Tag Archive for: DSGVO

Abmahnungen wegen Einsatz von Klaviyo und Mailchimp

Nachdem die Abmahnwelle wegen des Einsatzes von Google Fonts vorerst abgeklungen ist, scheint es so, als hĂ€tten Abmahner nun ein neues Ziel gefunden und wĂŒrden sich auf die Nutzung von Newsletter-Diensten wie Klaviyo und Mailchimp einschießen. Nachdem in den meisten Google Fonts FĂ€llen der Rechtmissbrauch auf der Hand lag und zwischenzeitlich auch von mehreren Gerichten bereits bestĂ€tigt wurde, scheinen auch einige der neuen Abmahnungen Indizien aufzuweisen, die auf ein rechtsmissbrĂ€uchliches Handeln hinweisen. 

Read more

Datenschutzrechtliche Probleme beim Online-Handelsregister

Seit dem 01.08.2022 sind EintrĂ€ge im Handelsregister fĂŒr alle BĂŒrgerinnen und BĂŒrger auf der Plattform www.handelsregister.de frei verfĂŒgbar. Damit wurde die Digitalisierungsrichtlinie (DiRUG) umgesetzt und so mehr Transparenz im Rechts- und GeschĂ€ftsverkehr geschaffen. Es gibt jedoch zunehmend Bedenken hinsichtlich des Datenschutzes auf dem Portal.

Read more

LG Hamburg und LG Bonn: 500 Euro Streitwert fĂŒr DSGVO-Auskunft

Die Rechtsprechung bezĂŒglich des Streitwerts von DSGVO-AuskunftsansprĂŒchen ist bislang weitgehend uneinheitlich. Die Gerichte setzen in der Regel – meist ohne nĂ€here BegrĂŒndung – Werte irgendwo zwischen EUR 500,00 und EUR 5.000,00 an. Nun haben die Landgerichte Hamburg und Bonn in relativ aktuellen Entscheidungen jeweils Streitwerte von EUR 500,00 fĂŒr die Durchsetzung eines Auskunftsanspruchs gemĂ€ĂŸ Art. 15 DSGVO angenommen und diese vergleichsweise ausfĂŒhrlich begrĂŒndet. Damit könnte ein erster Richtwert gesetzt sein. 

Read more

DSGVO-VerstĂ¶ĂŸe werden immer teurer

Laut einem aktuellen Bericht der Kanzlei DLA Piper wurde der Rekord der 2021 verhĂ€ngten Bußgelder wegen Verstoßes gegen die DSGVO im vergangenen Jahr abermals gebrochen. Seit in Kraft treten der DSGVO stieg die Höhe der Bußgelder um 630 Prozent. Dabei sind Irland und Luxemburg Spitzenreiter in der Liste der höchsten verhĂ€ngten Bußgelder.

Read more

OLG Karlsruhe: Nutzung amerikanischer Cloud-Dienste mit EU-Servern erleichtert

Die Übermittlung personenbezogener Daten an Dienste in den USA ist derzeit eins der kompliziertesten Themen im Datenschutz. Seit dem Wegfall des Privacy Shield Abkommens und den Entscheidungen der Aufsichtsbehörden zu Standarddatenschutzklauseln sind europĂ€ische Unternehmen rechtlicher Unsicherheit ausgesetzt, wenn sie US-amerikanische Tools und Services einsetzen möchten. FĂŒr etwas Optimismus sorgte zuletzt ein Urteil des OLG Karlsruhe. Danach dĂŒrfen europĂ€ische Unternehmen darauf vertrauen, dass personenbezogene Daten die EU nicht verlassen, wenn dies vertraglich zugesichert wird. 

 Hintergrund:

Aufgrund der weitreichenden Auswirkungen des Schrems-II-Urteils des EuGH (Urt. v. 16.07.2020, Rs. C‑311/18), hatten einige große amerikanische Anbieter von Software und Cloud-Diensten europĂ€ische Tochtergesellschaften gegrĂŒndet und Serverstandorte in Deutschland oder anderen EU-Staaten eingerichtet. Hierdurch sollten die hohen HĂŒrden eines sogenannten Drittland-Transfers entschĂ€rft werden, weil die Daten mutmaßlich nie die EU verlassen wĂŒrden. Nach wie vor bestehen jedoch erhebliche Zweifel an der RechtmĂ€ĂŸigkeit der Verarbeitung durch solche Anbieter, da sie gemĂ€ĂŸ des US-Patriot Acts indirekt ĂŒber ihre amerikanischen Muttergesellschaften zur Offenlegung von Daten von EU-BĂŒrgern (beispielsweise zur Terrorabwehr) an US-Geheimdienste gezwungen werden könnten. Es wird zudem von Aufsichtsbehörden vertreten, dass die Nutzung solcher Dienste ebenfalls als Drittlandtransfer zu bewerten sei, da nicht ausgeschlossen werden könne, dass die Daten (auch) auf Servern mit Standorten in den USA durch die amerikanischen Muttergesellschaften verarbeitet wĂŒrden.

Dieser Auffassung, die das bloße Risiko einer DatenĂŒbermittlung in die USA faktisch als Drittlandtransfer ansah, ist das OLG Karlsruhe nun entgegengetreten.

