Zu Encrochat wird in Deutschland diskutiert, ob zahlreiche Ermittlungsergebnisse womöglich zu Unrecht erhoben wurden.
Auch die Identifizierung von Betroffenen nur anhand von Chat-Nicknames kann problematisch sein und zur Unzulässigkeit von Anklagen führen, siehe weiters:
https://netzpolitik.org/2021/streit-um-encrochat-ermittlungen-vor-gericht/
Mit Urteil vom 16.7.2020 hat der EuGH das "Framework" Privacy Shield aufgehoben.
Die Datenschutzbehörde kein Rechtsschutzbedürfnis für ein Beschwerdeverfahren vor der Datenschutzbehörde, wenn es bereits einen vollstreckbaren zivilgerichtlichen Titel zur selben Sache gibt.
Kurz zusammengefasst:
Unter Privacy Shield versteht man einerseits eine Vereinbarung der EU mit den USA und andererseits einen Beschluss der EU Kommission. Dieses "Framework" ermöglichte es, bestimmte Datentransfers aus Europa in die USA im Wesentlichen wie innerhalb der EU durchzuführen.
Voraussetzung war, dass das Daten empfangende US-Unternehmen gemäß Privacy Shield zertifiziert war.
Dieses System wurde vom EuGH für ungültig erklärt, da wesentliche Datenschutzgarantien der DSGVO in den USA nicht geboten werden. Von dieser Einschätzung sind wohl auch die sog. Standardvertragsklauseln betroffen.
Betroffen sind viele populäre US Dienste, wie Cloud Speicher, Mail Provider, Umfragedienste etc aus den USA.
Es gilt nun zu prüfen, ob die Verwendung von US Dienstleistern durch EUR Unternehmen auf Privacy Shield begründet wurde.
Ausser Privacy Shield bleibt die Rechtsgrundlagen gem. Art 49 DSGVO offen, wie etwa zusammengefasst:
-Vertragserfüllung
-Zustimmung
Bei Fragen kontaktieren Sie mich:
https://www.rechtsanwalt-miller.at
Art. 49 DSGVO ist hier abrufbar:
https://www.datenschutz-grundverordnung.eu/grundverordnu…/…/
Die Entscheidung des EuGH ist hier abrufbar:
http://curia.europa.eu/juris/document/document.jsf…
Nunmehr hat der deutsche Bundegerichtshof entschieden, dass Cookies, die technisch nicht unbedingt notwendig sind, nur mit Zustimmung des Betroffenen gesetzt werden dürfen:
https://dejure.org/dienste/vernetzung/rechtsprechung?Text=I%20ZR%207/16
Diese Rechtsprechung gilt natürlich nicht 1:1 für Österreich, dennoch bestätigt die Entscheidung die herrschende Meinung und die Interpretation nach Wortlaut der österr. Regelung.
"Ein immaterieller Schaden erfordert ein Mindestmaß an persönlicher Beeinträchtigung. Die bloße Rechtsverletzung stellt per se noch keinen immateriellen Schaden dar (hier: bloßes Ungemach wegen des Kontrollverlusts über personenbezogene sensible Daten). Eine klagende Partei hat die Auswirkungen der Rechtsverletzungen auf ihre Persönlichkeit konkret zu behaupten und zu beweisen."
Laut einer Entscheidung der Datenschutzbehörde dürfen die Mailadressen von Newsletter-Empfängern in einem Newsletter nicht veröffentlicht werden. Das stellte im Anlassfall einen Verstoß gegen die DSGVO dar.
Entscheidung der Datenschutzbehörde vom 8.11.2019:
Wenn ein WWW-Diensteanbieter die Registrierung zu seinem Dienst per Pseudonym ermöglicht,
ist auch ein Löschbegehren gem. DSGVO mittels Pseudonym möglich. Es ist grundsätzlich nicht erforderlich, dass sich der registrierte User mit seinem realen Namen identifiziert.
Anm.: Für ein Auskunftsbegehren werden die gleichen Grundsätze gelten, d.h. ein Auskunftsbegehren kann auch mittels Login- bzw. Usernamen gestellt werden, wenn der entsprechende
Dienst die Registrierung mittles Pseudonym zuließ, d.h. keine Identitätsfeststellung als Bedingung für die Registrierung vorsah.
