December 06, 2024

reCAPTCHA setzt keine technisch erforderlichen Cookies - Datenschutz News KW 49/2024

19 minutes

Was ist in der KW 49 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

EuGH (Dritte Kammer), Urt. 28.11.2024 – C-169/23 (Másdi)

reCAPTCHA nicht technisch erforderlich

Schleswig-Holsteinisches OLG, Urteil vom 22.11.2024, Az. 17 U 2/24

Empfehlungen der BNetzA zu smarten Alltagsprodukten

noyb und verbraucherschutzverein.eu sind „qualifizierte Einrichtung“ zur Erhebung von Verbandsklagen in der EU

Empfehlungen & Lesetipps:

Europäische Datenschutzausschuss (EDSA) veröffentlicht Leitlinien zu Artikel 48 DSGVO über Datenübermittlungen an Behörden in Drittländern

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/recaptcha-setzt-keine-technisch-erforderlichen-cookies-datenschutz-news-kw-49-2024/↗

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.

Wir starten heute wieder mit euch

und einem Datenschutz-Rückblick auf die vergangenen Tage ins Wochenende.

Hier bei der Migosens behalten wir ja die Nachrichtenlage die ganze Woche nach

Möglichkeit für euch im Blick.

Heute ist Freitag, der 6.12.2024.

Unser Rektionsschluss wie immer um 9.30 Uhr am ersten Freitag im Monat.

Mein Name ist Heiko Gossen.

Und mein Name ist Natalia Wosniak.

6.12. Natalia, da klingelt es ja.

Nikolaus.

Nikolaus, hast du was im Stiefel heute Morgen?

Ich habe leider vergessen, die rauszustellen. Oh nein. Oh nein,

aber vielleicht kommt der Nikolaus noch mal später noch mal rum.

Ja, ich hatte Glück. Ich hatte sie zwar nicht geputzt, das habe ich vergessen,

aber er stand sowieso draußen und dann war halt morgen noch was drin.

Ich hatte einen großzügigen Nikolaus, sagen wir es mal so.

Wahnsinn. Bei dir hingegen muss man schon eher wohnen als bei mir.

Okay, dann lass uns einsteigen. Was hast du heute mitgebracht für uns und unsere Zuhörer?

Ich habe heute einmal ein Urteil des EuGH zu Artikel 14 DSGVO,

ein Urteil vom OLG Schleswig-Holstein zu Paragraph 31 BDSG und der Interessenabwägung

und einmal die Zulassung von Neub als qualifizierte Einrichtung.

Spannende Themen. Ich hätte heute mit dabei ein Urteil aus Österreich zum Thema

Recapture, was auf vielen Webseiten eingesetzt wird.

Dann gucken wir auf eine Warnung der Bundesnetzagentur vor smarten Geräten und

zum Schluss noch eine Veröffentlichung mit im Rucksack.

Dann würde ich sagen, lass uns nicht weiter unsere Zuhörer auf die Folter spannen

und erklär uns mal, was der EuGH zu Artikel 14 gesagt hat.

Genau. Der EuGH hat sich mit der Auslegung von Artikel 14 beschäftigt,

vor allem Artikel 14 Absatz 5 Buchstabe c.

Für diejenigen, die Absatz 5 und Buchstabe c nicht so präsent haben,

dieser besagt, dass die Absätze 1 bis 4 nicht gelten und dass dementsprechend

eine Informationspflicht gegenüber den Betroffenen nicht gilt in dem Fall des

Artikel 14 Absatz 5a und die weiteren Buchstaben unter anderem eben c.

Der EuGH hat sich konkret mit drei Vorlagefragen beschäftigt.

Zu der ersten Vorlagefrage stellt der EuGH fest, dass Artikel 14 Absatz 5 Buchstabe C bzw.

Die darin vorgesehene Ausnahme, also die Ausnahme von der Informationspflicht.

Sich nicht auf personenbezogene Daten beschränkt, die der Verantwortliche von

einer anderen Person als dem Betroffenen erhalten hat,

sondern dass auch Daten, die der Verantwortliche selbst im Rahmen der Erfüllung

seiner Aufgaben aus solchen Daten erzeugt hat, dass die ebenfalls nicht ausgeschlossen sind.

