Auslegungssache – der c't-Datenschutz-Podcast

Mit Adrian Schneider, Joerg Heidrich, Achim Barczok IT-Recht-Blog Telemedicus: https://www.telemedicus.info

Mit Carola Sieling, Joerg Heidrich, Achim Barczok Ob Vereinsauftritt, privates Blog oder Online-Shop: Für Webseiten gilt die DSGVO. Wer eine Seite aufsetzt, muss sich deshalb von Anfang an Gedanken machen, an welchen Stellen er Nutzerdaten speichert, verarbeitet und weiterleitet, zum Beispiel über eingebundene Dienste und Plug-ins. Doch wie genau bekommt man seine Webseite datenschutzkonform? Diese Frage beantworten Joerg und Achim – Holgers Urlaubsvertretung – gemeinsam mit Carola Sieling. Carola ist bereits zum dritten Mal (Folge 27, Folge 18) in der c't Auslegungssache zu Gast und erklärt, welche Vorgaben der DSGVO für Website-Anbieter relevant sind. Wunderbar zum Thema Websites passt auch das Bußgeld der Woche, das in dieser Woche gar kein Bußgeld ist, sondern ein Schadensersatz. Ein Webseitenbetreiber muss 100 Euro an einen Seitenbesucher bezahlen, weil dessen IP durch den Einsatz von Google Fonts an Google in den USA weitergegeben wurde – ohne Einwilligung. Das Urteil ist noch nicht rechtskräftig. Beim Betreiben einer Webseite lauern zahlreiche weitere Datenschutzfallen: Das eingebettete Video von YouTube ist ebenso problematisch wie der Like-Button für Facebook, und im Newsletterformular sollte man sich hüten, allzu viele persönliche Informationen abzufragen. Bei Fotos kommen außerdem Urheberrecht und Persönlichkeitsrechte hinzu, die es zu beachten gilt. Besonders kritisch ist das Einbauen von Analytics-Tools, mit denen man mehr über die Besucher seiner Webseite erfahren kann. Jüngst hat etwa die österreichische Datenschutzbehörde entschieden, dass der Einsatz von Google Analytics gegen die DSGVO verstößt – und auch Joerg und Carola sind eindeutig der Meinung, dass man fürs Besucherzählen derzeit besser nicht den Dienst von Google einsetzt.

Mit Peter Hense, Holger Bleich und Joerg Heidrich Das "Unding"-Projekt - Automatische Entscheidungen anfechten

Mit Frederick Richter, Holger Bleich und Joerg Heidrich Stiftung Datenschutz CNIL-Pressemeldung mit Links: "The CNIL fines GOOGLE a total of 150 million euros and FACEBOOK 60 million euros for non-compliance with French legislation" EU-Kommissions-Pläne für Gesetzgebungsverfahren 2022 (PDF)

Mit Laura L. Stoll, Cornelius von Cramm, Holger Bleich und Joerg Heidrich Der Dr.-Datenschutz-Podcast

Mit Eva Wolfangel, Holger Bleich und Joerg Heidrich Überwachung von Angestellten: „Jeder ist potenziell verdächtig“, von Eva Wolfangel

Mit Heiko Dünkel, Holger Bleich und Joerg Heidrich Konferenzprogramm und Livestream-Links Techtide am 2.12.2021 Urteil LG Mainz "Inkassofirma muss 5.000 Euro Schadensersatz wegen Schufa-Eintrag zahlen" Der neue 327q BGB (ab 1.1.2022)

Mit Dr. Thomas Schwenke, Holger Bleich und Joerg Heidrich Der Podcast "Rechtsbelehrung" von Marcus Richter und Dr. Thomas Schwenke

Mit Dr. Carlo Piltz, Holger Bleich und Joerg Heidrich Volltext TTDSG in der verabschiedeten Fassung de lege data (aktuelle datenschutzrechtliche Einschätzungen von Dr. Carlo Piltz)

Mit Sascha Kremer, Holger Bleich und Joerg Heidrich Für Episode 48 des c't-Datenschutz-Podcasts hatten sich Joerg und Holger auf die Anregung eines Hörers vorgenommen, ausgiebig zu klären, wann Datenverarbeitungen nach DSGVO erlaubt sind. Herausgekommen ist eine Auslegungssache mit deutlicher Überlänge. Die Zeit ist gut investiert, denn als Podcast-Gast erläutert der auf Datenschutz spezialisierte Rechtsanwalt Sascha Kremer die Sachlage auch für Laien verständlich und anhand vieler konkreter Beispiele. Als Mantra der DSGVO gilt: Jede Verarbeitung von personenbezogenen Daten ist verboten, außer es existiert eine Erlaubnis ("Verbot mit Erlaubnisvorbehalt"). Was erlaubt ist, regelt Art. 6 DSGVO, der die sechs möglichen Rechtsgrundlagen definiert. Am Beginn der Liste steht die infomierte Einwilligung der betroffenen Person. Jeder kennt sie, beispielsweise durch die Websites vergeschalteten Cookie-Banner. Unternehmen mögen sie sie nicht sonderlich, weil sie jederzeit widerrufbar ist. Lieber ist ihnen, sich auf die erlaubte Datenverarbeitung im Umfeld eines Vertragsschlusses zu berufen. Diese greift bereits bei der Anbahnung, beispielsweise wenn ein potenzieller Kunde Produkte in den Warenkorb eines Onlineshops legt. In der Podcast-Episode legen Joerg und Sascha Kremer ein besonderes Augenmerk auf Art. 6 Abs. 1f, aus die erlaubte "Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten". Joerg bezeichnet diese Rechtsgrundlage als "Auffangvorschrift". Kremer weist darauf hin, dass diese Rechtsgrundlage oft falsch verstanden wird: Es gehe nicht nur ums berechtigte Interesse des Verarbeitenden, sondern um eine Abwägung von Interessen des Verarbeitenden, der betroffenen Person und vielleicht auch noch Dritter. Deshalb lasse sich daraus keinesfalls ein Freibrief konstruieren. Anhand von Beispielen werfen die drei Diskutanten Interessen auf beide Seiten der Waage und schauen, wann tatsächlich "berechtigtes Interesse" vorliegt.