Urteil:

Das OLG stellte in seinem Beschluss vom 07.09.2022, Az. 15 Verg 8/22, fest, dass eine vertragliche Zusage des Anbieters, keine Daten in die USA zu ĂŒbertragen, grundsĂ€tzlich ausreiche. Voraussetzung sei, dass keine unmittelbaren Zweifel oder Anhaltpunkte fĂŒr einen Verstoß gegen dieses Leistungsversprechen bestehen. Hierauf dĂŒrfe das europĂ€ische Unternehmen, das den Dienst nutzen möchte, redlicher Weise vertrauen.

Eine Konzernbindung der Tochtergesellschaft an die US-amerikanische Muttergesellschaft begrĂŒnde dabei noch keine ausreichenden Zweifel an der Einhaltung von EU-Normen. Die rein theoretische Zugriffsmöglichkeit der Unternehmensmutter im Drittstaat stelle gerade keine Übermittlung personenbezogener Daten und damit auch keinen Verstoß gegen Art. 44 ff. DSVGO dar. Deshalb sei es in diesen Konstellationen auch nicht erforderlich, dass der Diensteanbieter zusĂ€tzliche technische und organisatorische Maßnahmen, beispielsweise im Hinblick auf eine sichere VerschlĂŒsselung, zusichert, wie dies der EuGH im Schrems-II-Urteil gefordert hatte. Dies gelte nĂ€mlich eben nur fĂŒr echte Drittlandtransfers.

Das Urteil ist fĂŒr Unternehmer insofern ein Lichtblick, da es den Einsatz zahlreicher Anbieter wie Google, Facebook, Microsoft oder Adobe erleichtert, die in der Regel europĂ€ische Tochtergesellschaften (insbesondere in Irland) betreiben. Es scheint jedoch so, als sei das letzte Wort hierzu noch nicht gesprochen. Am Ende könnte es sich um eine Frage handeln, die der EuropĂ€ische Gerichtshof zu klĂ€ren hĂ€tte.

 

Photo by Ian Battaglia on Unsplash

Update: Google Ă€ußert sich zu Google Fonts

Anfang diesen Jahres hatte das Landgericht MĂŒnchen I einem Internetnutzer Schadensersatz zugesprochen, weil seine Daten durch die externe Einbindung von Google Fonts an Google Server in den USA ĂŒbermittelt wurden (wir hatten berichtet). Dieses Urteil nahmen einige zum Anlass, ein lukratives GeschĂ€ft mit Abmahnungen gegenĂŒber Website-Betreibern zu machen, die Google Fonts einsetzen. Zwischenzeitlich rollte eine regelrechte Abmahnwelle ĂŒber Deutschland und Österreich. Bis heute wenden sich Unternehmen an uns, die Post von AbmahnanwĂ€lten erhalten haben.

Nun Ă€ußert sich endlich auch der Tech-Gigant Google selbst in einem Blogbeitrag zu der Problematik.

In Anbetracht der jĂŒngsten Ereignisse und der Medienberichterstattung ĂŒber Google Fonts halten wir es fĂŒr notwendig, die folgende ErklĂ€rung abzugeben:

[…] Google respektiert die PrivatsphĂ€re des Einzelnen. Die Google Fonts-Web-API ist so konzipiert, dass die Erfassung, Speicherung und Verwendung von Daten auf das beschrĂ€nkt wird, was fĂŒr die effiziente Bereitstellung von Schriftarten und fĂŒr Nutzungsstatistiken erforderlich ist. Diese Daten werden sicher und getrennt von anderen Daten aufbewahrt. Google verwendet die von Google Fonts gesammelten Informationen nicht fĂŒr andere Zwecke und insbesondere nicht fĂŒr die Erstellung von Profilen von Endnutzern oder fĂŒr Werbung. Außerdem ist die Tatsache, dass die Server von Google notwendigerweise IP-Adressen erhalten, um Schriftarten zu ĂŒbertragen, keine Besonderheit von Google und entspricht der Funktionsweise des Internets.

Wenig ĂŒberraschend verteidigt Google das eigene GeschĂ€ftsmodell und stellt die IP-Übermittlung als rein technisch notwendigen Vorgang dar. An der rechtlichen WĂŒrdigung dĂŒrfte dieses Argument jedoch in einem hypothetischen Gerichtsverfahren wenig Ă€ndern, schlichtweg weil es eine einfache, datensparsame Alternative gibt: die lokale Speicherung der Schriftart.

Auf der anderen Seite: Was heißt “lokal”? Kein Unternehmen hostet seine Website auf eigenen Servern im Keller, sondern bei kommerziellen Hosting-Providern. Dazu kommt: Websites sind heute nicht mehr statische html-Skripte. Stattdessen sind sie aus einer Vielzahl verschiedener Inhalte unterschiedlichster Art von verschiedenen Anbietern zusammengesetzt (Fotos, Videos, Landkarten, Animationen, Chatfunktionen etc.). Dieser Content wird in aller Regel von externen Diensten bereitgestellt, sodass beim Aufruf fast jeder Website Datenverbindungen zu mehreren externen Servern aufgebaut werden. Wo lĂ€uft die Grenze zwischen “guten” und “bösen” Dienstleitern? Welche Datenverbindungen sind erforderlich und welche nicht? Es stellt sich hier die grundsĂ€tzliche Frage: Was fĂŒr ein Internet möchten wir? Welche Antwort die Politik und Gesetzgebung mittelfristig auf diese Frage findet, bleibt abzuwarten.

 

Photo by Brett Jordan on Unsplash