Der EuGH begründet dies mit der Abgrenzung zu Artikel 13 DSGVO und demnach gehören

in den Anwendungsbereich von Artikel 14 alle Fälle,

in denen die Daten eben nicht bei der betroffenen Person erhoben wurden und damit auch Daten,

die der Verantwortliche selbst erzeugt hat.

Zu den weiteren Vorlagefragen, zu der Frage 2 und 3, hat der EuGH zusammenfassend

erläutert, dass die Aufsichtsbehörde im Rahmen eines Beschwerdeperfahrens auch prüfen darf,

ob das Recht des Mitgliedstaates dem der Verantwortliche unterliegt,

im Zusammenhang mit der Anwendung der Artikel 14 Buchstabe c des Absatzes 5

der DSGVO vorgesehenen Ausnahme geeignete Maßnahmen zum Schutz der berechtigten

Interessen der Betroffenen vorsieht.

Die Geeignetheit der Maßnahmen, zu deren Durchführung der Verantwortlichen Artikel

32 verpflichtet ist, ist jedoch nicht Gegenstand dieser Prüfung.

Bei dem zugrunde liegenden Sachverhalt ging es um das Bestehen einer Informationspflicht

bezüglich der Verarbeitung von personenbezogenen Daten durch eine Regierungsbehörde

der Hauptstadt Budapest.

Die konkrete Bezeichnung erspare ich mir an der Stelle.

Diese Behörde war konkret für die Ausstellung von Impfzertifikaten oder Immunitätszertifikaten

für Personen zuständig, die gegen Covid-19 geimpft wurden oder sich mit dieser

Krankheit infiziert hatten.

Die konkreten Inhalte der Zertifikate ergaben sich dabei aus dem ungarischen

Recht und ebenfalls aus dem ungarischen Recht ergab sich die Möglichkeit oder

die Verpflichtung der Behörde, Informationen teilweise auch bei anderen Stellen zu beziehen.

Von daher, ich glaube, der wichtige Punkt dabei ist einfach,

dass wir uns merken, dass Artikel 14, auch wenn das Urteil jetzt wirklich auf

Absatz 5 bezogen ist, Buchstabe C konkret,

dass insgesamt Artikel 14 auch für die Daten anwendbar ist, die eben nicht bei

den Betroffenen erhoben wurden,

aber potenziell auch selbst bei dem Verantwortlichen erzeugt wurden.

Gut, schauen wir nach Österreich. Das österreichische Bundesverwaltungsgericht

hat entschieden, dass Webseitenbetreiber die volle Verantwortung für Datenschutzverstöße

durch implementierte Dienste wie Google ReCapture tragen,

auch ohne direkten Zugriff auf die technische Gestaltung.

Das Bundesverwaltungsgericht in Österreich hat entschieden, die BetreiberInnen

einer Webseite haben bei der Nutzung von Google ReCapture gegen das Recht auf

Geheimhaltung verstoßen, im konkreten Fall hier.

Der Grund, sie haben keine wirksame Einwilligung der NutzerInnen eingeholt, so das Gericht.

Es hat klargestellt, dass das verwendete Cookie-GRE-CAPTCHA nicht notwendig

war, um die Webseite zu betreiben.

Es hätte also eine klare Zustimmung gebraucht. Außerdem wurden Nutzer hier nicht

ausreichend darüber informiert, dass Daten gesammelt und verarbeitet werden.

Das heißt, selbst wenn die technische Umsetzung ausgelagert wurde,

sind die Betreiber für die Datenschutzverstöße mit verantwortlich oder verantwortlich.

Die Betreiber argumentierten hier in dem konkreten Fall, dass sie nicht als

verantwortlich im Sinne der DSGVO gelten, da die technische Umsetzung der Webseite

von einem externen Dienstleister durchgeführt wurde.

Zudem hielten sie eine Einwilligung wohl nicht für erforderlich,

da Nutzer durch die Cookie-Einstellungen selbst entscheiden könnten,

wann Daten verarbeitet werden.

