Neue europäische Regeln für DSGVO-Bußgelder
Erstmals haben sich die europäischen Datenschutzbehörden auf gemeinsame Grundsätze geeinigt, nach denen Bußgelder zu verhängen sind. Diese lassen den Behörden in den einzelnen Ländern aber nach wie vor große Spielräume.
Von Joerg Heidrich
Link zu den EDSA-Guidelines: ct.de/yfyw
Ab dem 1. Juli 2023 stellt Google seinen Dienst Google Analytics dauerhaft auf die neue Version “Google Analytics 4” (kurz “GA4”) um. Mit dieser Änderung kommen nicht nur technische, sondern auch rechtliche Veränderungen auf Nutzer von Google Analytics zu.
In diesem Beitrag erfahren Sie, was sich datenschutzrechtlich ändert, ob und wie Sie Google Analytics 4 einsetzen dürfen. Am Ende des Beitrags erhalten Sie eine Checkliste mit den wichtigsten Prüfpunkten vor dem Einsatz von Google Analytics 4.
Sollten Sie bisher noch keine eigenen Schritte zur Umstellung unternommen haben, so hat Google bereits im März 2023 automatisch Google Analytics 4 für Sie eingerichtet, basierend auf Ihren bisherigen Einstellungen und Zielen für Universal Analytics.
Bis Ende Juni 2023 haben Sie noch die Möglichkeit, Daten in der alten Version (Universal Analytics) zu sammeln und zu nutzen. Danach beginnt eine Übergangszeit von sechs Monaten, in der Sie auf alte Daten zugreifen können. Ab dann müssen Sie Google Analytics 4 einsetzen.
Universal Analytics und Analytics 4 sind beide Versionen von Googles Analysetool, jedoch mit technischen Unterschieden.
Universal Analytics fokussiert sich auf Sitzungen und Nutzerinteraktionen auf einzelnen Geräten. Im Gegensatz dazu konzentriert sich Analytics 4 auf die Nachverfolgung von Nutzern über verschiedene Geräte hinweg und ermöglicht eine detailliertere Erfassung des Nutzerverhaltens durch sogenannte “Events”, was tiefergehende Einblicke in ihr Verhalten bietet.
Kurzum, Analytics 4 ist die neuere Version, die detailliertere und geräteübergreifende Daten liefert. Umgekehrt hat Google aber auch die Datenschutzaspekte verbessert.
Versionsbezeichnung: In der Praxis verwendet man die Versionsbezeichnungen selten, sondern spricht schlicht von “Google Analytics”. Ab Juli 2023 ist damit automatisch Google Analytics 4 gemeint.
Google Analytics 4 erleichtert zwar die Nachverfolgung des Nutzerverhaltens, bietet aber zugleich neue Datenschutzfunktionen:
Die genannten Maßnahmen tragen zur Verbesserung des Datenschutzniveaus bei der Verwendung von Google Analytics 4 bei. Beachten Sie jedoch, dass die Nutzung von Google Analytics damit nicht automatisch zulässig und rechtssicher wird.
Das Landgericht Leipzig macht Quad9 zum Täter von Urheberrechtsverletzungen. Müssen DNS-Betreiber jetzt mit hohen Geld- oder Haftstrafen rechnen?
Die EU-Kommission strebt eine verbesserte Rechtsdurchsetzung der Datenschutz-Grundverordnung an. Hierzu sollen die Verfahrensvorschriften zur DSGVO-Durchsetzung harmonisiert werden. Konkret soll es dabei um eine Verbesserung der Zusammenarbeit zwischen den Datenschutzbehörden der verschiedenen EU-Staaten gehen. Hinzukommen sollen die Festlegung von Verfahrensfristen, die Bereitstellung von Instrumenten und die Anforderungen an den Informationsaustausch. Zu guter Letzt sollen die Position der Beschwerdeführer und der Betroffenen gestärkt werden.
