News

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) vom 04.10.2022

Das Thüringer Ministerium für Bildung, Jugend und Sport hat gemeinsam mit der Thüringer Landesmedienanstalt eine „Schultütenaktion für Medienkompetenz“ an Thüringer Schulen gestartet. „Richtig so“, sagt der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit, „aber der Datenschutz darf dabei nicht vergessen werden.“ Insbesondere der in die ‚Schultüte‘ gepackte Ratgeber ‚Flimmo‘ sollte unter „Streaming & YouTube: Darauf sollten Eltern achten“ auch auf die Speicherung von IP-Adressen, Such- und Betrachtungsverlauf, abonnierte Kanäle oder Standortdaten (geografische Region) durch YouTube bei einer Nutzung hinweisen (siehe Datenschutzerklärung von Google unter https://policies.google.com/privacy?hl=de , Abschnitt „Ihre Aktivitäten“ und „Ihre Standortdaten“). Youtube ist ein weitgehend werbefinanziertes Angebot von Google Ireland Limited. Der Abruf aus dem europäischen Raum erfolgt von Google-Servern in Irland. Aus diesem Grund sind bei einer Nutzung von YouTube die Datenschutzerklärung und die Nutzungsbedingungen von Google maßgeblich. Auch ohne eine Einwilligung werden bei der Nutzung von YouTube personenbeziehbare Daten über die Apps, Browser und Geräte des Nutzers verarbeitet, die auch Google und Dritten bereitgestellt werden (siehe Datenschutzerklärung unter https://policies.google.com/privacy?hl=de , Abschnitte „Entwicklung neuer Dienste“, „Bereitstellung personalisierter Dienste, einschließlich Inhalte und Werbeanzeigen“, „Datenweitergabe durch Google“ -> „Für die Verarbeitung durch andere Stellen“, „Anforderungen in Europa“ -> „Aus berechtigtem Interesse“). So wird das Werbenetzwerk DoubleClick auch mit Daten von YouTube versorgt, um Werbeeinblendungen in YouTube zu realisieren. Teilweise werden diese Daten auf Servern in Ländern verarbeitet, für die kein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO vorliegt (z. B. USA). Vom Europäischen Gerichtshof wurden mit dem Urteil vom 16.07.2021 (Rechtssache C 311/18; „Schrems II“) sehr enge Voraussetzungen gesetzt, um eine Datenübertragung in ein Drittland zu legitimieren. Für die USA sind dies zur Zeit die Standradvertragsklauseln, wobei dieser Vertrag vom Nutzer erst angefragt werden muss (siehe Datenschutzerklärung unter https://policies.google.com/privacy?hl=de , Absatz „Standardvertragsklauseln“). Für Privatnutzer und Schulen gibt es daher große Rechtsunsicherheiten.

Die Entscheidung darüber, ob YouTube unter diesen Bedingungen von Kindern genutzt werden darf, liegt auch in der Verantwortung der Eltern. Die Eltern müssen daher wenigstens hierüber informiert werden.

Weitere Datenschutzinformationen zu Aktivitäten von Kindern und Jugendlichen im Internet bietet auch das Jugendportal „Youngdata“ der unabhängigen Datenschutzbehörden des Bundes und der Länder sowie des Kantons Zürich (www.youngdata.de). Hierin finden Jugendliche, aber auch deren Eltern, viele Informationen zum Datenschutz und zur Informationsfreiheit. Speziell zum Umgang mit YouTube können weitere Informationen unter https://www.youngdata.de/google/youtube/ eingesehen werden.

 
Die Pressemitteilungen des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

Der Gemeinsame Rundfunkdatenschutzbeauftragte von BR, SR, WDR, Deutschlandradio und ZDF hat heute einen „Leitfaden zur datenschutzgerechten Gestaltung von Websites und Apps für Kinder“ veröffentlicht. Er fasst die wichtigsten datenschutzrechtlichen Vorgaben für Telemedienangebote zusammen, die sich an Kinder richten oder die Kinder potentiell nutzen. Er ist daher für alle Verantwortlichen relevant, die ein solches Angebot unterhalten oder entwickeln.

Der Leitfaden ist über die Website des Gemeinsamen Rundfunkdatenschutzbeauftragten sowie hier abrufbar.

Die Website des Gemeinsamen Rundfunkdatenschutzbeauftragten von BR, SR, WDR, Deutschlandradio und ZDF kann hier abgerufen werden.

