Der OGH urteilt unter Bezugnahme auf den EuGH, dass Datenschutz-Klauseln, auch zB in Datenschutzerklärungen, Vertragsverhältnisse verändern können und dann mit Verbandsklage, etwa durch den VKI, bekämpft werden können. Besonders sensibel sind Zustimmungsklauseln, auch in Form von fiktiven Zustimmungen. Die Vertragsveränderung kann auch konkludent erfolgen!

OGH 6Ob106/22i

Der OGH urteilt unter Bezugnahme auf Art 25 DSGVO, dass Voreinstellungen in  Mietwagen, die eine Datenverarbeitung ganz unabhängig von der Erforderlichkeit für bestimmte Verarbeitungszwecke zulassen, nicht zulässig sind. 

OGH 6Ob106/22i

Es gibt mittlerweile ein staatsanwaltliches Ermittlungsverfahren der Staatsanwaltschaft Wiener Neustadt gegen Unbekannte und eine verdächtige Person in Zusammenhang mit den Abmahnungen.

Es gilt die Unschuldsvermutung  (§ 7 b Mediengesetz).

Hier eröffnen sich zwei Möglichkeiten für Aufgeforderte, wenn es zu Verurteilungen kommt, bei denen die Abmahnungen Grund für die Verurteilung sind:

a) Rückforderung der bezahlten Beträge laut Abmahnschreiben für die Aufgeforderten mittels Privatbeteiligung im Strafvefahren für den Fall einer entsprechenden Verurteilung.

b) Privatbeteiligung zur Rückforderung der Kosten einer bisherigen Rechtsabwehr zB durch Antwortschreiben für den Fall einer entsprechenden Verurteilung.

Dass tausendfache Abmahnungen wegen ein und demselben Schaden Recthsmißbrauch sind, könnte hier erstmals für Österrich in Zusammenhang mit der DSGVO judiziert werden.

 

Kontaktieren Sie mich für diese Schritte.

 Schreiben Sie mir hier:

Unverbindliche Anfrage jetzt senden.
Senden Sie mir Ihre Unterlagen oder schildern Sie ihr Problem. Sie erhalten eine unverbindliche erste Einschätzung und Lösungsvorschläge.
Please enter your name!
Please enter your email!
Write your message!
Hier Dateien hochladen.
 

 

 

Vermehrt berichten Mandanten und Kollegen von Abmahnschreiben eines Kollegen für Klienten wegen der Verwendung von Google Fonts auf deren Webseite. Es sollen Schadenersatz- und Kosten bezahlt werden, sowie eine Erklärung unterschrieben werden.

Was tun?  

Verlangen Sie einen Identitätsnachweis der Mandantin für die Art 15 DSGVO Antwort.

Beachten Sie die Frist - am Besten vom Datum des Schreiben an rechnen. Bereiten Sie die Art 15 DSGVO Antwort vor.

Sichten Sie die Logfiles - Wann wurde die Seite wie von der angebliche IP geladen? Suchen Sie auch dann nach der IP, wenn Ihre Logfiles das letzte Oktet nicht erfassen, alle Beweise helfen.

War "Fonts" überhaupt aktiv -  eventuell muss ein Besucher bei Ihnen erst ein Plugin aktivieren, bevor Fonts geladen wird (zB Maps)?

Fragen Sie bei Ihrer Rechtsschutzversicherung / Haftpflichtversicherung an ob eine allfällige Klagsabwehr gedeckt wäre.

Kontaktieren Sie daher Ihren Rechtsanwalt und lassen Sie prüfen welche Reaktion für Sie adäquat wäre.

Heise Online berichtete schon am 9.8.2022 über eine Abmahnwelle wegen Google Fonts in Deutschland:

https://www.heise.de/news/DSGVO-Abmahnwelle-wegen-Google-Fonts-7206364.html

Nunmehr wird offenbar massenhaft in Österreich abgemahnt,

Ich bin skeptisch ob die Ansprüche berechtigt sind (so es sich um das mir vorliegende Schreiben handelt). Es ist zweifelhaft ob ein und dieselbe  behautpete Datenübertragung zu Mehrfachschädigungen führen kann.

Daher ist jedes Schreiben einzeln zu prüfen. Wenn SIe die Ansprüche abweisen, vergessen Sie nicht das Art 15 DSGVO Auskunftsbegehren binnen Monatsfrist zu beantworten (auch wenn es eine "Negativauskunft" ist). Kontaktieren Sie mich für eine erste Strategieberatung.

Details der "Abmahnwelle" verwundern, wie etwa, dass eine Person sich betroffen fühlt, die Ihre Webseitebesuche mit Quelltextstudium abschließt und diese Person dann auch noch massenhaft Webseitenbetreiber auffordern lässt. 

Verwiesen wird auf ein deutsches Urteil des Landesgerichts München  (https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2022-N-612?hl=true)

wonach die Verwendung von Fonts eines Drittanbieters in den USA als nicht DSGVO konform einzustufen wäre.

Im Verfahren des LG München ging es um Server in den USA und dynamische IP-Adressen.

Das Urteil des LG München kann somit nicht auf alle möglichen Fälle von Dritt-Fonts auf Webseiten umgelegt werden (auch allf. wegen der anderen Rechtsordnung).

