20

Beschreibung: Ein Wettbewerber kann gegen den Betreiber einer Webseite vorgehen, wenn letzterer Cookies ohne Einwilligung verwendet, die einwilligungspflichtig sind. Das TMG gilt und wird nicht durch die DSGVO verdrängt. § 15 Abs. 3 TMG ist gemäß ePrivacy Richtlinie auszulegen (vgl. BGH-Urteil zu Cookies vom 28.05.2020).

Cloudflare Dienste sind nichtfunktional

Bezeichnung: Urteil des OLG Köln vom 09.10.2020 – Az.: 6 U 32/20

Beschreibung: Das Gericht stellte fest, dass Cloudflare Dateien nicht nur so verarbeitet, wie dies durch das TMG legitimiert werde, sondern sei als Mithörer einzustufen und haftet bei Urheberrechtsverstößen mit. Insbesondere verwende Cloudflare Daten, um Werbung zu betreiben.

Facebook Plugins (Fashion ID)

Bezeichnung: EuGH-Urteil vom 29.07.2019 – C‑40/17

Beschreibung: Bindet eine Webseite Social Media Plugins von Facebook o. ä. ein, liegt eine gemeinsame Verantwortlichkeit von Webseitenbetreiber und Anbieter des Plugins vor. Vgl. hierzu auch meine Untersuchung zur Twitter Plattform.

Facebook Fanpages

Bezeichnung: EuGH-Urteil vom 05.06.2018 – C‑210/16

Beschreibung: Auch der Betreiber einer Facebook Fanpage ist verantwortlich für die beim Besuch einer Fanpage verarbeiteten Daten. Es liegt somit eine gemeinsame Verantwortlichkeit von Facebook und dem Fanpage Betreiber vor. Auch Aufsichtsbehörden am Sitz einer Nebenniederlassung von Facebook können zuständig sein.

Verarbeitung personenbezogener Daten (Lindqvist)

Bezeichnung: EuGH-Urteil vom 06.03.2003 – C-101/01

Beschreibung: Die Veröffentlichung von Angaben zu Personen auf einer Internetseite stellt eine Handlung dar, die als Verarbeitung personenbezogener Daten angesehen werden kann. Als Angabe können Freizeitaktivitäten ausreichend sein. Die Angabe zu einer Krankschreibung zählt zu den Gesundheitsdaten.

E-Mail-Verschlüsselung bei Berufsgeheimnisträgern

Bezeichnung: Urteil des VG Mainz vom 17.12.2020 – 1 K 778/19.MZ

Beschreibung: Die Transportverschlüsselung von E-Mails, wie sie heutzutage Standard ist, reicht als Schutz der verschickten Daten aus. Eine zusätzliche Verschlüsselung sei auch für Anwälte, Steuerberater oder Notare nicht notwendig. Ein Verstoß gegen Artikel 32 DSGVO liegt nicht vor, wenn die reine Transportverschlüsselung verwendet werde. Vgl. hierzu auch meinen Beitrag zu Emails.

Gemeinsame Verantwortlichkeit (Zeugen Jehovas)

Bezeichnung: EuGH-Urteil vom 10.07.2018 – C-25/17

Beschreibung: Mitglieder einer Religionsgemeinschaft, die durch eine Verkündigungstätigkeit von Tür zu Tür personenbezogene Daten verarbeiten, sind gemeinsame Verantwortliche. Hierzu ist es nicht erforderlich, dass die Gemeinschaft Zugriff auf diese Daten hat.

Safe Harbor (Schrems I)

Bezeichnung: EuGH-Urteil vom 06.10.2015 – C‑362/14

Beschreibung: Der EuGH hat die Angemessenheitsentscheidung der Europäischen Kommission hinsichtlich der Datenübermittlungen an Organisationen in den USA, die sich den Safe Harbor Prinzipien unterwerfen, für ungültig erklärt.

Einwilligung durch Cookie-Banner

Bezeichnung: Urteil des LG Rostock vom 15.09.2020 – 3 O 762/19

Beschreibung: Das Gericht stellte fest, dass eine Widerspruchsmöglichkeit gegenüber einer Einwilligungsmöglichkeit nicht in den Hintergrund treten darf. Dies entspricht dem gesunden Menschenverstand, wonach es nicht freiwillig sein kann, eine Einwilligung mit nur einem Klick zu gestatten, eine Ablehnung aber mehr als einen Klick erfordert oder visuell absichtlich zurückgestellt ist.

Einwilligung bei Cookies (Orange Romania)

Bezeichnung: EuGH-Urteil vom 11.11.2020 – C-61/19

Beschreibung: Eine Vorauswahl einwilligungspflichtiger Datenverarbeitungsvorgänge vor Zustimmung durch den Nutzer ist rechtswidrig. Konkret ging es um die Zulässigkeit einer Voraktivierung einer Checkbox bei einer Einwilligungsabfrage für zu setzende Cookies. Ferner nannte das Urteil Anforderungen an den Nachweis einer wirksamen Datenschutz-Einwilligung.

