Tag Archive for: DSGVO

LG Hamburg und LG Bonn: 500 Euro Streitwert für DSGVO-Auskunft

Die Rechtsprechung bezüglich des Streitwerts von DSGVO-Auskunftsansprüchen ist bislang weitgehend uneinheitlich. Die Gerichte setzen in der Regel – meist ohne nähere Begründung – Werte irgendwo zwischen EUR 500,00 und EUR 5.000,00 an. Nun haben die Landgerichte Hamburg und Bonn in relativ aktuellen Entscheidungen jeweils Streitwerte von EUR 500,00 für die Durchsetzung eines Auskunftsanspruchs gemäß Art. 15 DSGVO angenommen und diese vergleichsweise ausführlich begründet. Damit könnte ein erster Richtwert gesetzt sein. 

Read more

DSGVO-Verstöße werden immer teurer

Laut einem aktuellen Bericht der Kanzlei DLA Piper wurde der Rekord der 2021 verhängten Bußgelder wegen Verstoßes gegen die DSGVO im vergangenen Jahr abermals gebrochen. Seit in Kraft treten der DSGVO stieg die Höhe der Bußgelder um 630 Prozent. Dabei sind Irland und Luxemburg Spitzenreiter in der Liste der höchsten verhängten Bußgelder.

Read more

OLG Karlsruhe: Nutzung amerikanischer Cloud-Dienste mit EU-Servern erleichtert

Die Übermittlung personenbezogener Daten an Dienste in den USA ist derzeit eins der kompliziertesten Themen im Datenschutz. Seit dem Wegfall des Privacy Shield Abkommens und den Entscheidungen der Aufsichtsbehörden zu Standarddatenschutzklauseln sind europäische Unternehmen rechtlicher Unsicherheit ausgesetzt, wenn sie US-amerikanische Tools und Services einsetzen möchten. Für etwas Optimismus sorgte zuletzt ein Urteil des OLG Karlsruhe. Danach dürfen europäische Unternehmen darauf vertrauen, dass personenbezogene Daten die EU nicht verlassen, wenn dies vertraglich zugesichert wird. 

 Hintergrund:

Aufgrund der weitreichenden Auswirkungen des Schrems-II-Urteils des EuGH (Urt. v. 16.07.2020, Rs. C‑311/18), hatten einige große amerikanische Anbieter von Software und Cloud-Diensten europäische Tochtergesellschaften gegründet und Serverstandorte in Deutschland oder anderen EU-Staaten eingerichtet. Hierdurch sollten die hohen Hürden eines sogenannten Drittland-Transfers entschärft werden, weil die Daten mutmaßlich nie die EU verlassen würden. Nach wie vor bestehen jedoch erhebliche Zweifel an der Rechtmäßigkeit der Verarbeitung durch solche Anbieter, da sie gemäß des US-Patriot Acts indirekt über ihre amerikanischen Muttergesellschaften zur Offenlegung von Daten von EU-Bürgern (beispielsweise zur Terrorabwehr) an US-Geheimdienste gezwungen werden könnten. Es wird zudem von Aufsichtsbehörden vertreten, dass die Nutzung solcher Dienste ebenfalls als Drittlandtransfer zu bewerten sei, da nicht ausgeschlossen werden könne, dass die Daten (auch) auf Servern mit Standorten in den USA durch die amerikanischen Muttergesellschaften verarbeitet würden.

Dieser Auffassung, die das bloße Risiko einer Datenübermittlung in die USA faktisch als Drittlandtransfer ansah, ist das OLG Karlsruhe nun entgegengetreten.

Urteil:

Das OLG stellte in seinem Beschluss vom 07.09.2022, Az. 15 Verg 8/22, fest, dass eine vertragliche Zusage des Anbieters, keine Daten in die USA zu übertragen, grundsätzlich ausreiche. Voraussetzung sei, dass keine unmittelbaren Zweifel oder Anhaltpunkte für einen Verstoß gegen dieses Leistungsversprechen bestehen. Hierauf dürfe das europäische Unternehmen, das den Dienst nutzen möchte, redlicher Weise vertrauen.