 Deutsche Landesgerichte urteilen oft divergierend, bis eine BGH oder EuGH Entscheidung vorliegt. 

 

Der OGH hat den Europäischen Gerichtshof um Vorabentscheidung zu Fragen des Schadenersatz ersucht, die Entscheidugn ist noch ausständig. Gegenständlich ist etwa, ab welcher Beeinträchtigung Schadenersatz zusteht ("Folge der Rechtsverletzung von zumindest einigem Gewicht"):

https://curia.europa.eu/juris/document/document.jsf?text=&docid=244568&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

 

 

Es gibt zu Google Fonts soweit erblickbar derzeit keine österreichischen Entscheidungen, ein ausdrückliches Verbot besteht nicht.

 

 

Abmahnungen auf Unterlassung wegen angeblicher DSGVO Verstöße sind jedenfalls auf Zulässigkeit zu prüfen - für solche Fälle wurde eigentlich die Beschwerdemöglichkeit bei der Datenschutzbehörde geschaffen.

In Datenschutz-Informationen wird auch nicht mitgeteilt: „Sie haben das Recht auf Abmahnung“, sondern „…Sie haben das Recht auf Beschwerde bei der Datenschutzbehörde“.

Zu Schadenersatzforderungen wegen DSGVO Verstößen ist derzeit ein EuGH Vorabentscheidungsverfahren anhängig, das klären wird, ob erst ab einer bestimmten Mindestschädigung ein Ersatz überhaupt zusteht. Dann wäre natürlich in jedem Einzelfall konkret zu prüfen, ob überhaupt ein ersatzfähiger Mindestschaden vorliegt.

Wenn Geld gefordert wird, ist grundsätzlich eine Aufschlüsselung der Forderung zu prüfen, pauschale Begehren erscheinen oft unschlüssig. Wie bemisst sich der verlangte Ersatz? Ist er vergleichsorientiert bemessen worden?

 

--> Umfrage: Welche Daten enthält Ihr Abmahnschreiben? Schicken Sie mir per Mail die Daten und helfen Sie so bei einer koordinierten Intervention:

 

-Welche IP Adresse wird im Schreiben angeführt (213.142.x.x?)

-Welche betroffene Person wird mitgeteilt? (Z.?)

-Sind Sie Kleinunternehmer?

Dem Vernehmen nach sind über 1000 Abmahnungen bereits erfolgt (Zib 2 vom 25.8.2022).

 

Beratung bei Rechtsschutzversicherung für Betroffene:

Auch wenn Sie den Baustein Datenrechtsschutz nicht versichert haben, können Sie im Rahmen des Beratungsrechtsschutz Ihrer Rechtsschutzversicherung  eine Beratung bei mir in Anspruch nehmen.

 

Achtung auf das Auskunftsbegehren, dieses ist zu beantworten. 

 

Reaktionen aus dem Internet:

WKW Salzburg zu den Abmahnungen

WKO Wien zu den Abmahnungen

ZIB2 Beitrag:

https://tvthek.orf.at/profile/ZIB-2/1211/ZIB-2/14147333/Wirtschaftsforscher-zu-Preisdeckelung/15223801

 

--> Schreiben Sie mir für einen Webseiten Check, Aufwand ca 0,5-1h !

 

Die Datenschutzbehörde meint die DSGVO sei keine Abmahn-Grundlage "für derartige Massenabmahnungen": 

https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Fonts

Screenshot vom 22.8.2022, 18h30:

dsb massenabmahnung

 

 

Schreiben Sie mir hier:

Unverbindliche Anfrage jetzt senden.
Senden Sie mir Ihre Unterlagen oder schildern Sie ihr Problem. Sie erhalten eine unverbindliche erste Einschätzung und Lösungsvorschläge.
Please enter your name!
Please enter your email!
Write your message!
Hier Dateien hochladen.
 

 

 

 
Überschießende Datenermittlung durch eine Behörde kann datenschutzrechtlich relevant sein, das hat die Datenschutzkommission 2013 festgestellt. Schadenersatzansprüche sind denkbar.
 
Die österreichische Strafprozessordnung kennt Beweisverwertungsverbote, d.h. Ermittlungsergebnisse oä, die ohne entsprechende notwendige richterliche Beschlüsse in Österreich ergangen sind, könnten nichtig sein. Rechtsmittel und Anklageeinsprüche wären zu prüfen.
 
Wenn Sie daher in Erwägung ziehen, dass Ihre Daten zu Unrecht verarbeitet wurde, kontaktieren Sie mich für ein nähere Prüfung.
 
Derzeit stellen sich folgende Fragen:
 
Wurden Ermittlungshandlungen in Österreich gesetzt, zB auf Handies, die sich in Österreich befanden?
 
Wer hat diese Ermittlungshandlungen gesetzt - ausländische Behörden oder österr. Behörden in Kooperation mit Europol?
 
Wenn ausländische Behörden auf österr. Handies ermittelten, waren die Voraussetzungen nach österreichischem Recht - wie richterlicher Beschluss - vorhanden?
 
Wie wurde die Einhaltung der Betroffenenrechte durch die Ermittlungstätigkeit des FBI etc in Österreich sichergestellt?
 
Damit hängt zusammen, ob der Schutz Unschuldiger stets gegeben war.
 
