Der Rundfunkdatenschutzbeauftragte von BR, SR, WDR DRadio und ZDF veröffentlicht Leitfaden zum Kinderdatenschutz

Der Gemeinsame Rundfunkdatenschutzbeauftragte von BR, SR, WDR, Deutschlandradio und ZDF hat heute einen „Leitfaden zur datenschutzgerechten Gestaltung von Websites und Apps für Kinder“ veröffentlicht. Er fasst die wichtigsten datenschutzrechtlichen Vorgaben für Telemedienangebote zusammen, die sich an Kinder richten oder die Kinder potentiell nutzen. Er ist daher für alle Verantwortlichen relevant, die ein solches Angebot unterhalten oder entwickeln.

Der Leitfaden ist über die Website des Gemeinsamen Rundfunkdatenschutzbeauftragten sowie hier abrufbar.

Die Website des Gemeinsamen Rundfunkdatenschutzbeauftragten von BR, SR, WDR, Deutschlandradio und ZDF kann hier abgerufen werden.



BfDI begrüßt EuGH-Urteil zur Vorratsdatenspeicherung

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 20.09.2022

Der BfDI, Professor Ulrich Kelber, begrüßt die Entscheidungen des Europäischen Gerichtshofes (EuGH) zur deutschen Vorratsdatenspeicherung: „Der EuGH hat noch einmal sehr deutlich gemacht, dass eine anlasslose Speicherung von Verkehrs- und Standortdaten, wie sie im deutschen Recht vorgesehen ist, mit dem europäischen Recht nicht vereinbar ist.“

Weiterlesen BfDI begrüßt EuGH-Urteil zur Vorratsdatenspeicherung



Pressemitteilung: Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte. Das Bußgeld ist noch nicht rechtskräftig.

Betriebliche Datenschutzbeauftragte haben eine wichtige Aufgabe: Sie beraten das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Diese Funktion dürfen gemäß Art. 38 Abs. 6 Satz 2 Datenschutz-Grundverordnung (DS-GVO) ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen. Das wäre zum Beispiel bei Personen mit leitenden Funktionen im Unternehmen der Fall, die selber maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen. Die Aufgabe darf demnach nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden.

So ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für die er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus.

Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung.

Die Aufsichtsbehörde erteilte daher im Jahr 2021 zunächst eine Verwarnung gegen das Unternehmen. Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI das Bußgeld, das noch nicht rechtskräftig ist.

Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“

Bei der Bußgeldzumessung berücksichtigte die BlnBDI den dreistelligen Millionenumsatz des E-Commerce-Konzerns im vorangegangen Geschäftsjahr und die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kund:innen. Berücksichtigung fand auch die vorsätzliche Weiterbenennung des Datenschutzbeauftragten über fast ein Jahr trotz der bereits erteilten Verwarnung. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen umfangreich mit der BlnBDI zusammengearbeitet und den Verstoß während des laufenden Bußgeldverfahrens abgestellt hat.

„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen“, sagt Brozio. „Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“



Schriftarten sind nicht so banal, wie viele denken: Google Fonts löst Abmahnwelle aus

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit vom 18.08.2022

Erfurt, 18. August 2022: Aus aktuellem Anlass möchte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse über Folgendes informieren:
Drohende Abmahnwelle? Laut Medienquellen soll es aktuell zu einer Abmahnwelle gegen tausende von Websites-Betreibern kommen. Grund ist die dynamische Einbettung von Google Fonts auf deren Website, ohne vorab die Einwilligung der Besucher der Website einzuholen. Auch beim TLfDI gehen regelmäßig Beschwerden dieses Inhalts gegen Seitenbetreiber ein. Bei einer dynamischen Einbindung werden die Schriftarten von Servern des US-Konzerns in den Browser des Besuchers geladen und dabei personenbezogene Daten, wie z. B. die IP-Adresse der Benutzer, in die USA übermittelt. Dies verstößt laut dem Urteil des Landgerichtes München v. 20. Januar 2022, Az. 3 O 17493/20, gegen das allgemeine Persönlichkeitsrecht und die Datenschutz-Grundverordnung. Details finden sich in den Urteilsgründen, abrufbar unter: https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2022-N-612?hl=true
Worum geht es genau bei Google Fonts? Google Fonts sind kostenlose Schriftarten des US-Konzern Google, welche zur freien Verfügung stehen. Dabei ist es nicht jedem Website-Betreiber bekannt, dass Google Fonts auch durch eingebettete Google-Dienste (z. B. Google Maps, reCAPTCHA) automatisch mitgeladen werden. Der Europäische Gerichtshof entschied bereits in seinem Urteil vom 16. Juli 2020 (C-311/18 „Schrems II“), dass das US-Recht derzeit den Schutz personenbezogener Daten von Bürgern aus der EU nicht angemessen gewährleistet und erklärte den sog. „Privacy Shield“ für ungültig. Demnach gelten die USA im datenschutzrechtlichen Sinne als „unsicherer Drittstaat“, der nicht ohne weiteres Zugang zu personenbezogenen Datenströmen aus Europa erhalten darf. Näheres kann auf der Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nachgelesen werden: https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Auswirkungen-Schrems-II-Urteil.html

Empfehlungen des TLfDI zu Google Fonts zur Vermeidung von Abmahnungen: Der TLfDI empfiehlt Betreibern von Websites zu prüfen, ob sie Google Fonts einsetzen und wenn ja, wie der Dienst in die Website eingebunden wird. Wer dynamische Google Fonts nutzt, sollte diese Schriftarten lokal speichern und von dort in den eigenen Internetauftritt einbinden. Wer nicht weiß wie das geht, keine Anleitungen im Internet findet, sollte sich an seinen Web-Diensteanbieter wenden. Strato hat bspw. eine Anleitung veröffentlicht: https://www.strato.de/blog/google-fonts-in-wordpress-lokal-hosten/ .

Bei Fragen verantwortlicher Betreiber von Websites können sich diese gern an den TLfDI wenden.

Dr. Lutz Hasse<
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI)
Häßlerstraße 8<
99096 Erfurt

www.tlfdi.de<http://www.tlfdi.de>



Kontrolle der LfDI bewirkt Stopp unzulässiger Veröffentlichungen von personenbezogenen Insolvenzdaten

Pressemitteilung der bremischen Landesbeauftragten für Datenschutz und Informationsfreiheit vom 16.08.2022

Auf Drängen der bremischen Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) haben mit Insolvenzverwaltungen betraute Kanzleien darauf hingewirkt, dass die Suchmaske in dem von ihnen verwendeten digitalen Gläubigerinformationssystem datenschutzkonform umprogrammiert wurde.

Weiterlesen Kontrolle der LfDI bewirkt Stopp unzulässiger Veröffentlichungen von personenbezogenen Insolvenzdaten