Die geplanten Änderungen gehen unter anderem darauf zurück, dass die irische Datenschutzbehörde in der Kritik der anderen EU-Datenschutzbehörden steht. Der Vorwurf lautet auf einen zu nachgiebigen Umgang mit in Irland ansässigen internationalen Unternehmen, darunter Meta, Alphabet und Facebook. Die Beschwerden über zu niedrige Bußgelder oder eine zu lange Verfahrensdauer mehren sich. Tobias Haar (fo@ix.de)
Mit Spannung wurde die Stellungnahme des Europäischen Datenschutzausschusses (EDSA) zum geplanten EU-US Data Privacy Framework erwartet. Doch sie fiel anders aus als von vielen Beobachtern erwartet: Zwar kritisiert der EDSA Einzelaspekte des Rahmens für die DSGVO-konforme Übermittlung von personenbezogenen Daten in die USA, die erwartete völlige Ablehnung blieb jedoch aus.
Eine formale Verabschiedung des Frameworks dürfte damit nur noch eine Frage der Zeit sein. Die Chancen auf dessen Bestand auch bei sich anschließenden Gerichtsverfahren sind damit ebenfalls gestiegen.
In seiner Stellungnahme betont der EDSA deutliche Verbesserungen unter anderem im Bereich der Rechtsbehelfe gegen Verstöße der US-amerikanischen Zusagen beim Datenschutz. Zu diesen Zusagen äußert sich beispielsweise der Bundesdatenschutzbeauftragte Ulrich Kelber: „Wir sehen den Willen, ein angemessenes Schutzniveau für Betroffene, deren personenbezogenen Daten an Unternehmen in die USA übermittelt werden, zu schaffen.“
Allerdings kommt es nach Auffassung des hamburgischen Datenschutzbeauftragten Thomas Fuchs darauf an, wie diese Vorgaben sich in der Praxis bewähren. „Ob und inwiefern tatsächlich Geheimdienstaktivitäten auf ein verhältnismäßiges Maß reduziert werden und wirksamer Rechtsschutz gewährleistet ist, kann nur die Umsetzung in der Praxis zeigen“, so Fuchs. Tobias Haar (fo@ix.de)
Unter Einsatz von künstlicher Intelligenz durch einen Computer generierte Bilder genießen keinen Schutz nach den Urheberrechtsgesetzen: Darauf hat das United States Copyright Office hingewiesen. In ihrer Einschätzung folgt die Behörde den urheberrechtlichen Vorschriften, die nur schöpferische Leistungen von Menschen erfassen. Auch hierzulande fallen nur „persönliche geistige Schöpfungen“ unter das Urheberrecht. Ob und wie KI-generierte Inhalte zukünftig geschützt werden sollen, diskutieren Juristen derzeit weltweit.
Andererseits können Bilder von KI-gestützten Generatoren urheberrechtlich geschützte Werke enthalten. Zu diesem Ergebnis kam eine Studie der Alphabet-Töchter Google und DeepMind, der University of California in Berkeley, der ETH Zürich sowie der Princeton University. Mit bestimmten Prompts konnten sie Kopien bestehender Werke als KI-Output erzeugen. Deren Nutzung könnte folglich zu einem Urheberrechtsverstoß führen. Denkbar ist dies auch bei textlichen oder sonstigen Ergebnissen von KI-Generatoren wie ChatGPT. Tobias Haar (fo@ix.de)
Die Bundesregierung will die Digitalisierung der Verwaltung beschleunigen und hat einen Entwurf für eine Überarbeitung des Onlinezugangsgesetzes vorgelegt. Ziel ist eine einfache, moderne und digitale Verfahrensabwicklung. Geplant sind etwa die Bereitstellung von zentralen Basisdiensten durch den Bund, wodurch landeseigene Entwicklungen für Bürgerkonto und Postfächer entfallen. Zudem soll der Ersatz der Schriftform durch elektronische Signaturen vorangetrieben werden. Auch auf Nutzerfreundlichkeit und Barrierefreiheit soll geachtet werden.