Tracking in E-Mails durch Google Analytics

Bezeichnung: Beschluss des LG Wiesbaden vom 14.05.2020 – 8 O 94/19

Beschreibung: Das LG Wiesbaden hat den Streitwert für Tracking durch Google Analytics in Newsletter-Mails ohne Einwilligung auf 15.000 Euro festgelegt. Hierbei wurden die Anzahl der verschickten Mails und die Zeitspanne berücksichtigt.

IP-Adressen (Breyer)

Bezeichnung: EuGH-Urteil vom 19.10.2016 – C-582/14

Beschreibung: IP-Adressen sind personenbezogene Daten. Dies gilt auch für dynamische IP-Adressen. Es spielt keine Rolle, ob der Empfänger von IP-Adressen selbst in der Lage ist, den Personenbezug herzustellen. Es reicht, dass Dritte dies können.

IP-Adressen

Bezeichnung: BGH-Urteil vom 16.05.2017 – VI ZR 135/13

Beschreibung: Siehe EuGH-Urteil zu IP-Adressen.

SSL-Verschlüsselung bei Kontaktformularen

Bezeichnung: Urteil des LG Würzburg vom 13.09.2018 – 11 O 1741/18

Beschreibung: Wegen einer fehlenden SSL-Verschlüsselung sind übermittelte Daten eines Kontaktformulars nicht ausreichend geschützt. Es wurde ein Bußgeld in Höhe von 2000 Euro festgelegt. Ich weise darauf hin, dass m. E. ein SSL-Zertifikat für Webseiten nicht grundsätzlich erforderlich ist, nämlich insbesondere dann nicht, weil keine Adressdaten oder kritischere Daten an Dritte weitergegeben werden.

Auslistungsansprüche in Internet-Suchmaschinen

Bezeichnung: BGH-Urteil vom 27.07.2020 – VI ZR 405/18

Beschreibung: Der BGH hat entschieden, dass das Recht auf Löschung auch für Suchmaschineneinträge gilt.

Erreichbarkeit von Impressum und Datenschutzerklärung

Bezeichnung: BGH-Urteil vom 20.07.2006 – I ZR 228/03

Beschreibung: Der BGH entschied über die Erreichbarkeit des Impressums. Es ist erlaubt, wenn dieses mit maximal zwei Schritten (also Klicks) erreichbar ist. Gleiches gilt dann (automatisch) für die Datenschutzerklärung, sage ich.

Vorratsdatenspeicherung (Privacy International)

Bezeichnung: EuGH-Urteil vom 06.10.2020 – C‑623/17

Beschreibung: Der EuGH hat Fragen zur Zulässigkeit der Vorratsdatenspeicherung beantwortet. Unzulässig ist eine solche etwa ohne Anlass.

Abmahnbarkeit von Datenschutzverstößen durch Privatpersonen

Bezeichnung: Urteil des LG Dresden vom 11.01.2019 – 1a O 1582/18

Beschreibung: Verstöße gegen Persönlichkeitsrechte, etwa, wenn ein Webseiten-Betreiber Google Analytics ohne Rechtsgrundlage einsetzt, dürfen auch von Privatperson abgemahnt werden. Das Urteil bezog sich auf das TMG. § 15 Abs. 3 TMG gemäß BGH-Urteil (28.05.2020 – I ZR 7/16) gemäß Art. 5 Abs. 3 der ePrivacy Richtlinie auszulegen. Auch auf die DSGVO nimmt das Urteil Bezug.

Unterlassungsanspruch wegen Übermittlung personenbezogener Daten

Bezeichnung: Urteil des LG Lüneburg vom 14.07.202 – 9 O 145/19

Beschreibung: Bei Übermittlung personenbezogener Daten ohne Rechtsgrundlage begründet einen Unterlassungsanspruch gemäß § 1004 BGB (“Beseitigungs- und Unterlassungsanspruch”).

Die Erforderlichkeit einer Datenverarbeitung ist streng zu prüfen

Bezeichnung: Urteil des Bundesverwaltungsgerichts Österreich vom 04.12.2020 – W274 2233705-1/3E

Beschreibung: Die in Artikel 6 DSGVO genannte Erforderlichkeit der Datenverarbeitung ist eng auszulegen. Insofern ist ein berechtigtes Interesse höchstens dann durchsetzbar, wenn die Datenverarbeitung quasi unumgänglich ist. Vgl. hierzu die Einwilligungspflicht für Tools und Cookies.

Dieser Beitrag wird in anderen Beiträgen erwähnt

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

WHOIS: Wem gehört eine bestimmte Internetadresse und welche Datenschutzfragen entstehen daraus?