gekennzeichnet. 
Cookiebot: Nutzung auf Webseiten ist rechtswidrig
Bezeichnung: VG Wiesbaden, Beschluss vom 01.12.2021 – 6 L 738/21.WI
Beschreibung: Das Consent-Tool Cookiebot verarbeitet personenbezogene Daten und gibt sie in die USA weiter, wo sie dann gespeichert werden. Dies sah das Gericht als gegeben an und untersagte der Hochschule RheinMain den Einsatz von Cookiebot. Aktuell ist der Beschluss in Prüfung.
Google Fonts: Nutzung auf Webseiten ist rechtswidrig
Bezeichnung: LG München, Urteil vom 20.01.2022 – 3 O 17493/20
Beschreibung: Das Einbetten von sogenannten Google Schriften, so dass diese von einem Google Server geladen werden, ist laut dem Urteil rechtswidrig. Das Urteil wurde am 10.03.2022 rechtskräftig. Haben Sie eine Google Fonts Abmahnung erhalten, hilft Ihnen womöglich mein Beitrag mit Google Fonts Empfehlungen.
Schmerzensgeld wegen erhaltener Werbe-E-Mail
Bezeichnung: AG Pfaffenhofen a.d. Ilm, Urteil vom 09.09.2021 – 2 C 133/21
Beschreibung: Wegen unerlaubt zugesandter Mails mit werblichem Inhalt wurde der betroffenen Person aufgrund von Art. 82 DSGVO ein Schmerzensgeld in Höhe von 300 Euro zugesprochen. Auch das Auskunftsrecht aus Art. 14 DSGVO und Art. 15 DSGVO wurde verletzt.
Schmerzensgeld wegen erhaltener Werbe-E-Mail (2)
Bezeichnung: LG Heidelberg, Urteil vom 16.03.2022 – 4 S 1/21
Beschreibung: Der Kläger erhielt 25 Euro Schmerzensgeld zugesprochen. Der Schaden soll ihm dadurch entstanden sein, "[…] dass er sich mit den unerwünschten Werbemails der Beklagten auseinandersetzen, deren Herkunft ermitteln, sich um eine Auskunft von der Beklagten mittels eines Schreibens bemühen und die unerwünschten E-Mails löschen musste."
Belgien gegen Facebook: Welche Behörde ist zuständig?
Bezeichnung: EuGh-Urteil vom 15.06.2021 – C-645/19
Beschreibung: Die belgische Datenschutzaufsicht GBA wollte wissen, ob auch andere Behörden als diejenige im Land des EU-Hauptsitzes eines Unternehmens zuständig sein können. Der EuGH bejahte dies. Auch gilt die Richtlinie 95/46/EG weiter, sofern ein Verstoß früher als bei Einführung der DSGVO begangen wurde. Ebenso gilt die DSGVO im jeweiligen Staat, auch wenn noch keine nationale gesetzliche Umsetzung erfolgte.
Privacy Shield (Schrems II)
Bezeichnung: EuGH-Urteil vom 16.07.2020 – C-311/18
Beschreibung: Der EuGH hat festgestellt, dass das Privacy Shield ungültig ist. Das Privacy Shield war ein informelles Datenschutzabkommen zwischen Europa und den USA.
Probleme auf Webseiten vermeiden:
Online Website-Check
Cookies (Planet49)
Bezeichnung: EuGH-Urteil vom 01.10.2019 – C-673/17
Beschreibung: Der EuGH hat festgestellt, dass für Cookies, die technisch nicht notwendig sind, eine Einwilligung vom Nutzer einzuholen ist und dass die Einwilligung durch aktives Handeln des Nutzers erfolgen muss. Eine voraktivierte Checkbox für die Einwilligung ist unzulässig. Ebenso stellte der EuGH fest, dass es unerheblich ist, ob personenbezogene Daten in Cookies gehalten werden oder andere Daten.
Auch hatte der EuGH festgestellt, dass zu den Pflichtinformationen auch die Angabe der Funktionsdauer und der Zwecke für Cookies gehören.
Cookies (Planet49, Cookie-Einwilligung II)
Bezeichnung: BGH-Urteil vom 28.05.2020 – I ZR 7/16
Beschreibung: Der BGH hat das Urteil des EuGH bestätigt. Außerdem stellte der BGH fest, dass § 15 Abs. 3 des TMG richtlinienkonform auszulegen ist und dass die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) insbesondere in Form des Art. 5 Abs. 3 ebenda somit auch in Deutschland anzuwenden ist.