Artikel im Standard über "Operation Trojan Shield":
 

 

Zu Encrochat wird in Deutschland diskutiert, ob zahlreiche Ermittlungsergebnisse womöglich zu Unrecht erhoben wurden.

Auch die Identifizierung von Betroffenen nur anhand von Chat-Nicknames kann problematisch sein und zur Unzulässigkeit von Anklagen führen, siehe weiters:

https://netzpolitik.org/2021/streit-um-encrochat-ermittlungen-vor-gericht/

 

 

Kontakt

Für DSGVO Verstöße gewährt Artikel 82 DSGVO immateriellen Schadenersatz.
 
Der OGH hat dazu in einem Anlassfall Fragen an den EuGH vorgelegt. Zusammengefasst:
 
-Muss ein konkreter, belegbarer Schaden entstanden sein, oder reicht für einen Schadenersatz bereits ein DSGVO Verstoß?
 
-Gibt es eine Bagatellschwelle unterhalb der Schäden nicht ersatzfähig sind?
 
Im Anlassverfahren wurden EUR 1.000,00 Schadenersatz begehrt, da die Beklagte die "??????????????̈?" des Klägers kommerziell verarbeitet hat. Der Kläger sah darin einen Verstoß gegen die DSGVO, konkret gegen das Verbot sensible personenbezogene Daten von ihm ohne seine Zustimmung zu verarbeiten (Art 9 DSGVO) vorliege.
In Deutschland ist die Frage, ob bei DSGVO Verstößen nur "erhebliche" Schäden ersatzfähig sind, ebenfalls noch nicht abschließend geklärt. Das deutsche Bundesverfassungsgericht hat dazu festgehalten, dass dies durch den EuGH zu klären ist (AZ 1 BvR 2853/19).
 
Zur zweiten Frage haben deutsche Gerichte bereits wiederholt entschieden, dass ein DSGVO Verstoß alleine schon einen Schaden dahingehend darstellen kann, da der Betroffene damit "die Kontrolle über seine personenbezogene Daten verloren hat" (z.B. LG Darmstadt, AZ 13 O 244/19. Anders gesagt: der DSGVO Verstoß öffnet Möglichkeiten, wie der Betroffene noch weiter unter den Folgen geschädigt werden kann (z.B. bloßstellende Veröffentlichung von sensiblen Daten), was an sich schon ein Schaden ist. Es gibt aber anderslautende Entscheidungen.
Beim Grundrecht auf Datenschutz geht es vor allem um die informationelle Selbstgestaltung.
 
 
Der Beschluss des deutschen Bundesverfassungsgerichts ist hier abrufbar.
 
 
Der OGH Beschluss ist hier abrufbar.
 
 

Adresshandel mit Vorlieben, politischen Affinitäten etc. durch einen "landesweit führenden Logistik- und Postdienstleister" -
OGH Entscheidung zu Marketingdaten und DSGVO:
 
"Vorlieben und Einstellungen" einer Person unterliegen der DSGVO. Egal ob diese Angaben stimmen. Es ist dabei auch egal, ob diese Angaben nur "errechnet" wurden, zB über statistische Methoden. Entscheidend ist, dass sie einer Person zuordenbar sind. Damit sind sie personenbezogene Daten und die DSGVO ist anzuwenden.
Das bedeutet zB, wenn ein Unternehmen die politische Einstellung von Menschen ermittelt, um diese Daten zu Marketingzwecken zu nutzen, dann hat der Betroffene die vollen Rechte laut DSGVO.Er muss darüber auch informiert werden.
 
Ansonsten bestehen allf. Schadenersatzansprüche, wenn etwa die Datenverarbeitung zu Unrecht erfolgte. Das ist zB dann der Fall, wenn sensible Daten ohne Einwilligung zu Marketingzwecken verarbeitet wurden.
 
Der OGH hat weiters klargestellt :
Das Gewerbe der Adressverlage und Direktmarketingunternehmen laut Gewebeordnung schafft zu solchen Daten keine "eigene" nicht-personenbezogene Datenart. Die DSGVO gilt daher.
Weiters hat der OGH entschieden, dass Auskunftsbegehren nach DSGVO gerichtlich durchsetzbar sind.
 
Eigene Meinung: Fortschritt im Datenschutz für Betroffene
 
Die Entscheidung stärkt die Rechte von Betroffenen über die Daten verarbeitet werden, auch wenn "nur" statistische Methoden angewendet werden, um Informationen zu generieren.
Der Begriff der "personenbezogenen Daten" ist laut lange bestehender EuGH - Linie eher weit auszulegen - als Faustregel gilt: immer wenn ein Datum zu einer Person zuordenbar ist, liegen personenbezogene Daten vor. Diese liegen daher nicht nur dann vor, wenn die Daten laut Personalausweis bekannt werden. Eine DSGVO-relevante Identität kann mE auch durch IP-Adressen, Identifikationsnummern, Pseudonyme, Logindaten, digitale Adressen etc. hergestellt werden.
Die vorliegende OGH Entscheidung könnte auch eine Richtung zu allfällig kommenden Entscheidungen zu "Cookie" Verarbeitungen im Cookie-Verbund sein. Gegner haben in von mir anhängig gemachten Verfahren u.a. argumentiert, dass die Werbe-ID, die über Cookies erzeugt wird, keine personenbezogenen Daten seien, sondern nur digitale "Silhouetten" oä, da sie keine Rückschlüsse auf den Namen eines Users etc zuließen. Sie identifizieren aber Nutzer von Webseiten - und das webseitenübergreifend! - eindeutig und das ist mE entscheidend für das Vorliegen von personenbezogenen Daten.
Bei Fragen kontaktieren Sie mich für eine unverbindliche Erstauskunft.
Stellen Sie Auskunftsbegehren gem. Art 15 DSGVO, wenn Sie unsicher sind, ob und welche Daten über sie verarbeitet werden. Das ist der erste nötige Schritt, um Ihre Ansprüche durchzusetzen.
 