Sie vertraten also die Ansicht, dass die Nutzung von Google Recapture durch

frühere Einwilligungen der Nutzer, zum Beispiel bei anderen Webseiten oder auf

ihrem Endgerät wohl schon bereits gedeckt sein.

Das sah das Gericht anders und da kommt sozusagen dann glaube ich auch recht

gut heraus, wenn man sich das Urteil nochmal ansieht, dass halt die Interessenabwägung,

also das Stützen auf 6.1.f.

Hier vom Gericht nicht anerkannt wurde, nicht nur weil die Informationspflichten

im Vorfeld fehlten, die wir nach 21 hier haben, sondern halt auch,

weil es halt nicht technisch erforderlich ist, um die Webseite zu betreiben.

Finde ich mal ganz gut, ist österreichisches Bundesverwaltungsgericht,

aber jetzt nicht irgendwie nur ein Amtsgericht oder sowas, hier eine Meinung

vertritt. Von daher, glaube ich, hat das schon Gewicht.

Auch in Deutschland sollte man da, glaube ich, nochmal genau hingucken,

inwieweit man Recapture bisher datenschutzrechtlich gestützt hat und ob man

es schon im Rahmen der Einwilligung im Cookie-Banner auch drin hat.

Ich glaube, es ist für die Praxis sehr relevant, weil tatsächlich viele Webseiten,

auch bei einigen Mandanten, die wir beraten, die Webseiten und das Recapture,

was dort implementiert ist, zum Teil immer noch auf 6.1.f.

Gestützt wird und nicht auf die Einwilligung.

Ich glaube, damit haben wir ein bisschen Klarheit gewonnen und finde ich gut.

So, ich habe ebenfalls in meiner nächsten Meldung den Artikel 6.1f.

Konkret geht es um ein Urteil des OLG Schleswig-Holstein.

Das OLG hat sich mit der Rechtsgrundlage für die Einmeldung von ruckständigen

Forderungen an eine Wirtschaftsauskunft teilbeschäftigt.

Die Parteien haben sich im zugrunde liegenden Fall im Berufungsverfahren um

den Widerruf eines Negativ-Eintrags gestritten.

Das Gericht sagt hier, dass die Rechtsgrundlage für die Einmeldung einzig Artikel

6 Absatz 1f, also das berechtigte Interesse, sein kann und damit einzig 6 Absatz 1f in Betracht kommt.

Die Beweislast für den Nachweis, dass die Verarbeitung der Daten rechtmäßig

erfolgt, trägt die Beklagte, hier die Schufa.

Insofern, die Interessenabwägung ist durch die Schufa durchzuführen und auch nachzuweisen.

Das Gericht stellt dabei jedoch auch fest, dass die Abwägungskriterien für die

widerstreitenden Interessen nach herrschender Auffassung auch durch § 31 Absatz

2 BDSG konkretisiert werden können,

beziehungsweise dass § 31 BDSG als Auslegungshilfe bei der Anwendung des Artikel

6 DSGVO, also 6.1f DSGVO, herangezogen werden kann.

Denn § 31 BDSG soll den Wirtschaftsverkehr bei Scoring- und Bonitätsauskunft

schützen, insofern wird, so das Gericht weiter,

durch den Gesetzgeber Stillschweigen vorausgesetzt, dass nur Forderungen,

die den Anforderungen des § 31 Absatz 2 BDSG entsprechend berechtigt übermittelt

und für die Ermittlung von Scorewerten verwendet werden dürfen.

Denn auch wenn § 31 nach seinem Wortlaut auf die Verwendung eines von Auskunftteilen

ermittelten Wahrscheinlichkeitswertes über die Zahlungsfähigkeit und Zahlungswilligkeit sich darauf bezieht.

Sind die Informationen über eine nicht vertragsgemäß abgewickelte fällige Forderung

in ähnlicher Weise schutzrelevant wie die Ermittlung des Korwertes.

Allerdings sind die Kriterien, die sich aus § 31 BDSG ergeben,

keinesfalls abschließend zu das Gericht weiter, sondern sollen nur beispielhaft

die Interessenabwägung im Rahmen des Artikel 6 Absatz 1f ausformen.

