Schlagwort-Archive: EU-DSGVO

Tagesnotizen vom 2. Oktober 2019

Zwei deutsche Arztpraxen, eine in Kempen (NRW) und eine in Ingolstadt (Bayern) hatten ihren Anteil an einem der größten Datenleaks im medizinischen Bereich. Die Arztpraxen hatten Röntgendaten (Bilddaten) auf einem ungesicherten Bildserver gelagert, der über das Internet erreichbar war. Die Aufsichtsbehörden untersuchen den Fall, für die betroffenen Ärzte könnte das im Zweifel sehr teure Folgen haben.
Dramatisch können die Folgen allerdings auch für die Patienten sein: Medizinische Daten kann man in den meisten Fällen immer „nur einmal“ verlieren. Außer dem Patienten selbst trifft das dann ja nach Information auch die nachfolgenden Generationen. Vorfälle dieser Art sind deshalb meldepflichtig.

Heute wäre Mohandas Karamchand Gandhi 150 Jahre alt geworden. Die New York Times liefert eine umfassende Erinnerung.

Tagesnotizen vom 01.10.2019

Puh. Heute ist passiert, was ich und viele Kollegen im Datenschutz schon lange vorausgesagt haben: Der EuGH hat entschieden, dass das Setzen von Cookies eine vorherige (!) aktive (!) Einwilligung (!!) des Nutzers voraussetzt. Dabei ist dem EuGH auch egal, ob es sich bei den im Cookie gespeicherten Informationen um personenbezogene Daten handelt oder nicht.
Das Echo auf die Entscheidung ist entsprechend gemischt, denn damit bewegen sich auch in Deutschland auf einen Schlag die meisten Betreiber von Websites auf rechtlich fragilem Gebiet. Der klassische Cookie-Hinweis („Wir gehen von Ihrem Einverständnis aus, wenn Sie unsere Seite weiter besuchen“) war vorher schon angeschossen, jetzt ist er mausetot.
Spannend auch die kommende Diskussion, wie eine solche Einwilligung dokumentiert werden kann. Häufiger Vorschlag: Statt einzelne Einwilligungen zu speichern (!), technisch den Nachweis führen, dass die Website oder Anwendung ohne Einwilligung nicht benutzbar ist. Das würde aber auch bedeuten: Bei jedem Update muss die komplette Website oder Applikation in eingefrorenem Zustand archiviert werden. Es stellen sich viele, viele Fragen.
Wer die typisch sehr schwer zu lesende EuGH-Entscheidung lesen möchte, bitte hier entlang.

Die USA und Großbritannien haben derweil vereinbart, dass Facebook & Co. auch der britischen Polizei Zugriff auf Nachrichten geben müssen. Den Job, Julian Assange in der ecuadorianischen Botschaft zu überwachen, hatte aber wohl eine spanische Firma übernommen.

In den USA haben Experten gezeigt, dass sich die für die Präsidentenwahl im nächsten Jahr vorgesehenen Wahlmaschinen ziemlich einfach hacken lassen.

Noch ein besonderer Geburtstag: Vor 30 Jahren wurde das W3C (World Wide Web Consortium) gegründet.

Zum Tagesausklang: Warum uns in Sachen Klimawandel Technologie auch diesmal nicht retten wird. Wer das zum Anlass für Diskussionen nutzen will, sollte immer Volkers Ratschlag im Kopf haben.

Nutzung von Diensten wie Facebook wird für Gewerbetreibende riskant: EuGH entscheidet auf Mitverantwortung im Datenschutz

Der Europäische Gerichtshof (EuGH) hat entschieden, dass die Betreiber von Website, die den Facebook-„Like-Buton“ in ihre Seiten integrieren, für die Erhebung und Übermittlung von Daten an Facebook mit verantwortlich sind. Zudem wurde entschieden, dass nicht nur Aufsichtsbehörden, sondern auch Verbraucherschutzverbände solche Integrationen abmahnen können. Damit ist das (ohnehin vorhandene) rechtliche Risiko, durch die Integration von Diensten wie Facebook in Anspruch genommen zu werden, erheblich gestiegen.

Im Ergebnis erneuert der EuGH damit seine schon zuvor geäußerte Meinung, dass es für die Übermittlung von Nutzerdaten an Dienste wie Facebook einer vorherigen Zustimmung des Websitenutzers bedarf. Das Urteil lässt sich deshalb auch auf andere Dienste als Facebook übertragen und gilt insbesondere für jede Art von Tracking (beispielsweise mit Hilfe von Cookies oder ähnlichen Identifikationsmethoden).

Zudem sieht der EuGH die Websitebetreiber in der Pflicht, jeweils eine entsprechende Vereinbarung zu gemeinsamer Datenverantwortlichkeit mit Facebook abzuschließen, die Facebook bislang aber nicht vollständig anbietet. Wer Facebook einbindet, muss daher im Augenblick mit dem Risiko leben, unter verschiedenen Aspekten in Haftung genommen zu werden, beispielsweise durch normale Websitebesucher, die Auskunft über die zu ihnen verarbeiteten Daten erhalten möchten (Artikel 15 EU-DSGVO).

Nils Michael Becker
Ich bin Rechtsanwalt mit Sitz in Bad Honnef (Aegidienberg). Einer meiner Interessenschwerpunkte ist das IT- und Datenschutzrecht, hier derzeit insbesondere die Umsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO) für Unternehmen, Selbständige und Vereine. Bei Fragen rufen Sie mich gerne an: 02224-97690821. Meine Kanzlei befindet sich auf dem Retscheider Hof.