Eine Konzernbindung der Tochtergesellschaft an die US-amerikanische Muttergesellschaft begründe dabei noch keine ausreichenden Zweifel an der Einhaltung von EU-Normen. Die rein theoretische Zugriffsmöglichkeit der Unternehmensmutter im Drittstaat stelle gerade keine Übermittlung personenbezogener Daten und damit auch keinen Verstoß gegen Art. 44 ff. DSVGO dar. Deshalb sei es in diesen Konstellationen auch nicht erforderlich, dass der Diensteanbieter zusätzliche technische und organisatorische Maßnahmen, beispielsweise im Hinblick auf eine sichere Verschlüsselung, zusichert, wie dies der EuGH im Schrems-II-Urteil gefordert hatte. Dies gelte nämlich eben nur für echte Drittlandtransfers.

Das Urteil ist für Unternehmer insofern ein Lichtblick, da es den Einsatz zahlreicher Anbieter wie Google, Facebook, Microsoft oder Adobe erleichtert, die in der Regel europäische Tochtergesellschaften (insbesondere in Irland) betreiben. Es scheint jedoch so, als sei das letzte Wort hierzu noch nicht gesprochen. Am Ende könnte es sich um eine Frage handeln, die der Europäische Gerichtshof zu klären hätte.

 

Photo by Ian Battaglia on Unsplash

Update: Google äußert sich zu Google Fonts

Anfang diesen Jahres hatte das Landgericht München I einem Internetnutzer Schadensersatz zugesprochen, weil seine Daten durch die externe Einbindung von Google Fonts an Google Server in den USA übermittelt wurden (wir hatten berichtet). Dieses Urteil nahmen einige zum Anlass, ein lukratives Geschäft mit Abmahnungen gegenüber Website-Betreibern zu machen, die Google Fonts einsetzen. Zwischenzeitlich rollte eine regelrechte Abmahnwelle über Deutschland und Österreich. Bis heute wenden sich Unternehmen an uns, die Post von Abmahnanwälten erhalten haben.

Nun äußert sich endlich auch der Tech-Gigant Google selbst in einem Blogbeitrag zu der Problematik.

In Anbetracht der jüngsten Ereignisse und der Medienberichterstattung über Google Fonts halten wir es für notwendig, die folgende Erklärung abzugeben:

[…] Google respektiert die Privatsphäre des Einzelnen. Die Google Fonts-Web-API ist so konzipiert, dass die Erfassung, Speicherung und Verwendung von Daten auf das beschränkt wird, was für die effiziente Bereitstellung von Schriftarten und für Nutzungsstatistiken erforderlich ist. Diese Daten werden sicher und getrennt von anderen Daten aufbewahrt. Google verwendet die von Google Fonts gesammelten Informationen nicht für andere Zwecke und insbesondere nicht für die Erstellung von Profilen von Endnutzern oder für Werbung. Außerdem ist die Tatsache, dass die Server von Google notwendigerweise IP-Adressen erhalten, um Schriftarten zu übertragen, keine Besonderheit von Google und entspricht der Funktionsweise des Internets.

Wenig überraschend verteidigt Google das eigene Geschäftsmodell und stellt die IP-Übermittlung als rein technisch notwendigen Vorgang dar. An der rechtlichen Würdigung dürfte dieses Argument jedoch in einem hypothetischen Gerichtsverfahren wenig ändern, schlichtweg weil es eine einfache, datensparsame Alternative gibt: die lokale Speicherung der Schriftart.

Auf der anderen Seite: Was heißt “lokal”? Kein Unternehmen hostet seine Website auf eigenen Servern im Keller, sondern bei kommerziellen Hosting-Providern. Dazu kommt: Websites sind heute nicht mehr statische html-Skripte. Stattdessen sind sie aus einer Vielzahl verschiedener Inhalte unterschiedlichster Art von verschiedenen Anbietern zusammengesetzt (Fotos, Videos, Landkarten, Animationen, Chatfunktionen etc.). Dieser Content wird in aller Regel von externen Diensten bereitgestellt, sodass beim Aufruf fast jeder Website Datenverbindungen zu mehreren externen Servern aufgebaut werden. Wo läuft die Grenze zwischen “guten” und “bösen” Dienstleitern? Welche Datenverbindungen sind erforderlich und welche nicht? Es stellt sich hier die grundsätzliche Frage: Was für ein Internet möchten wir? Welche Antwort die Politik und Gesetzgebung mittelfristig auf diese Frage findet, bleibt abzuwarten.