Der Gesetzesentwurf ist vielfach auf Kritik gestoßen. Der Bundesverband der Deutschen Industrie vermisst die Setzung von Standards und Schnittstellen für die digitale Verwaltung. Er fordert zudem eine „Ende-zu-Ende-Digitalisierungspflicht“, also eine rein digitale Verarbeitung von online gestellten Anträgen in den Behörden. Gefordert werden auch vom Bund zentral bereitgestellte Infrastrukturen wie Cloud-Betriebsplattformen oder Bezahlfunktionen. Kritisiert wird zudem, dass keine Umsetzungsfristen, sondern nun nur noch eine begleitende Evaluierung vorgesehen ist. Tobias Haar (fo@ix.de)
Das Gesetz zum Schutz von Whistleblowern ist vorerst gescheitert. Der Bundesrat hat das vom Bundestag im Dezember beschlossene Gesetz abgelehnt. Gegen Deutschland läuft ein Verfahren der EU-Kommission wegen der verspäteten Umsetzung der Whistleblower-Richtlinie.
Der Bundesdatenschutzbeauftragte hat der Bundesregierung den Betrieb einer Facebook-Fanpage untersagt. Nach derzeitiger Rechtslage ist die damit verbundene Datenübermittlung an Meta rechtswidrig, so die Begründung.
Ob Cheat-Software für Computerspiele gegen das Urheberrecht verstößt, soll nun der Europäische Gerichtshof klären. Der Bundesgerichtshof hat die für die Games-Branche wichtige Frage zur Entscheidung den EU-Kollegen vorgelegt.
Wer wegen Wettbewerbsverstößen zur Unterlassung bestimmter Inhalte auf Webseiten verpflichtet ist, ist nicht für Altversionen von Webseiten in der Wayback Machine verantwortlich. Das hat das Landgericht Karlsruhe entschieden.
Das Landgericht Ravensburg hat die Entsperrung eines Mobiltelefons per Fingerabdruck gegen den Willen eines Verdächtigen als rechtmäßig eingestuft.
Der in Kraft getretene EU Digital Services Act sieht eine Finanzierung der Aufsicht über sehr große Plattformen über Gebühren vor. Facebook und Co. werden dafür künftig mit bis zu 0,05 Prozent ihres weltweiten Jahresumsatzes zur Kasse gebeten.
Die Bußgelder für DSGVO-Verstöße zogen im letzten Jahr deutlich an. Dabei baten die europäischen Richter Meta für Verstöße bei Facebook, Instagram und WhatsApp zur Kasse – jedoch um 4 Milliarden zu wenig, wie Datenschutzaktivist Max Schrems meint.
Im Jahr 2022 ist die Zahl der Bußgelder in der EU wegen Verstößen gegen die Datenschutz-Grundverordnung stark angestiegen. Das belegt eine Studie der internationalen Anwaltskanzlei DLA Piper. Im Vergleich zum Vorjahr sind die Bußgelder um etwa 50 Prozent auf insgesamt 1,64 Milliarden Euro gestiegen. Dazu beigetragen haben insbesondere die Bußgelder gegen Facebook in Höhe von 210 Millionen Euro und Meta in Höhe von 180 Millionen Euro. Wegen dieser Verfahren führt die hierfür verantwortliche irische Datenschutzbehörde DPC das Ranking an. Im gleichen Zeitraum hat die Zahl der von Unternehmen gemeldeten Datenpannen signifikant abgenommen.