Die OGH Entscheidung ist hier abrufbar:
 

Mit Urteil vom 16.7.2020 hat der EuGH das "Framework" Privacy Shield aufgehoben. 

Die Datenschutzbehörde kein Rechtsschutzbedürfnis für ein Beschwerdeverfahren vor der Datenschutzbehörde, wenn es bereits einen vollstreckbaren zivilgerichtlichen Titel zur selben Sache gibt.

Kurz zusammengefasst:

Unter Privacy Shield versteht man einerseits eine Vereinbarung der EU mit den USA und andererseits einen Beschluss der EU Kommission. Dieses "Framework" ermöglichte es, bestimmte Datentransfers aus Europa in die USA im Wesentlichen wie innerhalb der EU durchzuführen.
Voraussetzung war, dass das Daten empfangende US-Unternehmen gemäß Privacy Shield zertifiziert war.

Dieses System wurde vom EuGH für ungültig erklärt, da wesentliche Datenschutzgarantien der DSGVO in den USA nicht geboten werden. Von dieser Einschätzung sind wohl auch die sog. Standardvertragsklauseln betroffen.

Betroffen sind viele populäre US Dienste, wie Cloud Speicher, Mail Provider, Umfragedienste etc aus den USA.

Es gilt nun zu prüfen, ob die Verwendung von US Dienstleistern durch EUR Unternehmen auf Privacy Shield begründet wurde.

Ausser Privacy Shield bleibt die Rechtsgrundlagen gem. Art 49 DSGVO offen, wie etwa zusammengefasst:

-Vertragserfüllung
-Zustimmung

Bei Fragen kontaktieren Sie mich:
https://www.rechtsanwalt-miller.at

Art. 49 DSGVO ist hier abrufbar:
https://www.datenschutz-grundverordnung.eu/grundverordnu…/…/

Die Entscheidung des EuGH ist hier abrufbar:
http://curia.europa.eu/juris/document/document.jsf

Nunmehr hat der deutsche Bundegerichtshof entschieden, dass Cookies, die technisch nicht unbedingt notwendig sind, nur mit Zustimmung des Betroffenen gesetzt werden dürfen:

https://dejure.org/dienste/vernetzung/rechtsprechung?Text=I%20ZR%207/16

Diese Rechtsprechung gilt natürlich nicht 1:1 für Österreich, dennoch bestätigt die Entscheidung die herrschende Meinung und die Interpretation nach  Wortlaut der österr. Regelung.

Kontakt

"Ein immaterieller Schaden erfordert ein Mindestmaß an persönlicher Beeinträchtigung. Die bloße Rechtsverletzung stellt per se noch keinen immateriellen Schaden dar (hier: bloßes Ungemach wegen des Kontrollverlusts über personenbezogene sensible Daten). Eine klagende Partei hat die Auswirkungen der Rechtsverletzungen auf ihre Persönlichkeit konkret zu behaupten und zu beweisen."

Link zur Entscheidung

Kontakt

Laut einer Entscheidung der Datenschutzbehörde dürfen die Mailadressen von Newsletter-Empfängern in einem Newsletter nicht veröffentlicht werden. Das stellte im Anlassfall einen Verstoß gegen die DSGVO dar.

Link zur Entscheidung im RIS

Kontakt

Entscheidung der Datenschutzbehörde vom 8.11.2019:

Wenn ein WWW-Diensteanbieter die Registrierung zu seinem Dienst per Pseudonym ermöglicht,

ist auch ein Löschbegehren gem. DSGVO mittels Pseudonym möglich. Es ist grundsätzlich nicht erforderlich, dass sich der registrierte User mit seinem realen Namen identifiziert.

Anm.: Für ein Auskunftsbegehren werden die gleichen Grundsätze gelten, d.h. ein Auskunftsbegehren kann auch mittels Login- bzw. Usernamen gestellt werden, wenn der entsprechende

Dienst die Registrierung mittles Pseudonym zuließ, d.h. keine Identitätsfeststellung als Bedingung für die Registrierung vorsah.

Die Entscheidung ist rechtskräftig und hier abrufbar.

Artikel in Ärzte Exklusiv:

https://www.aerzte-exklusiv.at/de/BHZk0r46/dsgvo-ii/?in=DaD66Z0s

Das Datenverarbeitungsregister der Datenschutzbehörde wird am 31.12.2019 offline gehen. Bis dato wurde es als Archiv weitergeführt.