Die in § 31 BDSG für die Zulässigkeit des Scrollings enthaltenen Maßstäbe haben

insoweit allerdings indizielle Bedeutung.

Von daher, wenn die Einmeldung von Forderungen auf Artikel 6.1.f.

Gestützt wird, sollten auch die Kriterien des § 31 BDSG mit berücksichtigt werden

bei der Dokumentation der Interessenabwägung durch die Wirtschaftsauskunft ein.

Habe ich nur das Gefühl oder haben wir gerade im Moment echt so einen Schwerpunkt

zu den berechtigten Interessen in der Rechtsprechung und wir haben jetzt auch

die Leitlinien vom ETSA dazu?

Oder ist das nur so dieser Effekt, wie wenn man ein neues Auto hat,

dass man plötzlich nur noch diese Modelle verstärkt im Straßenverkehr sieht?

Nee, es ist schon so, oder? Im Moment haben wir sehr viel rund um das Thema

berechtigtes Interesse.

Also ich glaube, wie gesagt, das ist ein Thema, da sollte man wirklich,

wirklich ernst nehmen, nochmal drauf zu schauen im eigenen Unternehmen.

Ich glaube, es ist tatsächlich so, dass wir das wirklich vermehrt haben und

im Zusammenhang auch mit meinem letzten Thema, zu dem ich nachher nochmal komme,

glaube ich, sind Unternehmen tatsächlich gut beraten,

sich anzuschauen, welche Verarbeitungen werden tatsächlich, ob das berechtigte

Interesse gestützt und liegen die erforderlichen Dokumentationen dazu auch vor?

Ist die Abwägung tatsächlich durchgeführt worden? Vielleicht muss die aktualisiert

werden angesichts des Etzerpapiers, was wir vor ein paar Wochen auch hatten,

was jetzt neu gekommen ist.

Vielleicht sind die auch schon vollständig, aber es lohnt sich auf jeden Fall

einen Blick ins Verfahrensverzeichnis, um zu schauen, gibt es da Handlungsbedarf.

Und ich glaube, das Widerspruchsrecht, der Hinweis auf die Verarbeitung von

berechtigten Interessen und das damit einhergehende Widerspruchsrecht nach 21,

sollte man nicht unterschätzen, auch wenn es nicht Direktwerbung ist.

Also da sieht man doch in der Praxis an sehr vielen Stellen,

dass diese expliziten Hinweise, das reicht ja nicht, dass nur die Datenschutzhinweise

zu schreiben, sondern der Betroffene muss ja explizit darauf hingewiesen werden,

nicht zusammen mit anderen Hinweisen.

Also da glaube ich, ist auf jeden Fall auch immer Prüfungsbedarf sinnvoll.

Definitiv, ja.

Okay, gehen wir weiter. Die Bundesnetzagentur warnt vor smarten Geräten mit

versteckten Kameras und Mikrofonen.

Die BNSA warnt vor smarten Geräten, die heimlich Audio- oder Videoaufnahmen

machen und kabellos übertragen könnten, denn solche Produkte sind in Deutschland,

wie die meisten von euch wahrscheinlich wissen, verboten.

Smarte Spielzeuge, Saugroboter oder Brillen können praktisch sein,

natürlich, keine Frage, bergen aber Risiken für die Privatsphäre,

wenn sie nicht klar signalisieren, dass sie aufzeichnen.

Besonders problematisch sind versteckte Kameras und Mikrofone,

etwa in Überwachungskameras, die nicht gut sichtbar sind, oder in Geräten wie

Futterautomaten, wenn sie zum Beispiel Heimlichtdaten aufnehmen und versenden.

Dazu Klaus Müller, der Präsident der Bundesnetzagentur, betont,

wie wichtig es ist, dass Aufnahmen eindeutig erkennbar sind,

gerade natürlich in sensiblen Bereichen wie Kinderzimmern.

Weil die BNZ hat wohl wieder zahlreiche Spionagegeräte entdeckt,

wie Halsketten mit Mikrofonen oder Rasierapparaten mit versteckten Kameras.