Der bekannte Datenschutzaktivist Max Schrems hat die irische Datenschutzbehörde für einen zu laxen Umgang mit Meta kritisiert. Seiner Meinung nach hätte das verhängte Bußgeld 4 Milliarden Euro höher ausfallen müssen – die Behörde legte sich jedoch auf 390 Millionen Euro wegen DSGVO-Verstößen fest. Der Vorwurf lautete, dass Facebook rechtswidrig die gezielte Werbung gegenüber Nutzern als vertragliche Leistung ausgegeben hat, für die keine Einwilligung erforderlich sei. Ebenso fehlte es an einer wirksamen Einwilligung für das Tracking des Nutzerverhaltens. Laut Schrems hätte die DPC bei der Bemessung des Bußgelds die zusätzlichen Werbeeinnahmen durch den Datenschutzverstoß angemessen berücksichtigen müssen.
Auch WhatsApp ist derzeit im Fokus der irischen Datenschutzaufsicht. Hier lautet der Vorwurf ebenfalls mangelnde Transparenz über die Verarbeitung von Nutzerdaten sowie fehlende Rechtsgrundlage für gezielte Werbung und Tracking. Auf ein bereits 2021 verhängtes Bußgeld in Höhe von 225 Millionen Euro folgte nun ein weiteres über 5,5 Millionen Euro. Aber nicht nur Meta steht am Pranger: Die französische Datenschutzaufsichtsbehörde CNIL hat gegen TikTok eine Strafzahlung von 5 Millionen Euro angeordnet. Ihrer Meinung nach ist es unzulässig, dass für Nutzer die Ablehnung von Cookies nicht so einfach wie die Zustimmung ist. Apple wurde schließlich für die Verwendung von Gerätedaten für personalisierte Werbung im App-Store durch die CNIL mit einem Bußgeld über 8 Millionen Euro belegt.
Unterdessen verhandelt der Europäische Gerichtshof im Bußgeldverfahren gegen die Deutsche Wohnen über Grundsatzfragen der Verhängung von Strafen nach der DSGVO. Konkret geht es darum, ob bei Datenschutzverstößen durch Unternehmen die hierfür verantwortlichen Personen namentlich ermittelt werden müssen oder ob es ausreicht, dass ein Verstoß begangen wurde. Die Richter prüfen zudem, ob Verstöße einer Leitungsperson zuordenbar sein müssen. Während dies nach deutschem Recht erforderlich ist, sieht die DSGVO diese Voraussetzungen nicht vor. Das Verfahren ist entscheidend für die künftige Bußgeldpraxis in Deutschland. Tobias Haar (pst@ix.de)
Am 8. Februar 2023 ist die ISO 31700 in Kraft getreten. Sie beschreibt Datenschutzgrundsätze von Privacy by Design im Zyklus von Produkten und Dienstleistungen, die deren Anbieter künftig vom Beginn des Entwurfs über Entwicklung und Vermarktung berücksichtigen sollen. Der erste Teil des Standards beschreibt Prinzipien der datenschutzfreundlichen Produktgestaltung. Es geht dabei um Fragen des Designs von Nutzerschnittstellen und Datenhaltung, der Kommunikation mit Verbrauchern, Risikoassessments oder Tests der Datenschutzeinstellungen.
Beispiele im zweiten Teil der Norm sollen das Verständnis für diese Standards und deren Umsetzung anschaulich verdeutlichen. Die Einhaltung des ISO-Standards 31700 ist nicht verpflichtend. Allerdings tragen solche Standards zur Weiterentwicklung des Standes der Technik insgesamt bei, der auch bei Datenschutzverstößen eine Rolle spielt. Der Download der Norm auf den Webseiten der internationalen Organisation für Normung ist gebührenpflichtig und kostet etwa 300 Euro. Der Standard konkretisiert Art. 25 DSGVO, der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen festschreibt. Tobias Haar (pst@ix.de)
Seit einem Beschluss des Bundesarbeitsgerichts zur Arbeitszeiterfassung durch den Arbeitgeber wird über dessen Auswirkungen auf Arbeitszeitmodelle wie Homeoffice diskutiert. Die Erfurter Richter hatten verbindlich festgestellt, dass Arbeitgeber verpflichtet sind, „Beginn und Ende der täglichen Arbeitszeit der Arbeitnehmer zu erfassen“. Die Präsidentin des Bundesarbeitsgerichts hat nun erklärt, dass das Urteil diese Vertrauensarbeitszeitmodelle nicht abschaffe. Unter anderem hatte der Branchenverband Bitkom zuvor Zweifel hieran geäußert.