Sichern Sie daher ihre registrierten Meldungen:

--> Registrierte Datenanwendungen sind der Vorläufer des Verarbeitungsverzeichnis

https://www.dsb.gv.at/fragen-und-antworten#Was_geschieht_mit_dem_Datenverarbeitungsregister_ 

Kontakt

Entscheidung der Datenschutzbehörde vom 1.10.2019:

Ein Eintrag in der „Warnliste der Banken“ unterliegt keiner fixen Löschfrist wie sie etwa laut dem Genehmigungsbescheid für die Warnliste existierte. Die Löschungsfrist ist nach der Beurteilung des Einzelfalles zu entscheiden.

Somit ist für die "Warnliste der Banken" eine Löschungsmöglichkeit gem.  Einzelfallbeurteilung unter Berücksichtigung aller maßgeblichen Umstände eröffnet.

Die Entscheidung ist rechtskräftig und hier abrufbar.

Anmerkung: Wenn Sie wissen wollen, ob und welche Einträge über Ihre Bonität, Zahlungsfähigkeit, Kreditrückzahlungen vorhanden sind, fordern Sie eine Auskunft an. Ich helfe Ihnen dabei gerne weiter: Kontaktieren Sie mich.

Die Datenschutzbehörde kein Rechtsschutzbedürfnis für ein Beschwerdeverfahren vor der Datenschutzbehörde, wenn es bereits einen vollstreckbaren zivilgerichtlichen Titel zur selben Sache gibt.

Die rechtskräftige Entscheidung ist hier abrufbar.

Betrifft:

Urteil des EuGH C-673/17 vom 1.10.2019


Bundesverband der Verbraucherzentralen und Verbraucherverbände- Verbraucherzentrale Bundesverband e.V.

gegen

Planet49 GmbH

Link zum Urteil im Volltext.

Zum Überblick In Kürze:

Cookies, für die eine Zustimmung nötig ist, dürfen erst nach aktiver Zustimmung durch den User verwendet werden (siehe auch Art 5 der RL 2002/58/EG und § 96 Abs 3 TKG).

Die einseitige Erklärung, Cookies zu verwenden (etwa im Impressum in der Datenschutzerklärung) reicht für technisch-nicht-notwendige Cookies daher nicht.

In diesem Zusammenhang erscheint daher auch die Praxis den Cookie Banner nach einiger Zeit des Unbeachtetbleibens auszublenden und davon auszugehen, der User sei mit der Setzung von Cookies einverstanden, als bedenklich.

 Eine Art "Opt-Out-Lösung" mit angehakter Option, die aktiv abzuwählen ist, um die fiktive Zustimmung zu widerrufen ist nicht richtlinienkonform.

Weiters hat der EuGH ausgesprochen, dass die "Cookies - Information" u.a. mitzuteilen hat:

-welche Funktionsdauer die Cookies haben,

-ob Dritte Zugriff auf die Cookies erhalten können.

Das Urteil legt im wesentlichen fest, was bisher österr. Rechtslage war:

-nicht technisch notwendige Cookies dürfen erst nach Einholung der Zustimmung gesetzt werden,

-Die Informationen zu den Cookies haben umfassend und klar zu sein.

D.h. ist keine Zustimmung zur Verwendung von technisch nicht notwendigen Cookies eingeholt worden, dürfen diese unter keinen Umständen gesetzt werden! Dies betrifft alle möglichen Einstiegsseiten einre Webseite.

Die Prüfung ob Cookies zur Darstellung der Webseite technisch notwendig sind, hat mE an einem sehr strengen Maßstab zu erfolgen.

Ein Verstoß gegen § 96  Abs 3 TKG ist mit Verwaltungsstrafe von bis zu EUR 37.000,00 bedroht und kann wettbewerbsrechtliche Konsequenzen haben, etwa, wenn durch Cookieverwendung ein Wettbewerbsvorteil lukriert wird.

Lassen Sie Ihre Website daher jetzt prüfen!

Betrifft:

Urteil des EuGH C-40/17 vom 29.7.2019


Fashion ID GmbH & Co. KG

gegen

Verbraucherzentrale NRW eV

beteiligt:

Facebook Ireland Ltd.

Link zum Urteil im Volltext.

Zum Überblick In Kürze:

Social - Plugins mit Cookies uä bedürfen der Aufklärung und Zustimmung des Users. Betreffend die Erhebung und Weitergabe der Userdaten ist der Webseitenbetreiber hierfür verantworltich. Die Aufklärung duch Erfüllung der Informationspflichten muss erfolgen, bevor die Daten des Users erhoben werden. Erst dann kann eine Zustimmung eingeholt werden.

Die Rechtsprechung dürfte auf Javascript-Funktionen übertragbar sein, die Daten an den Funktionsbereitsteller übermitteln.

Beispielhafte Überlegungen:

a) Ein Webseitenbetreiber bindet Werbung derart ein, dass er ein extern zugeladenes Plug-In verwendet, das die Werbung samt weiterem Code nachlädt. Es wird dann von diesem nachgeladenen Code ein Cookie gesetzt, es werden Daten des Users erhoben und dieser werden  an den Werbungsbetreiber rückübermittelt.

a) Umgelegt auf z.B. das  Projekt "Sharif" von Heise, könnte das bedueten, dass eine Information über die Erhebung der Daten zur Vefügung stehen muss, bevor der Sharif-Button angeklickt wird - etwa durch einen Link in der Nähe des Buttons.

b) Die Einbindung von z.B. Videoplayern kann weitere Tracking-Codes mit sich bringen, auch können Cookies gesetzt werden. Der Webseitenbetreiber hat somit sicherzustellen, sämtliche Scripts etc., die der eingebettete Dritt-Code für den Videoplayer mit sich bringt, datenschutzrechtlich zu prüfen. Dies setzt die Kenntnis voraus, ob und welchen Code (und woher)  ein eingebundener Video-Player nachlädt.