Neben dem, dass natürlich die Menschen und gerade wenn es dann in sensible Bereiche

wie Kinderzimmer oder so geht,

ich glaube, das ist klar, da sollten wir als Menschen vom Fach vielleicht auch

immer wieder daran denken, unsere Umwelt auch zu sensibilisieren für solche Dinge.

Ich habe einen Freund, der weiß mittlerweile, wenn ich komme,

dann schaltet der Alexa aus zum Beispiel.

Anderes Thema. Nee, aber ich glaube, was halt hier an der Stelle halt auch mal

wichtig ist für Unternehmen daran zu denken, dass sie halt auch ihre Mitarbeiter

sensibilisieren hinsichtlich Homeoffice.

Also wenn ich natürlich solche, ja ich nenne es mal einfach Wanzen oder heimlichen

Spione im Unternehmen quasi nicht habe, aber dann bei den Mitarbeitern zu Hause,

die da Teams-Calls, Videokonferenzen, Telefonate mit vertraulichen Inhalten führen,

dann habe ich da natürlich auch ein tatsächliches ernsthaftes Sicherheitsrisiko.

Und deswegen rate ich halt immer dazu, dass man sowas halt auch die Mitarbeiter

sensibilisiert oder vielleicht sogar in die Homeoffice-Richtlinie mit aufnimmt,

dass sowas halt explizit auch ausgeschlossen wird.

Und wie gesagt, dazu gehören für mich halt auch Sprachassistenten,

die haben auch nichts im Homeoffice verloren.

Ich glaube, das ist auch sehr wichtig, vor allem, weil uns die Geräte immer

mehr in der Praxis auch begleiten.

Ich habe letztens für meinen Hund ein Fütterungsautomat, wenn der Hund alleine

ist, mit einer eingebauten Kamera gefunden.

Das heißt, auch mit einem Mikrofon, damit man auch hören kann,

ob der Hund gerade Unsinn macht.

Und ich glaube, das zieht sich immer mehr durch unser Leben und umso wichtiger

finde ich wirklich, die Mitarbeiter im Homeoffice zu sensibilisieren,

weil je nachdem, in welchem Bereich die Mitarbeiter tätig sind,

dabei auch eben sensible Informationen oder auch Geschäftsgeheimnisse in die

Cloud und wer weiß, wohin gehen können.

Genau, deswegen immer Obacht, wenn Geräte mit dem Internet verbunden werden wollen.

Okay, ich komme zu meiner letzten Meldung. Und zwar wurde Neub, None of Your Business,

eine Organisation, die sicherlich viele oder fast alle unsere Zuhörer mittlerweile

kennen, als qualifizierte Einrichtung zur Erhebung von Verbandsklagen in der

gesamten EU zugelassen.

Neub kann damit nach der Verbandsklagenrichtlinie, also eine EU-Richtlinie 2020-1828,

für die diesmal nachlesen möchten, Unterlassungsklagen und auch Abhilfeklagen einbringen.

Das EU-System für kollektiven Rechtsschutz erlaubt, nämlich nur gemeinnützige

Organisationen aktiv zu werden und diese müssen als qualifizierte Einrichtung

erstmal anerkannt werden.

Dementsprechend hat Neub in zwei Mitgliedstaaten die Genehmigung als qualifizierte

Einrichtung beantragt, nämlich in Irland und in Österreich.

Beide Genehmigungen wurden nun erteilt und gelten innerhalb dieser Mitgliedstaaten,

aber auch grenzüberschreitend in der gesamten EU. Damit kann Neub als qualifizierte

Einrichtung in jedem EU-Mitgliedstaat Klagen erheben.

Dazu gehören zum einen Unterlassungsklagen, die es Neub, genauso wie jeder anderen

qualifizierten Einrichtung, ermöglichen, ein Unternehmen aufzufordern,

eine bestimmte Praxis einzustellen.

Hier können das Klagen sein gegen Tracking von Nutzerdaten, ohne gültige Einwilligung

oder im Falle einer Verwendung von Dark Patterns oder bei einem unrechtmäßigen

Verkauf von personenbezogenen Daten,

aber auch bei nicht transparenten oder unzulässigen Formulierungen in Datenschutzrichtlinien

oder bei Übermittlungen in Drittstaaten,

die eben keinen angemessenen Schutz bieten.