Die BAG-Präsidentin Inken Gallner stellte zudem klar, dass durch die Gerichtsentscheidung keine Pflicht zur Einführung von Stechuhren entstanden sei. „Das Wie der Arbeitszeiterfassung liegt in den gestaltenden Händen des Gesetzgebers“, so Gallner. Flexible Arbeitszeitmodelle sollen durch den Beschluss nicht abgeschafft werden. Aber auch bei solchen müsse beispielsweise die elfstündige Ruhezeit eingehalten werden. Die grundsätzliche Pflicht zur Arbeitszeiterfassung besteht bereits. Zusätzlich kündigte das Bundesarbeitsministerium an, Details der Zeiterfassung durch ein entsprechendes Gesetz regeln zu wollen. Wann dieses vorliegen und in Kraft treten wird, ist derzeit unklar. Tobias Haar (pst@ix.de)
Cispe lässt nicht locker: Die Vereinigung von Cloud-Infrastruktur-Anbietern in Europa hatte bereits im November 2022 eine Beschwerde bei der Generaldirektion Wettbewerb der EU-Kommission gegen Microsofts Bündelungspraxis von Softwareprodukten und Cloud-Services eingereicht. Jetzt legte der Verband noch einmal argumentativ nach.
Wissenschaftler der privaten Hochschulen Frankfurt School of Finance und European School of Management and Technology (ESMT) durchleuchteten im Auftrag von Cispe die ökonomischen Konsequenzen der Bündelung. In der 18-seitigen Untersuchung kommen sie zu dem Schluss, dass Preiserhöhungen, weniger Wahlmöglichkeit und geringere Innovationstätigkeit drohen.
Hintergrund ist der Verdacht, dass Microsoft die marktbeherrschende Stellung von zum Beispiel Windows oder Office als Hebel nutzen will, um sich im Cloud-Umfeld Vorteile zu verschaffen. Mittel zum Zweck sind die Lizenzbedingungen. Danach dürfen Kunden eine bereits erworbene Software auf Ressourcen externer Rechenzentren einsetzen, soweit diese von Microsoft als autorisierte Outsourcer zertifiziert sind – Amazon AWS, Google und Microsofts Azure selbst zählen nicht zu diesem erlauchten Kreis.
Allerdings offeriert der Konzern laut Studie diverse Optionen, bestehende Lizenzen auch ohne oder nur mit geringen Zusatzkosten in Azure zu nutzen. Diese Optionen stehen für AWS oder Google so nicht zur Verfügung. Ihr Einsatz wäre folglich die kostspieligere Alternative zur Microsoft-Cloud, da in der Regel neue Lizenzen zu erwerben sind. Achim Born (pst@ix.de)
Eine groß angelegte Studie von EU-Kommission und Verbraucherschutzbehörden aus 23 Mitgliedstaaten sowie Norwegen und Island hat weitverbreitete Rechtsverstöße in Onlineshops dokumentiert. Demnach setzen deren Betreiber in fast 40 Prozent der Fälle manipulative Praktiken zum Täuschen von Nutzern ein. Insgesamt wurden knapp 1400 Onlineshops untersucht. Verbreitet setzten die Anbieter laut Studie falsche Countdown-Zähler mit Fristen für den Kauf bestimmter Produkte ein. Viele Shops versuchten, Kunden durch visuelle Gestaltung oder sprachliche Mittel zum Abschluss von Abonnements zu bewegen. Bei 70 Anbietern fehlten im Kaufprozess entscheidende Informationen oder diese wurden nur versteckt zur Verfügung gestellt. Bemängelt wurden auch Zwangsregistrierungen und „virtuelle Drängel- und Gängeleien“.