Artikel in Ärzte Exklusiv:
https://www.aerzte-exklusiv.at/de/BHZk0r46/dsgvo-ii/?in=DaD66Z0s
Das Datenverarbeitungsregister der Datenschutzbehörde wird am 31.12.2019 offline gehen. Bis dato wurde es als Archiv weitergeführt.
Sichern Sie daher ihre registrierten Meldungen:
--> Registrierte Datenanwendungen sind der Vorläufer des Verarbeitungsverzeichnis
https://www.dsb.gv.at/fragen-und-antworten#Was_geschieht_mit_dem_Datenverarbeitungsregister_
Entscheidung der Datenschutzbehörde vom 1.10.2019:
Ein Eintrag in der „Warnliste der Banken“ unterliegt keiner fixen Löschfrist wie sie etwa laut dem Genehmigungsbescheid für die Warnliste existierte. Die Löschungsfrist ist nach der Beurteilung des Einzelfalles zu entscheiden.
Somit ist für die "Warnliste der Banken" eine Löschungsmöglichkeit gem. Einzelfallbeurteilung unter Berücksichtigung aller maßgeblichen Umstände eröffnet.
Die Entscheidung ist rechtskräftig und hier abrufbar.
Anmerkung: Wenn Sie wissen wollen, ob und welche Einträge über Ihre Bonität, Zahlungsfähigkeit, Kreditrückzahlungen vorhanden sind, fordern Sie eine Auskunft an. Ich helfe Ihnen dabei gerne weiter: Kontaktieren Sie mich.
Die Datenschutzbehörde kein Rechtsschutzbedürfnis für ein Beschwerdeverfahren vor der Datenschutzbehörde, wenn es bereits einen vollstreckbaren zivilgerichtlichen Titel zur selben Sache gibt.
Betrifft:
Urteil des EuGH C-673/17 vom 1.10.2019
Bundesverband der Verbraucherzentralen und Verbraucherverbände- Verbraucherzentrale Bundesverband e.V.
gegen
Planet49 GmbH
Zum Überblick In Kürze:
Cookies, für die eine Zustimmung nötig ist, dürfen erst nach aktiver Zustimmung durch den User verwendet werden (siehe auch Art 5 der RL 2002/58/EG und § 96 Abs 3 TKG).
Die einseitige Erklärung, Cookies zu verwenden (etwa im Impressum in der Datenschutzerklärung) reicht für technisch-nicht-notwendige Cookies daher nicht.
In diesem Zusammenhang erscheint daher auch die Praxis den Cookie Banner nach einiger Zeit des Unbeachtetbleibens auszublenden und davon auszugehen, der User sei mit der Setzung von Cookies einverstanden, als bedenklich.
Eine Art "Opt-Out-Lösung" mit angehakter Option, die aktiv abzuwählen ist, um die fiktive Zustimmung zu widerrufen ist nicht richtlinienkonform.
Weiters hat der EuGH ausgesprochen, dass die "Cookies - Information" u.a. mitzuteilen hat:
-welche Funktionsdauer die Cookies haben,
-ob Dritte Zugriff auf die Cookies erhalten können.
Das Urteil legt im wesentlichen fest, was bisher österr. Rechtslage war:
-nicht technisch notwendige Cookies dürfen erst nach Einholung der Zustimmung gesetzt werden,
-Die Informationen zu den Cookies haben umfassend und klar zu sein.
D.h. ist keine Zustimmung zur Verwendung von technisch nicht notwendigen Cookies eingeholt worden, dürfen diese unter keinen Umständen gesetzt werden! Dies betrifft alle möglichen Einstiegsseiten einre Webseite.
Die Prüfung ob Cookies zur Darstellung der Webseite technisch notwendig sind, hat mE an einem sehr strengen Maßstab zu erfolgen.
Ein Verstoß gegen § 96 Abs 3 TKG ist mit Verwaltungsstrafe von bis zu EUR 37.000,00 bedroht und kann wettbewerbsrechtliche Konsequenzen haben, etwa, wenn durch Cookieverwendung ein Wettbewerbsvorteil lukriert wird.
Lassen Sie Ihre Website daher jetzt prüfen!