Setzen von Cookies ohne Einwilligung ist Wettbewerbsverstoß
Bezeichnung: Urteil des LG Köln vom 29.10.2020 – Az.: 31 O 194/20
Beschreibung: Ein Wettbewerber kann gegen den Betreiber einer Webseite vorgehen, wenn letzterer Cookies ohne Einwilligung verwendet, die einwilligungspflichtig sind. Das TMG gilt und wird nicht durch die DSGVO verdrängt. § 15 Abs. 3 TMG ist gemäß ePrivacy Richtlinie auszulegen (vgl. BGH-Urteil zu Cookies vom 28.05.2020).
Cloudflare Dienste sind nichtfunktional
Bezeichnung: Urteil des OLG Köln vom 09.10.2020 – Az.: 6 U 32/20
Beschreibung: Das Gericht stellte fest, dass Cloudflare Dateien nicht nur so verarbeitet, wie dies durch das TMG legitimiert werde, sondern sei als Mithörer einzustufen und haftet bei Urheberrechtsverstößen mit. Insbesondere verwende Cloudflare Daten, um Werbung zu betreiben.
Facebook Plugins (Fashion ID)
Bezeichnung: EuGH-Urteil vom 29.07.2019 – C‑40/17
Beschreibung: Bindet eine Webseite Social Media Plugins von Facebook o. ä. ein, liegt eine gemeinsame Verantwortlichkeit von Webseitenbetreiber und Anbieter des Plugins vor. Vgl. hierzu auch meine Untersuchung zur Twitter Plattform.
Facebook Fanpages (Wirtschaftsakademie)
Bezeichnung: EuGH-Urteil vom 05.06.2018 – C‑210/16
Beschreibung: Auch der Betreiber einer Facebook Fanpage ist verantwortlich für die beim Besuch einer Fanpage verarbeiteten Daten. Es liegt somit eine gemeinsame Verantwortlichkeit von Facebook und dem Fanpage Betreiber vor. Auch Aufsichtsbehörden am Sitz einer Nebenniederlassung von Facebook können zuständig sein.
Verarbeitung personenbezogener Daten (Lindqvist)
Bezeichnung: EuGH-Urteil vom 06.03.2003 – C-101/01
Beschreibung: Die Veröffentlichung von Angaben zu Personen auf einer Internetseite stellt eine Handlung dar, die als Verarbeitung personenbezogener Daten angesehen werden kann. Als Angabe können Freizeitaktivitäten ausreichend sein. Die Angabe zu einer Krankschreibung zählt zu den Gesundheitsdaten.
E-Mail-Verschlüsselung bei Berufsgeheimnisträgern
Bezeichnung: Urteil des VG Mainz vom 17.12.2020 – 1 K 778/19.MZ
Beschreibung: Die Transportverschlüsselung von E-Mails, wie sie heutzutage Standard ist, reicht als Schutz der verschickten Daten aus. Eine zusätzliche Verschlüsselung sei auch für Anwälte, Steuerberater oder Notare nicht notwendig. Ein Verstoß gegen Artikel 32 DSGVO liegt nicht vor, wenn die reine Transportverschlüsselung verwendet werde. Vgl. hierzu auch meinen Beitrag zu Emails.
Gemeinsame Verantwortlichkeit (Zeugen Jehovas)
Bezeichnung: EuGH-Urteil vom 10.07.2018 – C-25/17
Beschreibung: Mitglieder einer Religionsgemeinschaft, die durch eine Verkündigungstätigkeit von Tür zu Tür personenbezogene Daten verarbeiten, sind gemeinsame Verantwortliche. Hierzu ist es nicht erforderlich, dass die Gemeinschaft Zugriff auf diese Daten hat.
Safe Harbor (Schrems I)
Bezeichnung: EuGH-Urteil vom 06.10.2015 – C‑362/14
Beschreibung: Der EuGH hat die Angemessenheitsentscheidung der Europäischen Kommission hinsichtlich der Datenübermittlungen an Organisationen in den USA, die sich den Safe Harbor Prinzipien unterwerfen, für ungültig erklärt.
Einwilligung durch Cookie-Banner
Bezeichnung: Urteil des LG Rostock vom 15.09.2020 – 3 O 762/19
Beschreibung: Das Gericht stellte fest, dass eine Widerspruchsmöglichkeit gegenüber einer Einwilligungsmöglichkeit nicht in den Hintergrund treten darf. Dies entspricht dem gesunden Menschenverstand, wonach es nicht freiwillig sein kann, eine Einwilligung mit nur einem Klick zu gestatten, eine Ablehnung aber mehr als einen Klick erfordert oder visuell absichtlich zurückgestellt ist.
Einwilligung bei Cookies (Orange Romania)
Bezeichnung: EuGH-Urteil vom 11.11.2020 – C-61/19
Beschreibung: Eine Vorauswahl einwilligungspflichtiger Datenverarbeitungsvorgänge vor Zustimmung durch den Nutzer ist rechtswidrig. Konkret ging es um die Zulässigkeit einer Voraktivierung einer Checkbox bei einer Einwilligungsabfrage für zu setzende Cookies. Ferner nannte das Urteil Anforderungen an den Nachweis einer wirksamen Datenschutz-Einwilligung.