Die Behörden wollen die gerügten Shopbetreiber zunächst auffordern, die Rechtsverstöße kurzfristig abzustellen. Kommen sie dem nicht nach, drohen formale Verfahren und Bußgelder. Der Bundesverband Onlinehandel kritisiert, dass mit der Studie weniger als ein Prozent aller Onlineshops überprüft wurde. Auch fehlten große Plattformen und Marktplätze. Durch das im Digital Services Act verschärfte Verbot von Dark Patterns und ähnlichen Methoden dürfte der Fokus auf solche Praktiken weiter zunehmen. Verstöße können mit Bußgeldern von bis zu 6 Prozent des Jahresumsatzes sehr teuer werden. Tobias Haar (pst@ix.de)
Eine Verwaltungsvereinbarung zwischen den USA und der EU soll die Kooperation im Bereich des Einsatzes von künstlicher Intelligenz fördern. Ziel sei es, bestimmte Prozesse per KI zu verbessern. Gemeint sind unter anderem die Katastrophenprävention durch Vorhersage von Extremwettersituationen, aber auch die Gesundheitsvorsorge oder die Energieversorgung. Im Fokus steht dabei die gemeinsame Nutzung der vorhandenen sowie die Erschließung neuer Datenbestände im Einklang mit den geltenden datenschutzrechtlichen Bestimmungen. Ziel ist ein KI-Modell mit jeweils in der EU und den USA liegenden Daten zur gemeinsamen Nutzung. Tobias Haar (pst@ix.de)
Der Verbraucherzentrale Bundesverband hat neun Telemedizin- und Arzttermin-Portale wegen DSGVO-Verstößen abgemahnt. Die Datenverarbeitung sei intransparent und es fehlten Einwilligungen der Betroffenen.
Das Landesarbeitsgericht Köln sieht die Beweislast für den Zugang einer E-Mail beim Absender. Weder deren Absendung noch das Fehlen einer Unzustellbarkeitsnachricht begründen einen rechtlich relevanten Anschein für den Zugang einer E-Mail.
Die Schweiz hat zum Jahresanfang die EU-Drohnenreglementierung übernommen. Für Drohnen ab 250 Gramm gilt nun eine Registrierungspflicht. Piloten müssen zudem eine Onlineschulung nachweisen.
Der europäische Datenschutzausschuss EDSA sieht mögliche Rechtsverstöße bei Cookie-Bannern. Neben einem Akzeptieren-Button müsste es regelmäßig einen entsprechenden Ablehnen-Button geben, heißt es im Positionspapier. Auch die grafische Darstellung der Banner genügt oft nicht den Datenschutzvorgaben.
Seit dem 1. Juli 2022 müssen in Deutschland tätige Unternehmen den sogenannten Kündigungs-Button auf ihren Webseiten
anbieten. Die Verbraucherzentrale Bayern hatte systematisch Webseiten überprüft und bei der Mehrheit davon erhebliche rechtliche Mängel aufgedeckt. Ein Großteil bewegte sich überdies im Graubereich, teilt die Verbraucherzentrale Bayern mit.
Die Verbraucherverbände hätten insgesamt 152 Unternehmen abgemahnt. Lediglich auf 273 von 840 überprüften Websites fanden sich gesetzeskonforme Kündigungs-Buttons, heißt es aus Bayern weiter.
349 Webseiten ließen den vorgeschriebene Kündigungs-Button ganz vermissen. In 65 Fällen war er auf der Website versteckt, in 38 Fällen trug er eine unzulässige Beschriftung. Überdies wurden 339 weitere Verstöße im Zusammenhang mit der Bestätigungsseite und dem finalen Bestätigungs-Button festgestellt, teilen die Verbraucherschützer mit. Es hätten zum Beispiel Pflichtangaben gefehlt, oder es habe unzulässige Beschriftungen gegeben. Letztere müssen ebenfalls bestimmten Formalien genügen.