 

Photo by Brett Jordan on Unsplash

Google, MailChimp, Shopify, Klaviyo: Immer mehr US-Dienste im Datenschutz-Visier

Es vergeht derzeit kaum eine Woche, in der kein neuer US-Online-Dienst ins Visier von Datenschützern oder Abmahnern gerät. Angefangen hatte es damit, dass mehrere Datenschutz-Aufsichtsbehörden europäischen Unternehmen den Einsatz von Google Analytics und MailChimp untersagt hatten. Dann kam das inzwischen berühmt berüchtigte Urteil des Landgerichts München I zu Google Fonts und die hierauf folgende Abmahnwelle. Hochaktuell sind die Meldungen, dass eine Aufsichtsbehörde den Einsatz von Shopify als rechtswidrig eingestuft und eine Anwaltskanzlei Unternehmen wegen der Nutzung des Marketing-Automation-Tools Klaviyo abgemahnt habe. Kernproblem ist meist dasselbe: Die Übermittlung personenbezogener Daten an Anbieter in den USA. Es stellt sich inzwischen die Frage: Lassen sich amerikanische Dienste überhaupt noch risikofrei einsetzen?

Angefangen hat alles am 16. Juli 2020 mit dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH, Rechtssache C 311/18), in dem das Privacy Shield-Abkommen zwischen der EU und den USA für unwirksam erklärt wurde. Die Übertragung personenbezogener Daten in die USA – und damit der Einsatz von US-Diensten, Cloud- oder SaaS-Anbietern – ist seitdem nur unter komplexen Voraussetzungen zulässig und immer von einer Einzelfallbetrachtung abhängig. Die Datenschutz-Aufsichtsbehörden sind im Ergebnis sogar der Auffassung, dass eine Nutzung solcher Dienste praktisch gar nicht mehr möglich sein soll. Folge: Ein erhebliches Risiko für Unternehmen und Website-Betreiber.

 

Kurz und knapp: What to do?

In der Praxis ist der Betrieb einer Website oder eines Online-Shops, der im Wettbewerb mit anderen Anbietern stehen soll, bei einem kompletten Verzicht auf US-Dienste fast unmöglich. Es fehlt schlichtweg an gleichwertigen europäischen Alternativen. Komplette Umzüge und Umstrukturierungen sind mit erheblichem Aufwand und Kosten, sowie ggf. mit Verlust an Performance verbunden.

Am Ende wird es auf eine wirtschaftliche Betrachtung hinauslaufen. Welche Maßnahmen können Unternehmen mit einem vertretbaren Aufwand ergreifen, um Datenübermittlungen in die USA weitestmöglich zu reduzieren? Es sind Risiken, mögliche Kosten, wirtschaftlicher Nutzen und “weiche Elemente” wie Kundenzufriedenheit gegeneinander abzuwägen. Hierbei können spezialisierte Rechtsanwälten oder Datenschutzbeauftragte Sie unterstützen.

Datenschutz = Wettbewerbsvorteil 

Es zeigt sich deutlicher denn je: Datenschutz ist längst nicht mehr nur das Abhaken von Checklisten. Heute wirken sich datenschutzrechtliche Entscheidungen unmittelbar auf Marketing, Image, Performance und damit den Umsatz eines Unternehmens aus. Schnellschüsse sind deshalb in jedem Fall zu vermeiden.

 

Hintergrund

Die meisten US-amerikanischen Dienste wie Google, Facebook, Microsoft oder Adobe setzen seit dem Wegfall des Privacy Shields auf sogenannte Standarddatenschutzklausen (engl.: standard contractual clauses oder SCCs). Hierbei handelt es sich um von der EU-Kommission vorgegebene Vertragsklauseln, welche zwischen dem europäischen Unternehmen (“Datenexporteur”) und dem US-Diensteanbieter (“Datenimporteur”) vereinbart werden und in denen das US-Unternehmen – stark vereinfacht gesagt – zusichert, die Daten angemessen zu schützen und sich weitgehend an EU-Datenschutzvorgaben zu halten.