Tracking in E-Mails durch Google Analytics
Bezeichnung: Beschluss des LG Wiesbaden vom 14.05.2020 – 8 O 94/19
Beschreibung: Das LG Wiesbaden hat den Streitwert für Tracking durch Google Analytics in Newsletter-Mails ohne Einwilligung auf 15.000 Euro festgelegt. Hierbei wurden die Anzahl der verschickten Mails und die Zeitspanne berücksichtigt.
IP-Adressen (Breyer)
Bezeichnung: EuGH-Urteil vom 19.10.2016 – C-582/14
Beschreibung: IP-Adressen sind personenbezogene Daten. Dies gilt auch für dynamische IP-Adressen. Es spielt keine Rolle, ob der Empfänger von IP-Adressen selbst in der Lage ist, den Personenbezug herzustellen. Es reicht, dass Dritte dies können.
IP-Adressen (Breyer)
Bezeichnung: BGH-Urteil vom 16.05.2017 – VI ZR 135/13
Beschreibung: Siehe EuGH-Urteil zu IP-Adressen.
SSL-Verschlüsselung bei Kontaktformularen
Bezeichnung: Urteil des LG Würzburg vom 13.09.2018 – 11 O 1741/18
Beschreibung: Wegen einer fehlenden SSL-Verschlüsselung sind übermittelte Daten eines Kontaktformulars nicht ausreichend geschützt. Es wurde ein Bußgeld in Höhe von 2000 Euro festgelegt. Ich weise darauf hin, dass m. E. ein SSL-Zertifikat für Webseiten nicht grundsätzlich erforderlich ist, nämlich insbesondere dann nicht, weil keine Adressdaten oder kritischere Daten an Dritte weitergegeben werden.
Auslistungsansprüche in Internet-Suchmaschinen
Bezeichnung: BGH-Urteil vom 27.07.2020 – VI ZR 405/18
Beschreibung: Der BGH hat entschieden, dass das Recht auf Löschung auch für Suchmaschineneinträge gilt.
Erreichbarkeit von Impressum und Datenschutzerklärung
Bezeichnung: BGH-Urteil vom 20.07.2006 – I ZR 228/03
Beschreibung: Der BGH entschied über die Erreichbarkeit des Impressums. Es ist erlaubt, wenn dieses mit maximal zwei Schritten (also Klicks) erreichbar ist. Gleiches gilt dann (automatisch) für die Datenschutzerklärung, sage ich.
Vorratsdatenspeicherung (Privacy International)
Bezeichnung: EuGH-Urteil vom 06.10.2020 – C‑623/17
Beschreibung: Der EuGH hat Fragen zur Zulässigkeit der Vorratsdatenspeicherung beantwortet. Unzulässig ist eine solche etwa ohne Anlass.
Abmahnbarkeit von Datenschutzverstößen durch Privatpersonen
Bezeichnung: Urteil des LG Dresden vom 11.01.2019 – 1a O 1582/18
Beschreibung: Verstöße gegen Persönlichkeitsrechte, etwa, wenn ein Webseiten-Betreiber Google Analytics ohne Rechtsgrundlage einsetzt, dürfen auch von Privatperson abgemahnt werden. Das Urteil bezog sich auf das TMG. § 15 Abs. 3 TMG gemäß BGH-Urteil (28.05.2020 – I ZR 7/16) gemäß Art. 5 Abs. 3 der ePrivacy Richtlinie auszulegen. Auch auf die DSGVO nimmt das Urteil Bezug.
Unterlassungsanspruch wegen Übermittlung personenbezogener Daten
Bezeichnung: Urteil des LG Lüneburg vom 14.07.202 – 9 O 145/19
Beschreibung: Bei Übermittlung personenbezogener Daten ohne Rechtsgrundlage begründet einen Unterlassungsanspruch gemäß § 1004 BGB ("Beseitigungs- und Unterlassungsanspruch").
Die Erforderlichkeit einer Datenverarbeitung ist streng zu prüfen
Bezeichnung: Urteil des Bundesverwaltungsgerichts Österreich vom 04.12.2020 – W274 2233705-1/3E
Beschreibung: Die in Artikel 6 DSGVO genannte Erforderlichkeit der Datenverarbeitung ist eng auszulegen. Insofern ist ein berechtigtes Interesse höchstens dann durchsetzbar, wenn die Datenverarbeitung quasi unumgänglich ist. Vgl. hierzu die Einwilligungspflicht für Tools und Cookies.
Kommentare von Lesern