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 20.09.2022

Der BfDI, Professor Ulrich Kelber, begrüßt die Entscheidungen des Europäischen Gerichtshofes (EuGH) zur deutschen Vorratsdatenspeicherung: „Der EuGH hat noch einmal sehr deutlich gemacht, dass eine anlasslose Speicherung von Verkehrs- und Standortdaten, wie sie im deutschen Recht vorgesehen ist, mit dem europäischen Recht nicht vereinbar ist.“

Weiterlesen BfDI begrüßt EuGH-Urteil zur Vorratsdatenspeicherung

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte. Das Bußgeld ist noch nicht rechtskräftig.

Betriebliche Datenschutzbeauftragte haben eine wichtige Aufgabe: Sie beraten das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Diese Funktion dürfen gemäß Art. 38 Abs. 6 Satz 2 Datenschutz-Grundverordnung (DS-GVO) ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen. Das wäre zum Beispiel bei Personen mit leitenden Funktionen im Unternehmen der Fall, die selber maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen. Die Aufgabe darf demnach nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden.

So ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für die er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus.

Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung.

Die Aufsichtsbehörde erteilte daher im Jahr 2021 zunächst eine Verwarnung gegen das Unternehmen. Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI das Bußgeld, das noch nicht rechtskräftig ist.

Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“

Bei der Bußgeldzumessung berücksichtigte die BlnBDI den dreistelligen Millionenumsatz des E-Commerce-Konzerns im vorangegangen Geschäftsjahr und die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kund:innen. Berücksichtigung fand auch die vorsätzliche Weiterbenennung des Datenschutzbeauftragten über fast ein Jahr trotz der bereits erteilten Verwarnung. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen umfangreich mit der BlnBDI zusammengearbeitet und den Verstoß während des laufenden Bußgeldverfahrens abgestellt hat.

„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen“, sagt Brozio. „Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit vom 18.08.2022

Erfurt, 18. August 2022: Aus aktuellem Anlass möchte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse über Folgendes informieren:
Drohende Abmahnwelle? Laut Medienquellen soll es aktuell zu einer Abmahnwelle gegen tausende von Websites-Betreibern kommen. Grund ist die dynamische Einbettung von Google Fonts auf deren Website, ohne vorab die Einwilligung der Besucher der Website einzuholen. Auch beim TLfDI gehen regelmäßig Beschwerden dieses Inhalts gegen Seitenbetreiber ein. Bei einer dynamischen Einbindung werden die Schriftarten von Servern des US-Konzerns in den Browser des Besuchers geladen und dabei personenbezogene Daten, wie z. B. die IP-Adresse der Benutzer, in die USA übermittelt. Dies verstößt laut dem Urteil des Landgerichtes München v. 20. Januar 2022, Az. 3 O 17493/20, gegen das allgemeine Persönlichkeitsrecht und die Datenschutz-Grundverordnung. Details finden sich in den Urteilsgründen, abrufbar unter: https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2022-N-612?hl=true
Worum geht es genau bei Google Fonts? Google Fonts sind kostenlose Schriftarten des US-Konzern Google, welche zur freien Verfügung stehen. Dabei ist es nicht jedem Website-Betreiber bekannt, dass Google Fonts auch durch eingebettete Google-Dienste (z. B. Google Maps, reCAPTCHA) automatisch mitgeladen werden. Der Europäische Gerichtshof entschied bereits in seinem Urteil vom 16. Juli 2020 (C-311/18 „Schrems II“), dass das US-Recht derzeit den Schutz personenbezogener Daten von Bürgern aus der EU nicht angemessen gewährleistet und erklärte den sog. „Privacy Shield“ für ungültig. Demnach gelten die USA im datenschutzrechtlichen Sinne als „unsicherer Drittstaat“, der nicht ohne weiteres Zugang zu personenbezogenen Datenströmen aus Europa erhalten darf. Näheres kann auf der Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nachgelesen werden: https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Auswirkungen-Schrems-II-Urteil.html

Empfehlungen des TLfDI zu Google Fonts zur Vermeidung von Abmahnungen: Der TLfDI empfiehlt Betreibern von Websites zu prüfen, ob sie Google Fonts einsetzen und wenn ja, wie der Dienst in die Website eingebunden wird. Wer dynamische Google Fonts nutzt, sollte diese Schriftarten lokal speichern und von dort in den eigenen Internetauftritt einbinden. Wer nicht weiß wie das geht, keine Anleitungen im Internet findet, sollte sich an seinen Web-Diensteanbieter wenden. Strato hat bspw. eine Anleitung veröffentlicht: https://www.strato.de/blog/google-fonts-in-wordpress-lokal-hosten/ .

Bei Fragen verantwortlicher Betreiber von Websites können sich diese gern an den TLfDI wenden.

Dr. Lutz Hasse<
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI)
Häßlerstraße 8<
99096 Erfurt

www.tlfdi.de<http://www.tlfdi.de>