Am 29.7.2019 hat der Europäische Gerichtshof im Vorabentscheidungsverfahren C-40/17 im Wesentlichen grob zusammengefasst entschieden:

  • Der Webseitebetreiber trägt die datenschutzrechtliche Mitverantwortung für Datenerhebung und Datenübermittlung durch ein externes Plug-In, das personenbezogene Daten an den Plug-in Betreiber übermittelt. Er ist in die Datenverarbeitung des Plug-in-Anbieter eingebunden. Die Gründe für diese Mitverantwortung sind, dass der Webseitenbetrteiber selbst entschieden hat, das Plug-In auf seiner Webseite zu platzieren, er weiss, dass damit personenbezogene Daten erhoben und übermittelt werden und er hat durch das Plug-In einen wirtschaftlichen Vorteil hat (z.b. Werbung). Diese Mitverantwortung besteht insbesondere gegenüber Webseitenbesuchern, die kein Konto beim Anbieter des Plug-Ins haben.

  • Die Verwendung von Drittanbieter- Plug-Ins auf Webseiten erfordert eine klare Kommunikation über die stattfindenden Abläufe (s. Informationspflicht).

  • Grundsätzlich ist für die Einbindung von Drittanbieter- Plugins mind. ein berechtigtes Interesse gem. Art 7 lit f der EU-RL 94/95 des Webseitebetreibers und des Plug-In-Anbieters nötig (nach damaliger Rechtslage, nunmehr DSGVO u.a.). Im vorliegenden Fall könnte sogar die Zustimmung gem. Art 7 lit a der RL und gem. EU-RL 2002/58 nötig gewesen sein. Ist die Einwilligung nötig - etwa weil informationen auf dem Endgerät des Nutzers gespcihert werden - , so muss der Webseitenbetreiber diese einholen. Dies hat vor der Datenerhebung und Übermittlung an den Plug-In Anbieter zu erfolgen.

  • Da der Anbieter des Plug-In, sowie der Webseitenbetreiber gemeinsam Verwantwortliche iSd Richtlinie sind, muss bei beiden ein Rechtfertigungsgrund gem. Art 7 EU-RL 94/95 bestehen, beide müssen die jeweiligen Pflichten der Richtlinien als Verwantwortlicher erfüllen, wie die Informationspflichten gegenüber den Betroffenen (Art 10 EU-RL 94/95).

  • Die Regelung über "Joint Controller" lässt zivilrechtliche Haftungsnormen unberührt.

Näheres finden Sie im Urteil, das unter diesem Link abrufbar ist.

Die Vorabentscheidung ergeht noch zur Rechtslage vor In-Kraft-Treten der DSGVO. Es ist aber vorsichtshalber von einer weitgehenden Umlegbarkeit auf die Rechtslage seit In-Kraft-Treten der DSGVO auszugehen.

Die Entscheidung dürfte weitreichende Auswirkungen haben, vor allem auch auf die Verwendung bestimmter Formen von Tracking-Code, durch den die Interaktion des Webseitebenutzers analysiert und weiterverarbeitet wird. Dies soweit der Code browserseitig nachgeladen wird bzw. der Drittanbieter mit dem Webseitenbenutzer interagiert. Die Annahme, ein Dritter, der Code anbietet, sei ein Auftragsverarbeiter, ist gründlich zu prüfen.

Sämtliche eingebunden externen JavaScript Funktionen oä, die von Dritten betrieben werden, sind jedenfalls auf ihre rechtliche Zulässigkeit zu prüfen.

Zu beachten ist, dass die Feststellungen des EuGH zum Sachverhalt abhängig vom Ergebnis des unterinstanzlichen Verfahrens sind, es können sich somit noch Änderungen ergeben. Der EuGH hat in Rz 90 des Urteils dem vorlegenden Gericht aufgetragen, nachzuprüfen, ob der Dritte Zugriff auf Informationen hat, die im Endgerät des Benutzers gespeichert werden.

Diese Zusammenfassung ersetzt keine individuelle Rechtsberatung. Bei Fragen zu Ihrer Webseite oder Ihrem IT-Dienst kontaktieren Sie mich.

Am 17.7.2019 hat der Europäische Datenschutzbeauftragte eine Liste von Datenanwendungen herausgebracht, die der Datenschutz-Folgeabschätzung gem. der Verordnung (EU) 2018/1725, die für die EU-Organe und -Einrichtungen gilt, unterliegen.

Näheres auf der Webseite des Europäischen Datenschutzbeauftragen: https://edps.europa.eu/data-protection/our-work/publications/guidelines/data-protection-impact-assessment-list_en

Wirkung abhängig vom übrigen Inhalt der Mail: siehe OGH 4 Ob 143/18k

https://ris.bka.gv.at/Dokument.wxe?Abfrage=Justiz&Dokumentnummer=JJT_20190226_OGH0002_0040OB00143_18K0000_000

Rechtssatz RS0017244 u.a.

Kontakt

OGH Entscheidung zum Zugang von E-Mails durch Zugang in den Spam-Ordner des Empfängers.