Bis Anfang November 2022 zeigten sich 86 Unternehmen einsichtig und unterschrieben die geforderte Unterlassungserklärung. In drei Fällen erwirkten die Verbraucherschützer eine einstweilige Verfügung, in 17 Fällen haben sie ein Klageverfahren vorbereitet oder bereits ein solches eingereicht.
Das Landgericht Düsseldorf hat erneut bestätigt, dass eine kommerzielle Webseite eine E-Mail-Adresse zur Kontaktaufnahme durch Internetnutzer enthalten muss (LG Düsseldorf, Beschluss vom 17.08.2022 – 12 O 219/22). Bei Verstößen können Webseitenbetreiber auf Basis der Regelung des § 5 Telekommunikationsgesetz erfolgreich abgemahnt werden.
Das Arbeitsgericht Baden-Württemberg hat zu zwei Fragen des Auskunftsrechts nach der Datenschutz-Grundverordnung entschieden (ArbG Baden-Württemberg, Urteil vom 10.08.2022, 2 Sa 16/21 ab Rdnr. 96). Zum einen genügt nach dessen Auffassung eine Auskunftserteilung per E-Mail, da die DSGVO keine besondere Form hierfür vorgibt. Zum anderen stellte das Gericht klar, dass der Auskunftsverpflichtete sich des Datenschutzbeauftragten als Erfüllungsgehilfen bedienen darf.
Wegen der missbräuchlichen Verwendung von Grundbuchdaten hat der Datenschutzbeauftragte Baden-Württembergs ein Bußgeld in Höhe von 55 000 Euro verhängt. Ein Vermessungsingenieur hatte von seiner gesetzlichen Erlaubnis zur Einsicht in Grundbücher Gebrauch gemacht und die dadurch gewonnenen Erkenntnisse an einen Bauträger übermittelt. Dieser wiederum hat den Eigentümern Kaufangebote für ihre Grundstücke unterbreitet. Beide beteiligten Parteien mussten einen Teil des Bußgeldes bezahlen.
Ein Bußgeld von über 500 000 Euro hat der Berliner Datenschutzbeauftragte verhängt, weil er in der Bestellung eines Datenschutzbeauftragten in einem E-Commerce-Konzern einen Interessenkonflikt sieht. In dieser Unternehmensgruppe war eine Person zum Datenschutzbeauftragten ernannt worden, die gleichzeitig in zwei weiteren Unternehmen als Geschäftsführer tätig war. Diese Unternehmen waren noch dazu Auftragsdatenverarbeiter für das betroffene Unternehmen.
Das Bundesamt für Arzneimittel und Medizinprodukte hat seine Prüfkriterien für den Datenschutz für digitale Gesundheitsanwendungen überarbeitet. Sie sind Grundlage für die Zertifizierung der Datenschutzkonformität entsprechender Medizinprodukte. Konkret geht es dabei um Apps auf Rezept, die seit etwa zwei Jahren von Ärzten verschrieben werden können. Neben diesen digitalen Gesundheitsanwendungen hat das Amt als erste EU-Behörde nun auch digitale Pflegeanwendungen in den Geltungsbereich aufgenommen. In die Überarbeitung waren der Bundesdatenschutzbeauftragte sowie das Bundesamt für Sicherheit in der Informationstechnik eingebunden.
Der bekannte IT-Rechtsprofessor Thomas Hoeren aus Münster hat gemeinsam mit Mitarbeitenden der Forschungsstelle des DFN-Vereins eine überarbeitete Musterdatenschutzerklärung veröffentlicht (siehe ix.de/zcph). Sie darf von allen Webseitenbetreibern als Mustertext herangezogen und verwendet werden. Allerdings weisen die Autoren darauf hin, dass sie keine Gewähr für Richtigkeit und Vollständigkeit übernehmen, und warnen vor einem unbedachten Übernehmen. Tobias Haar (ur@ix.de)