Die zweite Art von Verfahren könnten dann die Abhilfeverfahren sein,

die Neub demnächst auch vorantreiben kann.

Abhilfeverfahren greifen bei vergangenen und andauernden Verstößen,

wie etwa bei einer rechtswidrigen Datenverarbeitung.

In der Regel umfassen solche Fälle immateriellen Schadensersatz,

können aber auch zum Beispiel auf die Rückgabe des Gewinns, der durch eine unzulässige

Datennutzung erzielt wurde, gerichtet werden.

Insofern sind Unternehmen gut beraten, demnächst tatsächlich,

so wie wir das vorhin schon angedeutet haben,

ihre internen, aber auch externen Prozesse gut nochmal zu prüfen,

zu aktualisieren, denn Neub war in der Vergangenheit aktiv und es ist nicht

davon auszugehen, dass es jetzt an der Aktivität wieder mangeln wird.

Ich glaube, hier hat man Neub ein scharfes Schwert in die Hand gedrückt.

Ja.

Gut, kommen wir zu einer Veröffentlichung,

die ich noch mitgebracht habe und zwar der Europäische Datenschutzausschuss

hat auf seiner letzten Plenartagung Leitlinien zu Artikel 48 DSGVO über Datenübermittlungen

an Behörden in Drittländer veröffentlicht.

Die Leitlinien sind bis zum 27. Januar 25 Gegenstand einer öffentlichen Konsultation

und sie sollen den Umgang mit Anfragen von Behörden aus Drittstaaten regeln.

Grundsätzlich dürfen solche Anfragen ja nur auf Grundlage eines internationalen

Abkommens wie einem Rechtshilfevertrag anerkannt und umgesetzt werden.

Und der Ziel des Ätzers ist es halt hier auch weiterhin die Souveränität des

EU-Rechts zu wahren und sicherzustellen, dass der Datenschutzstandard der DSGVO

halt dadurch nicht unterlaufen wird.

Besonders im Fokus stehen direkte Anfragen von Drittstaatenbehörden an private

Unternehmen in der EU, wie etwa durch Steuer- oder Sicherheitsbehörden.

Der ETSA empfiehlt, jede Anfrage sorgfältig zu prüfen und sicherzustellen,

dass sie mit den Datenschutzvorgaben der EU im Einklang steht.

Dem kann ich mich natürlich nur anschließen und die Empfehlung aussprechen,

sich dann, wenn man solche Anfragen hat, auf jeden Fall mit diesen Leitlinien

dann auch intensiv zu beschäftigen.

Dem kann ich nichts mehr hinzufügen.

Wunderbar, dann sind wir durch für heute.

Wir wünschen euch natürlich noch einen schönen Nikolaustag, eine gute Adventszeit natürlich.

Er hört uns weiterhin regelmäßig. Vielleicht noch ein kleiner Hinweis,

wir werden dieses Jahr auch wieder eine kleine Silvestershow machen,

kleine in Anführungszeichen geschrieben. Wir haben jetzt auch schon einige Zusagen, was Gäste angeht.

Ich kann es so viel schon mal verraten. Es ist auch wieder eine Aufsichtsbehörde mit dabei.

Wir haben aber auch Leute aus der Wirtschaft. Also es wird wieder interessant.

Von daher merkt euch gerne den 30.12., glaube ich, veröffentlichen wir sie.

Oder einen 30. Mal sehen.

Egal, also wie gesagt, Ende des Jahres auf jeden Fall an die Silvester-Show

denken. Und in diesem Sinne, dir herzlichen Dank, Natalia.

Dir ebenfalls, Heiko.

Euch, wie gesagt, noch schönen Nikolaustag. Und bleibt uns gewogen. Und auf bald.

Bis zum nächsten Mal.

Der Beitrag reCAPTCHA setzt keine technisch erforderlichen Cookies – Datenschutz News KW 49/2024 erschien zuerst auf migosens.

...more

View all episodes

By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und Kompetenz