Liebe Leser, Datenschutz- beauftragte und manager,

aufgrund der fehlenden Kapazitäten bei den Aufsichtsbehörden gab es in den letzten Jahren vor allem anlassbezogene Prüfungen, z.B. bei einer Beschwerde eines Betroffenen. Diese Praxis ändert sich zunehmend. Immer mehr Kontrollen finden inzwischen anlasslos statt.  Sehr transparent wird das von der bayerischen Aufsicht dargestellt. Aber lesen Sie selbst:

Einbindung von YouTube-Videos Videos auf der Website

 Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat eine Anleitung zur datenschutzkonformen Einbindung von Videoinhalten auf Webseiten veröffentlicht.

Für die Einbindung von Videos auf der eigenen Webseite müssen das TTDSG und die DSGVO / bzw. das DSG-EKD beachtet werden. Das TTDSG dient unter anderem dem Schutz der Privatsphäre bei Endeinrichtungen. Das Auslesen von Informationen und die weitere Verarbeitung der Daten können hiernach grundsätzlich nur mit einer Einwilligung des Betroffenen erfolgen. In § 25 Abs. 2 normiert das TTDSG jedoch eine Ausnahme für technisch unbedingt erforderlichen Zugriffe, die für die Zurverfügungstellung eines vom Nutzer ausdrücklich gewünschten Telemediendienstes unbedingt erforderlich sind.

Als Betreiber einer Website kann man sich also fragen, ob ein eingebundenes Video von YouTube für den vom Nutzer gewünschten Dienst wirklich erforderlich ist.  

Hierzu stellt der Bundesbeauftragte zunächst einmal klar, dass der Webseitenbetreiber auch für die Einbindung von Inhalten Dritter (wie eben Videos) verantwortlich ist. Wenn ein Video vom Webseitenbesucher aufgerufen wird, liefert der Dienst den Player und das Video aus und speichert Informationen als Cookies, in der Index DB und im Local Storage. Die gespeicherten Informationen werden laut Darstellung von Google neben der Diensterbringung selbst insbesondere auch für die Analyse von Zielgruppeninteraktionen und der Erstellung von Websitestatistiken zwecks Verbesserung der Qualität der Dienste verwendet. Damit ist ein solcher Zugriff auf die Endeinrichtung nicht mehr als technisch notwendig i. S. d. § 25 TTDSG anzusehen.

Da der Zugriff als nicht technisch notwendig zu betrachten ist, muss eine wirksame Einwilligung eingeholt und zudem eine gleichwertige Alternative bereitgestellt werden.

Der Beauftragte empfiehlt daher selbst von einer Einbettung von YouTube-Videos mit der Einstellung „erweiterten Datenschutzmodus“ auf der eigenen Webseite abzusehen.

EuGH: Nur ein schuldhafter Verstoß gegen die DSGVO kann zur Verhängung einer Geldbuße führen

Der EuGH hat mit Urteil vom 05.12.2023 (Az. C-807/21) entschieden, dass ein Bußgeld gegen einen für die Datenverarbeitung Verantwortlichen wegen Verstoßes gegen die DSGVO nur dann verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde.

Juristische Personen haften für Verstöße, die von Vertretern oder anderen Personen im Rahmen ihrer Tätigkeit begangen werden.  Es sei demnach nicht erforderlich, dass der Verstoß von einem  Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Damit haften juristische Personen auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handeln. Die Verhängung einer Geldbuße aufgrund einer Datenschutzverletzung dürfe daher nicht von der Voraussetzung abhängig gemacht werden, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.

Mit dieser Entscheidung beendet der EuGH die Diskussion über das Funktionsträger- und Rechtsträgerprinzip zugunsten des Rechtsträgerprinzips. Unternehmen können nach dem deutschen Ordnungswidrigkeitenrecht (§ 30 des Gesetzes über Ordnungswidrigkeiten – OWiG) nur mit Bußgeldern belegt werden, wenn eine Führungskraft eine vorsätzliche oder fahrlässige Handlung begangen hat, die dem Unternehmen zurechenbar ist (Rechtsträgerprinzip).

Es empfiehlt sich daher, sämtliche Beschäftigte regelmäßig zu schulen und auf die Gefahr von Datenschutzverletzungen zu sensibilisieren.

Sicherheit bei der Auskunft

Das Arbeitsgericht Suhl hat am 20.12.2024 (6 Ca 704/23) entschieden, dass Auskunftsbegehren nur per verschlüsselter E-Mail beantwortet werden sollten.

Das Gericht gab einem Arbeitnehmer recht, der eine unverschlüsselte E-Mail mit Informationen über seine gespeicherten Daten erhalten hatte. Die Hauptforderung des Klägers auf Schadensersatz in Höhe von mindestens 10.000 Euro wurde jedoch abgewiesen, da er keinen konkreten immateriellen Schaden nachweisen konnte. Das Gericht stellte fest, dass ein bloßer Kontrollverlust keinen konkreten immateriellen Schaden darstellt. Der Arbeitnehmer argumentierte, dass die unverschlüsselte Übermittlung seiner Daten, die Weiterleitung an den Betriebsrat und die unvollständige Auskunft zu einem immateriellen Schaden geführt hätten. Er leitete seinen Ersatzanspruch gemäß Art. 82 Abs. 1 DS-GVO ab, ohne dass ein separater kausaler Schaden nachgewiesen werden müsse. Das Gericht stimmte dem Kläger zu, dass die unverschlüsselte Übermittlung gegen Art. 5 DS-GVO verstößt und verwies auf eine frühere Rüge des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit.

Die DSK gibt in ihrem Kurzpapier Nr. 6 vor, dass alle Kommunikationswege bei der Beantwortung der Auskunft angemessene Sicherheitsanforderungen erfüllen müssen. Es empfiehlt sich daher gerade bei umfangreichen Auskünften den verschlüsselten Kommunikationsweg anzubieten.

Das Bayerische Landesamt für Datenschutzaufsicht hat ein Muster veröffentlicht, wie eine Auskunft nach Art. 15 DSGVO zu erfolgen hat. Dieses kann hier (PDF) abgerufen werden.

Das soll es für heut gewesen sein. Ich wünsche Ihnen eine schöne Restwoche.

Mit den besten Grüßen

Ihr Robert Harzewski