Beachte: Es geht hier um dem Spam Ordner "des Empfängers". Unterschiedliches könnte sich ergeben, wenn der Spam Ordner nicht unmittelbar dem Empfänger zuzuordnen ist, wie etwa

bei Spam-Behandlung vor Ablage in User-Postfächer oä.

OGH Rechtssatz und Entscheidung 3 Ob 224/18i vom 20.2.2019:

"Eine Kenntnisnahme durch den Empfänger wird für den Zugang elektronischer Erklärungen nicht vorausgesetzt; maßgeblich ist vielmehr die Möglichkeit der Kenntnisnahme „unter gewöhnlichen Umständen. Beisatz: Hier: Zugang im „Spam-Ordner“ des Empfängers. "

Anmerkung: Sämtliche Spam Ordner sollten regelmäßig, kurzfristig kontrolliert werden.

Für nähere Informationen kontaktieren sie mich.

Näheres unter: https://edps.europa.eu/press-publications/press-news/press-releases/2019/edps-investigates-contractual-agreements_en

Entscheidung der Datenschutzbehörde:
  • Pflichtenverletzungen gem. DSGVO/DSB - im Anlaßfall Verstoß gegen die Pflicht einen Datenschutzbeauftragten zu bestellen.
  • Eine datenschutzrechtliche Einwilligung muss die konkreten Datenverarbeitungen klar nennen.
  • Von Datensicherheitsmaßnahmen gem. Art 32 DSGVO kann nicht im Wege der Einwilligung zum Nachteil des Betroffenen abgewichen werden (hier: Zustimmung zu unverschlüsseltem Versand von Daten u.a.).
  • Die Voraussetzungen zur Heranziehung von Auftragsverarbeitern unterliegt Art 28 DSGVO - eine Einwilligung hierzu ist (im Anlassfall) grdstzl nicht möglich.
  • Datenschutzrechtliche Einwilligungen können nicht unwiderruflich eingeholt werden (vgl. Art 7 Abs 2 DSGVO).
  • Betroffene sind darüber zu informieren welche Daten bei ihnen und welche Daten bei Dritten erhoben werden.
  • etc
Geschäftszahl DSB-D213.692/0001-DSB/2018.Näheres im Ris-Justiz.
 

 

Entscheidung der Datenschutzbehörde: Kriterien zur (datenschutzrechtlichen) Berechtigung von Bewertungsportalen (Geschäftszahl DSB-D123.527/0004-DSB/2018 ).
Näheres im Ris-Justiz.
 

 

Europäischer Datenschutzausschuss: Veröffentlichung von Annex 2 zu den Richtlinien zur Zertifizierung gem. Art 42, 43 DSGVO zur Stellungnahme: "Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 - Annex 2"

30.1.2019 Entscheidung der Datenschutzbehörde: Eine Löschung von personenbezogenen Daten kann uU durch Entfernung des Personenbezugs erfolgen. Anm.: Laut dem Erkenntnis kann auch aus einem Änderungsverlauf einer Datenverarbeitung uU ein Personenbezug rekonstruiert werden. (Geschäftszahl DSB-D123.270/0009-DSB/2018 ).
Näheres im Ris-Justiz.

23.1.2019 Europäischer Datenschutzausschuss: Richtlinien zur Zertifizierung gem. Art 42, 43 DSGVO: "Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 - revised version after public consultation"

10.12.2018 Entscheidung des Bundesverwaltungsgerichts: Rechtsgrundlagen, die die Aufgaben einer juristische Person definieren, können Beschränkungen enthalten, wen die juristische Person zur Erfüllung der Aufgaben heranzieht. Nichtbeachtung dieser Beschränkungen kann einen Verstoß gegen den Zweckbindungsgrundsatz mit sich bringen, da auch die Zwecke in diesen Rechtsgrundlagen definiert sind (Geschäftszahl W258 2134678-1/10E). Näheres im Ris-Justiz.
 
Checken Sie ihre DSGVO Frage.
Kontaktieren Sie mich für eine unverbindliche erste Einschätzung bzw. bei sonstigen Anliegen laden Sie die Unterlagen hoch.
Hier Dateien hochladen.
Please enter your name!
Please enter your email!
Write your message!
 
Laden Sie hier die Unterlagen hoch.
Ich checke Ihre Ansprüche und melde mich.
Please enter your name!
Please enter your email!
Write your message!
Hier Dateien hochladen.

06.12.2018 Entscheidung der Datenschutzbehörde: Beschwerden sind auf Deutsch einzubringen. Näheres im Ris-Justiz.

06.12.2018 Entscheidung der Datenschutzbehörde: Online-Nachrichtenseiten dürfen uU ihrem Angebot eine Entscheidung zwischen "Paywall" und der Zustimmung zur Datenverarbeitung zu Werbezwecken vorschalten. Näheres im Ris-Justiz.

30.11.2018 Entscheidung der Datenschutzbehörde: Im Rahmen eines Auskunftsbegehren ist auch mitzuteilen, welche dritten Personen konkret auf den betreffenden Krankenakt zugegriffen haben. Unzulässige Zugriffen können als Zugriffe von Dritten gewertet werden. Näheres im Ris-Justiz.

