DatenschutzWoche vom 02.05.2022

Datenschutzkonferenz: Gastzugänge im Online-Handel

Die Datenschutzkonferenz (DSK) hat Hinweise zum datenschutzkonformen Online-Handel mittels Gastzugang (Stand: 24. März 2022) veröffentlicht und vertritt darin die Auffassung, dass Verantwortliche, die Waren oder Dienstleistungen im Online-Handel anbieten, in der Regel eine Bestellung per Gastzugang ermöglichen müssen. Ein fortlaufendes Kundenkonto ist nach Auffassung der Datenschutzaufsichtsbehörden nur zulässig, wenn eine Einwilligung des Betroffenen vorliegt. Eine Verarbeitung zur Erfüllung oder Anbahnung von Verträgen (Art. 6 Abs. 1 lit. b DSGVO) soll allerfalls in Ausnahmefällen in Betracht kommen. Damit die Einwilligung in die Erstellung eines Kundenkontos tatsächlich freiwillig ist, muss es die Möglichkeit zur Bestellung über einen Gastzugang als gleichwertige Alternative geben. Der Hinweis der DSK berührt damit, ähnlich wie die Diskussion zu datenschutzrechtlichen Voreinstellungen (Art. 25 Abs. 2 DSGVO), die Frage, inwieweit Verantwortliche verpflichtet sind, ihre Geschäftsmodelle an datenschutzrechtliche Vorgaben anzupassen und Einschränkungen der Vertragsfreiheit hinzunehmen. Man darf gespannt sein, ob sich die Rechtsprechung der restriktiven Auslegung der Datenschutzaufsichtsbehörden anschließen. Beispielsweise haben das VG Mainz (Urteil vom 20.02.2020, Az. 1 K 467/19.MZ) und das VG Hannover (Urteil vom 09.11.2021, Az. 10 A 502/19) in der Vergangenheit großzügigere Ansichten vertreten.

EuGH zu Verbandsklagen bei Datenschutzverstößen

Mit seinem Urteil in der Rechtsache C-319/20 („Meta“) vom 28. April 2022 hat der Europäische Gerichtshof (EuGH) die Rechte von Verbraucherschutzverbänden gestärkt: Diese können nach Ansicht des EuGH, unabhängig von einer konkreten Rechtsverletzung einer betroffenen Person, repräsentative Klagen gegen die Verletzung des Schutzes personenbezogener Daten erheben, sofern die jeweilige nationale Rechtsordnung eine solche Klagemöglichkeit vorsieht. Nach deutschem Recht ist dies qualifizierten Einrichtungen nach § 4 Unterlassungsklagengesetz vorbehalten. Ob es im Falle einer nicht vorhandenen Rechtsgrundlage zu einer Art "Forum Shopping" kommt und sich andere europäische Verbände an deutsche Verbraucherschutzverbände wenden, um ihre Klagen durchzusetzen, bleibt abzuwarten. In jedem Fall aber werden die deutschen Verbraucherschutzverbände wohl eine Vorreiterrolle einnehmen. Damit steigt das Risiko von Unternehmen, wegen (vermeintlicher) Datenschutzverstöße in Rechtsstreitigkeiten zu geraten, deutlich.

Internationale Nachrichten

• Frankreich: Die französische Datenschutzaufsicht CNIL hat eine Handreichung zur Aufzeichnung von Telefongesprächen zum Nachweis von Vertragsschlüssen veröffentlicht.
• Österreich: Die Datenschutzbehörde hat im Zusammenhang mit den 101 Beschwerden von nyob entschieden, dass es keinen risikobasierten Ansatz für Drittlandsübermittlungen gibt. Dies geht aus einem aktuellen Bescheid der Behörde hervor.

Aktuelle Gerichtsentscheidungen

• VG Wiesbaden, Urteil vom 01.03.2022, Az. 6 K 781/21.WI (juris): Die Verwarnung durch die Datenschutzaufsicht Hessen gegenüber einem Rechtsanwalt wegen der Nutzung von Adressdaten aus einer Insolvenzakte ist rechtswidrig, da die Verarbeitung nicht gegen die DSGVO verstößt.
• OLG Dresden, Urteil vom 29. März 2022, Az. 4 U 1905/21 (Volltext): Rechtsmissbrauch bei Auskunftsersuchen nach der DSGVO.
• OVG NRW, Beschluss vom 28.04.2022, Az. 4 B 473/22 (Volltext): Die Warnung des BSI vor dem Einsatz von Virenschutzsoftware des Herstellers Kaspersky ist vorerst nicht zu beanstanden.
• FG Niedersachsen, Urteil vom 18.03.2022, Az. 7 K 11127/18 (Volltext): Dem Steuerpflichtigen steht ein Anspruch auf Auskunft nach Art. 15 DSGVO zu. Die konkrete Ausgestaltung liegt im Ermessen der Finanzbehörde.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzkonferenz: „Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang“ – Beschluss mit Stand vom 24.03.2022
• Bundesdatenschutzbeauftragter: „Schnelleinstieg in das Mastodon-Netzwerk“ – Pressemitteilung vom 26.04.2022
• Datenschutzaufsicht Hamburg: „Hamburg räumt auf – Digitaler Frühjahrsputz zum Ende der Corona Hotspot-Regelung“ – Pressemitteilung vom 27.04.2022
• Datenschutzaufsicht Baden-Württemberg: „Twitter-Alternative: Mastodon“ – Pressemitteilung vom 28.04.2022
• Datenschutzaufsicht Bayern (BayLfD): „Verarbeitung des COVID-19-Impfstatus im bayerischen öffentlichen Dienst“ – Arbeitspapier mit Stand vom 19.04.2022
• Datenschutzaufsicht Rheinland-Pfalz: „1. Datenschutztag Hessen und Rheinland-Pfalz des BvD in Zusammenarbeit mit den Aufsichtsbehörden“ – Mitteilung vom 26.04.2022
• Datenschutzaufsicht Sachsen: „Zensus 2022“ – Mitteilung vom 02.05.2022