Betrifft:
Urteil des EuGH C-40/17 vom 29.7.2019
Fashion ID GmbH & Co. KG
gegen
Verbraucherzentrale NRW eV
beteiligt:
Facebook Ireland Ltd.
Zum Überblick In Kürze:
Social - Plugins mit Cookies uä bedürfen der Aufklärung und Zustimmung des Users. Betreffend die Erhebung und Weitergabe der Userdaten ist der Webseitenbetreiber hierfür verantworltich. Die Aufklärung duch Erfüllung der Informationspflichten muss erfolgen, bevor die Daten des Users erhoben werden. Erst dann kann eine Zustimmung eingeholt werden.
Die Rechtsprechung dürfte auf Javascript-Funktionen übertragbar sein, die Daten an den Funktionsbereitsteller übermitteln.
Beispielhafte Überlegungen:
a) Ein Webseitenbetreiber bindet Werbung derart ein, dass er ein extern zugeladenes Plug-In verwendet, das die Werbung samt weiterem Code nachlädt. Es wird dann von diesem nachgeladenen Code ein Cookie gesetzt, es werden Daten des Users erhoben und dieser werden an den Werbungsbetreiber rückübermittelt.
a) Umgelegt auf z.B. das Projekt "Sharif" von Heise, könnte das bedueten, dass eine Information über die Erhebung der Daten zur Vefügung stehen muss, bevor der Sharif-Button angeklickt wird - etwa durch einen Link in der Nähe des Buttons.
b) Die Einbindung von z.B. Videoplayern kann weitere Tracking-Codes mit sich bringen, auch können Cookies gesetzt werden. Der Webseitenbetreiber hat somit sicherzustellen, sämtliche Scripts etc., die der eingebettete Dritt-Code für den Videoplayer mit sich bringt, datenschutzrechtlich zu prüfen. Dies setzt die Kenntnis voraus, ob und welchen Code (und woher) ein eingebundener Video-Player nachlädt.
Am 29.7.2019 hat der Europäische Gerichtshof im Vorabentscheidungsverfahren C-40/17 im Wesentlichen grob zusammengefasst entschieden:
- Der Webseitebetreiber trägt die datenschutzrechtliche Mitverantwortung für Datenerhebung und Datenübermittlung durch ein externes Plug-In, das personenbezogene Daten an den Plug-in Betreiber übermittelt. Er ist in die Datenverarbeitung des Plug-in-Anbieter eingebunden. Die Gründe für diese Mitverantwortung sind, dass der Webseitenbetrteiber selbst entschieden hat, das Plug-In auf seiner Webseite zu platzieren, er weiss, dass damit personenbezogene Daten erhoben und übermittelt werden und er hat durch das Plug-In einen wirtschaftlichen Vorteil hat (z.b. Werbung). Diese Mitverantwortung besteht insbesondere gegenüber Webseitenbesuchern, die kein Konto beim Anbieter des Plug-Ins haben.
- Die Verwendung von Drittanbieter- Plug-Ins auf Webseiten erfordert eine klare Kommunikation über die stattfindenden Abläufe (s. Informationspflicht).
- Grundsätzlich ist für die Einbindung von Drittanbieter- Plugins mind. ein berechtigtes Interesse gem. Art 7 lit f der EU-RL 94/95 des Webseitebetreibers und des Plug-In-Anbieters nötig (nach damaliger Rechtslage, nunmehr DSGVO u.a.). Im vorliegenden Fall könnte sogar die Zustimmung gem. Art 7 lit a der RL und gem. EU-RL 2002/58 nötig gewesen sein. Ist die Einwilligung nötig - etwa weil informationen auf dem Endgerät des Nutzers gespcihert werden - , so muss der Webseitenbetreiber diese einholen. Dies hat vor der Datenerhebung und Übermittlung an den Plug-In Anbieter zu erfolgen.
- Da der Anbieter des Plug-In, sowie der Webseitenbetreiber gemeinsam Verwantwortliche iSd Richtlinie sind, muss bei beiden ein Rechtfertigungsgrund gem. Art 7 EU-RL 94/95 bestehen, beide müssen die jeweiligen Pflichten der Richtlinien als Verwantwortlicher erfüllen, wie die Informationspflichten gegenüber den Betroffenen (Art 10 EU-RL 94/95).