21.11.2018 Entscheidung des Bundesverwaltungsgerichts: Gerichtlich beeidete Sachverständige sind bei der Gutachtenserstellung gemeinsam mit dem beauftragenden Gericht als gemeinsame Verantwortliche gem. Art 4 Z 7 DSGVO zu sehen. Weitere gemeinsam Verantwortliche werden offengelassen. Näheres im Ris-Justiz.

05.11.2018 Entscheidung des OGH: Rechtssatz: "Bei der Koppelung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsabschluss ist grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen.". Näheres im Ris-Justiz.

29.10.2018 Entscheidung der Datenschutzbehörde: Die DSGVO sieht kein (subjektives) Recht des Betroffenen vor, vom Verantwortlichen spezifische Datensicherheitsmaßnahmen gem. Art 32 DSGVO zu fordern. Das gilt auch für den Grundsatz der Datenminimierung. die Sicherheit gem. Art 32 DSGVO kann auf mehrere Arten gewährleistet sein. Näheres im Ris-Justiz.


25.10.2018 Entscheidung der Datenschutzbehörde: Einer Beschwerde ist gem. § 24 Abs 3 DSG der zugrundeliegende Antrag beizuschließen. Näheres im Ris-Justiz.

16.10.2018 Entscheidung der Datenschutzbehörde zu u.a. Löschfristen in Zusammenhang mit der Aufbewahrung zur Verteidigung von Rechtsansprüchen: Eine Verarbeitung, die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, kann einem Löschanspruch entgegenstehen. im Einzelfall muss konkret dargelegt werden, weshalb nach Abschluss zb eines Verfahrens eine Notwendigkeit zur Aufbewahrung von Unterlagen nötig ist. Es sind somit konkrete Ansprüche und konkrete Zeiträume (z.B. im Anlassfall Anspruch gem. § 26 Abs 1 GlBG; 6 Monate) anzuführen. Daten sind dann zum "ehest möglichen" Zeitpunkt zu löschen - etwa nach Ablauf einer Klagsfrist gem. § 29 GlBG. Näheres im Ris-Justiz.

15.10.2018 Entscheidung der Datenschutzbehörde: Eine Einwilligung zu Marketingzwecken (Art 6 Abs 1 lit a DSGVO) ist nur dann frewillig, wenn durch das Formular nicht der Eindruck erweckt wird, dass nur der Kommunikationskanal gewählt werden kann. Die Platzierung des Unterschriftsfelds, direkt über der Unterschrift für die Anmeldung zur Mitgliedschaft (eines Vereins), entspricht ebenfalls nicht den Kriterien der DSGVO, da der Eindruck erweckt wird, die Einwilligung sei nötig (wodurch die notwendige Freiwilligkeit gem. DSGVO verloren geht). (siehe Newsletter Datenschutzbehörde).

21.09.2018 Entscheidung der Datenschutzbehörde: Artikel in Online-Foren von Medienunternehmen oder Mediendiensten gem. § 9 Abs 1 DSG können unter § 9 Abs 1 DSG fallen. Näheres im Ris-Justiz.

19.09.2018 Bescheid der Datenschutzbehörde: Anwendung von § 7 Abs 3 DSG auf die Erstellung einer Ortschronik. Nicht abgesprochen wurde über die Voraussetzungen der Veröffentlichung einer solchen Chronik. Näheres im Ris-Justiz.

02.08.2018 Entscheidung der Datenschutzbehörde: Anwendung von § 7 Abs 3 DSG auf die Erstellung einer Analyse der Straßenoberfläche mittels Meßfahrzeug. Gem. § 7 Abs 3 DSG kann unter den dort genannten Voraussetzungen die Einholung der Zustimmung von Betroffenen für wissenschaftliche/statistische Zwecke und Archivzwecke, die im öffentlichen Interesse liegen, uU unterbleiben. Näheres im Ris-Justiz.

10.07.2018 Entscheidung des EuGH: Eine Tätigkeit ist dann nicht ausschließlich privat oder familiär iSd RL 95/46, wenn sie zum Gegenstand hat, "personenbezogene Daten einer unbegrenzten Zahl von Personen zugänglich zu machen, oder wenn sie sich auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten verarbeitet". Die Verkündigung von Religion von Tür-zu-Tür hat keinen ausschließlich persönlichen oder familiären Charakter im Sinne von Art. 3 Abs. 2 zweiter Gedankenstrich der Richtlinie 95/46. Eine "Datei" iSd Art. 2 Buchst. c der Richtlinie 95/46 liegt schon vor, wenn erhobene Daten "nach Kriterien strukturiert werden, die gemäß dem Zweck der Datenerhebung gewählt werden", wie etwa dem Zweck Listen zu erstellen und die Daten über bestimmte Personen leicht wieder zu finden. Kriterien können etwa Namen und Adressen, Überzeugungen oder Ablehnung weiterer Besuche sein. Näheres bei curia.europa.eu.

25.05.2018 Die DSGVO wird EU-weit unmittelbar anwendbar.

(Datumsangaben sind Publikationsdaten, nicht Entscheidungsdaten; die angeführte Judikatur ist eine Auswahl)
Disclaimer: Die News sind Zusammenfassungen und ersetzen keine Rechtsberatung. Bitte entnehmen Sie dem RIS ob die Entscheidungen rechtskräftig sind oder fragen Sie bei der entsprechenden Behörde nach.

Weitere News: