Datenschutz

Der Wegfall des EU-US-Privacy-Shield war ein großer Paukenschlag für den E-Commerce Markt. Viele Dienste externer Serviceanbieter durften aus datenschutzrechtlichen Gründen plötzlich nicht mehr genutzt werden.

Insbesondere beim Versand von Newslettern bedienen sich viele Onlinehändler solcher externer Anbieter, die die Organisation, Gestaltung und Versendung von Werbemails übernehmen.

Da jedoch die Datenübermittlung an die USA ohne weiteres nicht mehr möglich ist, wurde die Nutzung solcher Dienstleister, die Daten nach USA übermitteln nun riskant.

Am 15.03.2021 hat das Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) einem Onlinehändler die Nutzung des Mailing-Dienstes Mailchimp untersagt.

Bei der Nutzung von Mailchimp werden Mailadressen der Mailingteilnehmer (also auch von EU-Bürgern) an Server von Mailchimp übertragen, die sich in den USA befinden.

Mailchimp hatte für derartige Datentransfers Standardvertragsklauseln aufgenommen. Dabei handelt es sich grundsätzlich um ein anerkanntes Instrument für die notwendige Datensicherheit bei Transfers von Daten in das europäische Ausland, das anstelle eines Angemessenheitsbeschlusses fungieren kann. Für die USA sind die Standardvertragsklauseln jedoch anscheinend kein adäquates Mitteln. Diese Klauseln verpflichten nämlich US Diensteanbieter zur Einhaltung europäischer Datenschutzbestimmungen im Verhältnis zum Diensteempfänger. Sie gelten also nur zwischen den Vertragsparteien, nämlich hier dem Händler und Mailchimp. Beispielsweise werden aber US-Behörden eben nicht durch diese Klauseln mitverpflichtet. Sie haben daher uneingeschränkte Zugriffsbefugnisse auf Daten und Server. Die Klauseln können Zugriffe von Behörden auch nicht verhindern. Daher sind sich die EU-Datenschutzbehörden weitestgehend einig darüber, dass die bloße Aufnahme von Standardvertragsklauseln nicht ausreicht. Es müssten weitergehende technische und organisatorische Maßnahmen getroffen werden, die den Zugriff von US-Behörden auf EU-Daten verhindern. Denkbar wäre etwas eine entsprechende Verschlüsselung, die nicht von US-Behörden ausgelesen werden kann.

Aufgrund dieses Defizits sieht das BayLDA das notwendige Datenschutzniveau bei der Nutzung von Mailchimp als nicht gegeben.

Das BayLDA hält die Datenübermittlungen an Mailchimp für unzulässig, weil durch die reine Implementierung von Standardvertragsklauseln nicht ausgeschlossen werden könne, dass US-Nachrichtendienste Zugriff auf Daten von Mailchimp bekommen könnten.

Doch das BayLDA ging noch weiter: der Händler hätte im Zuge des Einsatzes von Mailchimp überprüfen müssen, ob neben dem Einbezug von Standardvertragsklauseln noch weitere Maßnahmen für die Datensicherheit getroffen werden müssten. Es war also nicht der reine Einsatz von Mailchimp rechtswidrig, sondern die fehlende Interessen- und Risikoabwägung durch den Händler, die zum Ergebnis eine Entscheidung über weitere datenschutzrechtliche Sicherheitsmaßnahmen hätte.

Dem Händler wurde daher die Nutzung von Mailchimp untersagt, ein Bußgeld wurde ihm nicht auferlegt.

Nach unserer Ansicht ist jedoch eine Bewertung der Datensicherheit und damit auch eine Interessen-und Risikoabwägung durch den Händler nie möglich. Der Händler wird kaum Einsicht in die Datenverarbeitungsprozesse von den genutzten US-Diensten erhalten, jedenfalls nicht hinreichend detailliert. Damit kann er schon den ersten Schritt nicht erfüllen: die Erfassung des Umfangs und der Art aller Datenverarbeitungen. Außerdem hätte der Händler auch nicht die notwendige Expertise, um hier eine Bewertung mit einem tragfähigen Ergebnis zu erlangen.

Am Ende stehen auch noch die jeweiligen Dienste, die individuelle Maßnahmen vornehmen müssten, wozu sie sicher auch nicht bereit wären.

In der Konsequenz ist weiterhin davon abzuraten, Dienste in Anspruch zu nehmen, die Daten in das europäische Ausland, insbesondere USA, weiterleiten, dort verarbeiten oder speichern.

Weiterhin bleibt es bei der Auffassung, dass die Nutzung von US-Diensten, die sich bloß auf Standardvertragsklauseln berufen, nach wie vor grundsätzlich nicht zulässig.

 

Sie haben Fragen zum Datenschutz? Dann sind Sie bei uns richtig!

 

In einer aktuellen Pressemitteilung hat  der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Baden-Württemberg mitgeteilt, dass gegen den VfB Stuttgart 1893 AG  ein DSGVO-Bußgeld in Höhe von 300.000 EUR wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO verhängt worden ist.  

https://www.baden-wuerttemberg.datenschutz.de/vfb-stuttgart-bussgeld-erlassen/

Im Kern ging es darum, dass der Fußballverein zehntausende Mitgliederdaten an Dritte weitergegeben hat, um die eigene Profiabteilung voranzubringen.  

Zudem wurde gegen datenschutzrechtliche Dokumentationspflichten im Umgang mit personenbezogenen Daten verstoßen, da die E-Mail zu dem untersuchten Vorgang aus dem Jahr 2018 beim VfB nicht mehr aufzufinden war.

In der Presserklärung heißt es, dass dei Verantwortlichen des VfB Stuttgart 1893 e.V. und der VfB Stuttgart 1893 AG die Aufklärungs- und Ermittlungsmaßnahmen des Landesbeauftragten unterstützt und durch eigene Initiative gefördert sowie mit der Behörde des Landesbeauftragten umfangreich kooperiert haben.

Daher viel die Höhe des Bußgeldes vergleichsweise niedrig aus.

Der Verein hat auf seiner Webseite ebenfalls zu dem Vorgang Stellung genommen und mitgeteilt, dass es das Bußgeld akzeptiert.

https://www.vfb.de/de/vfb/aktuell/neues/club/2021/meldung-bussgeld/

Auch wenn es in diesem Fall einen Bundesligaverein betrifft zeigt es wieder einmal, dass Datenschutz auch in Vereinen sehr ernst genommen werden muss. Unsere Erfahrung zeigt leider, dass es hier noch großen Nachholbedarf gibt.

Eine verhängte Fahrtenbuchauflage durch eine Behörde ist durch das in 6 Abs.1 e) DSGVO verankerte öffentliche gedeckt. Eine solche Auflage ist daher DSGVO konform. Das hat das OVG Hamburg, Beschluss vom  01.12.2020, Az.: 4 Bs 84/20 festgestellt.

Geklagte hatte ein gewerblicher Autovermieter. Gegen diesen wurde eine Fahrtenbuchauflage verhängt, da bei einem Verkehrsverstoß der betreffende Fahrer nicht festgestellt werden konnte. Der Autovermieter wehrte sich gegen die Auflage und argumentierte, das die Auflage  gegen die Vorschriften der DSGVO verstoße, wenn  Daten der einzelnen Mieter erheben werden müssen.

Das OVG sieht dies anders. So lasse die DSGVO  eine entsprechende Datenerhebung zu. Nach Art. 6 Abs. 1 lit. e) DSGVO ist eine Datenverarbeitung insbesondere dann rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt. Diese Voraussetzung sind vorliegend erfüllt, weil die Fahrtenbuchauflage eine Maßnahme zur vorbeugenden Abwehr von Gefahren für die Sicherheit und Ordnung des Straßenverkehrs darstellt.

Autovermieter sollten daher ihren Mietvertrag entsprechend anpassen.

Sie haben Fragen zur Datenschutzgrundverordnung? Wir helfen Ihnen

Uns liegt eine Abmahnung des Herrn Rechtsanwalt Stefan Richter aus Berlin vor. In dem 13 Seiten langen Abmahnschreiben  wirft Herr Rechtsanwalt Stefan Richter  unserem Mandanten  unerlaubt per elektronischer Post  (gemeint E-Mail) versendet (Spam Mail) zu haben.

Er gibt insoweit an, dass sein Mandant über die Webseite unseres Mandanten eine Bestellung getätigt habe. Er habe sich bewusst gegen die Eintragung in den Newsletter entschieden. Auch wurde er nicht darauf hingewiesen, dass seine Mailadresse zu Webezwecken genutzt werde.

Trotzdem habe sein Mandant eine Mail mit Werbung erhalten.

Die Zusendung  sei eine unzumutbare Belästigung  und unlauter. Belästigungswerbung insbesondere per elektronischer Nachricht, stellte nach Ansicht von Rechtsanwalt Stefan Richter mittlerweile eine regelrechte „Landplage“ dar. Er setzt daher einen Streitwert von 8.400 € an.  Er verlang daher Rechtsanwaltskosten in Höhe von 887,03 €.

Gefordert wird nun die Unterzeichnung einer vorgefertigten strafbewehrten Unterlassungs- und Verpflichtungserklärung und zwar sowohl von der GmbH als auch von den Geschäftsführern.

Zudem verlangt Herr Richter Auskunft hinsichtlich der über seinen Mandanten gespeicherten Daten. Ebenso nach Auskunftserteilung die Löschung /Sperrung sowie Bestätigung der Sperrung /Löschung. Er beruft sich insoweit auf die Vorschriften der Datenschutzgrundverordnung (DSGVO).

Wir haben aus mehren Gründen Bedenken hinsichtlich der Rechtmäßigkeit der Abmahnung.

Unsere Empfehlung

    Ruhe bewahren

    Fristen beachten

    Keine Unterlassungserklärung unterschreiben oder den Geldbetrag zahlen

    Keinen Kontakt mit der Gegenseite aufnehmen

    Einen Rechtsanwalt mit der Prüfung und Vertretung beauftragen

Wenn auch Sie eine Abmahnung von Herrn Rechtsanwalt Stefan Richter aus Berlin erhalten haben helfen wir Ihnen gerne. Wir kennen den Rechtsanwalt bereits aus einem ähnlichen Fall.