- Die Regelung über "Joint Controller" lässt zivilrechtliche Haftungsnormen unberührt.
Näheres finden Sie im Urteil, das unter diesem Link abrufbar ist.
Die Vorabentscheidung ergeht noch zur Rechtslage vor In-Kraft-Treten der DSGVO. Es ist aber vorsichtshalber von einer weitgehenden Umlegbarkeit auf die Rechtslage seit In-Kraft-Treten der DSGVO auszugehen.
Die Entscheidung dürfte weitreichende Auswirkungen haben, vor allem auch auf die Verwendung bestimmter Formen von Tracking-Code, durch den die Interaktion des Webseitebenutzers analysiert und weiterverarbeitet wird. Dies soweit der Code browserseitig nachgeladen wird bzw. der Drittanbieter mit dem Webseitenbenutzer interagiert. Die Annahme, ein Dritter, der Code anbietet, sei ein Auftragsverarbeiter, ist gründlich zu prüfen.
Sämtliche eingebunden externen JavaScript Funktionen oä, die von Dritten betrieben werden, sind jedenfalls auf ihre rechtliche Zulässigkeit zu prüfen.
Zu beachten ist, dass die Feststellungen des EuGH zum Sachverhalt abhängig vom Ergebnis des unterinstanzlichen Verfahrens sind, es können sich somit noch Änderungen ergeben. Der EuGH hat in Rz 90 des Urteils dem vorlegenden Gericht aufgetragen, nachzuprüfen, ob der Dritte Zugriff auf Informationen hat, die im Endgerät des Benutzers gespeichert werden.
Diese Zusammenfassung ersetzt keine individuelle Rechtsberatung. Bei Fragen zu Ihrer Webseite oder Ihrem IT-Dienst kontaktieren Sie mich.
Näheres auf der Webseite des Europäischen Datenschutzbeauftragen: https://edps.europa.eu/data-protection/our-work/publications/guidelines/data-protection-impact-assessment-list_en
Wirkung abhängig vom übrigen Inhalt der Mail: siehe OGH 4 Ob 143/18k
Rechtssatz RS0017244 u.a.
OGH Entscheidung zum Zugang von E-Mails durch Zugang in den Spam-Ordner des Empfängers.
Beachte: Es geht hier um dem Spam Ordner "des Empfängers". Unterschiedliches könnte sich ergeben, wenn der Spam Ordner nicht unmittelbar dem Empfänger zuzuordnen ist, wie etwa
bei Spam-Behandlung vor Ablage in User-Postfächer oä.
OGH Rechtssatz und Entscheidung 3 Ob 224/18i vom 20.2.2019:
"Eine Kenntnisnahme durch den Empfänger wird für den Zugang elektronischer Erklärungen nicht vorausgesetzt; maßgeblich ist vielmehr die Möglichkeit der Kenntnisnahme „unter gewöhnlichen Umständen. Beisatz: Hier: Zugang im „Spam-Ordner“ des Empfängers. "
Anmerkung: Sämtliche Spam Ordner sollten regelmäßig, kurzfristig kontrolliert werden.
- Pflichtenverletzungen gem. DSGVO/DSB - im Anlaßfall Verstoß gegen die Pflicht einen Datenschutzbeauftragten zu bestellen.
- Eine datenschutzrechtliche Einwilligung muss die konkreten Datenverarbeitungen klar nennen.
- Von Datensicherheitsmaßnahmen gem. Art 32 DSGVO kann nicht im Wege der Einwilligung zum Nachteil des Betroffenen abgewichen werden (hier: Zustimmung zu unverschlüsseltem Versand von Daten u.a.).
- Die Voraussetzungen zur Heranziehung von Auftragsverarbeitern unterliegt Art 28 DSGVO - eine Einwilligung hierzu ist (im Anlassfall) grdstzl nicht möglich.
- Datenschutzrechtliche Einwilligungen können nicht unwiderruflich eingeholt werden (vgl. Art 7 Abs 2 DSGVO).
- Betroffene sind darüber zu informieren welche Daten bei ihnen und welche Daten bei Dritten erhoben werden.
- etc