Problem: Der EuGH hatte in der Schrems II-Entscheidung ausdrücklich festgehalten, dass die Datenübermittlung in die USA auf Grundlage von SCCs zwar grundsätzlich möglich sei. Dies gelte aber nur unter der Voraussetzung, dass das US-Unternehmen durch “zusätzliche Maßnahmen” (technisch und/oder organisatorisch) ein angemessenes Schutzniveau sicherstellt. Insbesondere der Umstand, dass nach amerikanischem Recht die US-Geheimdienste unter bestimmten Voraussetzungen auf Datenbestände zugreifen dürfen, ist hierbei problematisch. Welche Maßnahmen geeignet sein könnten und wie hoch etwaige Mindeststandards sind, ließ das Gericht offen. Und genau an dieser Frage scheiden sich aktuell die Geister.

MailChimp

Schon im März 2021 hatte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) einem Unternehmen die Nutzung des beliebten Newsletter-Tools MailChimp untersagt (wir hatten berichtet). Das Tool speichert und verarbeitet die E-Mail-Adressen von Newsletter-Abonnenten auf Servern in den USA.

Begründet hatte das BayLDA die Untersagung interessanterweise nicht damit, dass die “zusätzlichen Maßnahmen” von MailChimp per se unzureichend seien, sondern damit, dass das deutsche Unternehmen diese Maßnahmen gar nicht erst geprüft hatte. Für die Beantwortung der Frage, welche Maßnahmen geeignet sein könnten, gab die Entscheidung des BayLDA somit wenig Anhaltspunkte.

Google Analytics

Schlag auf Schlag ging es dann ab Dezember 2021, als gleich mehrere europäische Aufsichtsbehörden den Einsatz von Google Analytics untersagten (wir hatten berichtet).  Hier äußerten die Behörden recht unmissverständlich, dass nach ihrer Auffassung Googles “zusätzlichen Maßnahmen” nicht geeignet seien, um ein angemessenes Schutzniveau zu gewährleisten. So führte beispielsweise die Österreichische Datenschutzbehörde (ÖDSB) in ihrem Bescheid vom 22.12.2021 aus:

“In Bezug auf die dargelegten vertraglichen und organisatorischen Maßnahmen ist nicht erkennbar, inwiefern [die Maßnahmen] effektiv […] sind.”

“Sofern die technischen Maßnahmen betroffen sind, ist ebenso nicht erkennbar […] inwiefern [die Maßnahmen] die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsächlich verhindern oder einschränken.”

Der Europäische Datenschutzbeauftragte (EDSB) stellte in seinem Bescheid vom 05.01.2022 klar, dass das europäische Unternehmen, welches Google Analytics auf seiner Website einsetzt, darlegen und beweisen müsse, dass die Maßnahmen geeignet seien. Dieser Beweis wird in der Praxis kaum möglich sein.

Google Fonts

Der nächste Paukenschlag kam am 20.01.2022 mit dem inzwischen berühmt berüchtigten Urteil des Landgerichts München I zu Google Fonts (wir hatten berichtet). Das Gericht hatte einem Website-Besucher Schadensersatz in Höhe von EUR 100,00 zugesprochen, weil ein Website-Betreiber eine extern eingebundene Schriftart genutzt hatte, welche beim Aufruf der Seite von einem Google-Server geladen wurde. Das Urteil zog eine Abmahnwelle hinter sich, die zwischenzeitlich absurde Ausmaße annahm. Allein unserer Kanzlei lagen etwa 50 Schreiben von Abmahnanwälten vor, welche im Namen angeblicher Mandanten Geldentschädigungen forderten.

Das Urteil passt zwar streng genommen nicht ganz in die Aufzählung, weil es weniger um die Übermittlung von Daten in die USA, als mehr um die generelle Datenübertragung an externe Server ging. Es reiht sich jedoch insofern ein, als es einen weiteren problematischen Aspekt bei der Einbindung externer Diensteanbieter aufzeigt.

Klaviyo

Ganz aktuell sind wir auf eine Meldung eines Kollegen aus Hamburg vom 11.11.2022 aufmerksam geworden, wonach ihm eine Abmahnung wegen des Einsatzes von Klaviyo vorliegt. Laut dem Bericht wurde ein Unternehmen abgemahnt, welches den beliebten Newsletter- bzw. Marketing-Automation-Dienst einsetzt. Klaviyo speichert und verarbeitet die hochgeladenen Daten – insbesondere E-Mail-Adressen von Kunden und Newsletter-Empfängern – auf Servern in den USA.

Der abmahnende Website-Besucher verlangt vom Website-Betreiber Auskunft gemäß Art. 15 DSGVO, Unterlassung sowie Schadensersatz in Höhe von mindestens EUR 5.000,00. Begründet wird die Abmahnung mit der unzulässigen Übermittlung personenbezogener Daten in die USA, da Klaviyo keine ausreichenden “zusätzlichen Maßnahmen” biete.

Wichtig: Es ist noch nicht bekannt, wie die Angelegenheit weiter verlaufen ist. Es ist durchaus möglich, dass das abgemahnte Unternehmen sich gegen die Ansprüche wehrt und eventuell sogar eine gerichtliche Entscheidung ergeht. So müßig dies für das betroffene Unternehmen wäre, so wünschenswert wäre ein etwaiges Urteil mit Hinblick auf eine rechtliche Klärung.

Shopify

Ebenfalls ganz aktuell ist eine Meldung des Betreibers des Online-Shops “Happy Coffee“. Dieser berichtet, dass die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) ihm gegenüber den Einsatz des beliebten Shopsystems Shopify für rechtswidrig erklärt habe. Konkret störe sich die LfDI an den von Shopify verwendeten CDNs (Content Delivery Networks) Fastly und Cloudflare. Diese verarbeiten personenbezogene Daten, insbesondere IP-Adressen von Website-Besuchern, auf Servern in den USA. In der Begründung führt die LfDI interessanterweise aus, dass auch die Übermittlung von Daten auf Grundlage einer Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO nicht regelmäßig, sondern allenfalls in Ausnahmefällen zulässig sei.

Kurzes und schmerzloses Resümee der LfDI:

“Da eine für Cookies, Plugins und andere Trackingmechanismen passende Lösung bisher nicht gefunden wurde, ist der Einsatz dieser Dienste US-amerikanischer Anbieter in der Regel unzulässig.”

 

Was nun?

Insgesamt hinterlässt das Vorgehen von Abmahnern und Aufsichtsbehörden mehr Fragen als Antworten. Seit dem Schrems II-Urteil ist klar, dass die Nutzung von US-Diensten problematisch ist. Dass sie aber nach Auffassung der Behörden praktisch unmöglich sein soll, ist dann doch ein unbefriedigendes Ergebnis. Wie bereits einleitend ausgeführt, ist der Betrieb einer Website oder eines Online-Shops komplett ohne US-Dienste fast nicht möglich. Die europäischen Alternativen haben häufig entscheidende Nachteile.

Ein zumindest vorübergehendes Licht am Horizont könnte das angekündigte „Trans-Atlantic Data Privacy Framework“ sein, das neue US-EU-Datenschutzabkommen. Wann dieses in Kraft treten und wie lange es halten wird, ist jedoch unklar. Bis dahin müssen Unternehmen sich überlegen, wie sie mit der aktuellen Situation umgehen möchten.

Am Ende wird nur eine wirtschaftliche Betrachtung helfen: Welche Risiken bestehen? Können diese Risiken reduziert werden? Wie hoch ist die Wahrscheinlichkeit, dass Risiken sich verwirklichen? Mit welchen Kosten oder Schäden ist dann zu rechnen? Spezialisierte Rechtsanwälte können Ihr Unternehmen bei dieser komplexen Abschätzung unterstützen und gemeinsam mit Ihnen eine wirtschaftlich sinnvolle Lösung finden.

 

Photo by Carlos Muza on Unsplash

Checkliste zur Prüfung von Auftragsverarbeitungsvereinbarungen

Ein Gastbeitrag unserer studentischen Mitarbeiterin Mariya Popova 

Die Datenschutzaufsichtsbehörden von Bayern, Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen und Sachsen-Anhalt haben eine Checkliste zur Prüfung von Auftragsverarbeitungsverträgen veröffentlicht. Hintergrund ist die geplante Überprüfung von Auftragsverarbeitungsverträgen von Webhosting-Unternehmen durch die Aufsichtsbehörden. Auslöser dafür war die Vielzahl rechtswidriger Verträge. Read more