24. März 2023
Das Arbeitsgericht Oldenburg hat kürzlich ein Unternehmen dazu verurteilt, einem ehemaligen Mitarbeiter immateriellen Schadensersatz in Höhe von 10.000 Euro zu zahlen, weil es einem Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO nicht nachgekommen sei (Urteil vom 09.02.2023, Az. 3 Ca 150/21). Der Fall zeigt, dass die Datenschutz-Grundverordnung (DSGVO) auch im Bereich der Arbeitsverhältnisse ein wichtiger Faktor ist.
Sachverhalt
In einem Arbeitsrechtsstreit forderte ein ehemaliger Geschäftsführer und Vertriebsleiter einer Firma für Feuerwerkskörper von seiner ehemaligen Arbeitgeberin Auskunft über seine personenbezogenen Daten. Die Arbeitgeberin verweigerte jedoch die Auskunftserteilung und legte erst im Prozess einzelne Unterlagen vor. Der Kläger machte neben dem Auskunftsersuchen auch einen Anspruch auf immateriellen Schadensersatz geltend.
Reichweite des Auskunftsanspruchs gem. Art. 15 DSGVO
Bis heute ist die Reichweite des Auskunftsanspruchs gem. Art. 15 DSGVO umstritten. Dabei stellt sich immer wieder die Frage, wie präzise die erteilten Auskünfte sein müssen.
Artikel 15 DSGVO gewährt betroffenen Personen das Recht, von einem Unternehmen oder einer Organisation Auskunft darüber zu erhalten, ob personenbezogene Daten von ihnen verarbeitet werden und wenn ja, welche Daten dies sind. Der Auskunftsanspruch gemäß Art. 15 DSGVO ist ein wichtiges Instrument, das es den Betroffenen ermöglicht, mehr Kontrolle über ihre personenbezogenen Daten zu erlangen und sicherzustellen, dass diese ordnungsgemäß verarbeitet werden. Die Reichweite des Auskunftsanspruchs gemäß Art. 15 DSGVO ist weitreichend und umfasst sowohl die Daten, die von dem Unternehmen oder der Organisation verarbeitet werden, als auch eine Reihe von anderen Informationen. Insbesondere hat die betroffene Person das Recht, Informationen über die Zwecke der Verarbeitung, die Kategorien der verarbeiteten personenbezogenen Daten, die Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt wurden oder werden, sowie die voraussichtliche Dauer, für die die personenbezogenen Daten gespeichert werden, zu erhalten.
Darüber hinaus hat die betroffene Person das Recht, eine Kopie der personenbezogenen Daten, die verarbeitet werden, zu erhalten. Diese Kopie muss in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden. Wenn die betroffene Person dies wünscht, kann sie auch verlangen, dass die personenbezogenen Daten direkt an einen anderen Verantwortlichen übermittelt werden.
Es ist wichtig zu beachten, dass das Recht auf Auskunft nicht uneingeschränkt ist. In bestimmten Situationen kann es gerechtfertigt sein, den Auskunftsanspruch gemäß Art. 15 DSGVO einzuschränken oder auszusetzen. Beispielsweise kann dies der Fall sein, wenn die Verarbeitung personenbezogener Daten die öffentliche Sicherheit gefährdet oder das Recht auf Meinungsfreiheit und Informationsfreiheit anderer Personen beeinträchtigt.
Die Beklagte hat das Auskunftsersuchen des Klägers zurückgewiesen, da sie der Meinung war, dass der Anspruch nicht bestehe. Das Arbeitsgericht Oldenburg entschied jedoch, dass die Beklagte verpflichtet gewesen sei, das Auskunftsbegehren zu erfüllen. Der Kläger hätte das Recht auf Auskunft über sämtliche seiner bei der Beklagten verarbeiteten personenbezogenen Daten sowie zu den sich aus Artikel 15 Abs. 1 Hs. 2, Abs. 2 DSGVO ergebenden Informationen. Das Gericht ging jedoch nicht auf die Frage ein, ob der Verantwortliche auch Auskunft über Informationen erteilen müsse, die dem Betroffenen bereits bekannt sind.
Art. 82 Abs. 1 DSGVO mit präventivem Charakter
Artikel 82 DSGVO regelt das Recht auf Schadensersatz bei Verstößen gegen die DSGVO. Dieser Artikel stellt sicher, dass Betroffene bei Verletzung ihrer Datenschutzrechte einen Anspruch auf finanziellen Ausgleich haben.
Wenn ein Verantwortlicher oder ein Auftragsverarbeiter gegen die DSGVO verstößt, kann dies zu einem Schaden für den Betroffenen führen. In diesem Fall kann der Betroffene gemäß Artikel 82 DSGVO eine angemessene Entschädigung verlangen, die den erlittenen materiellen oder immateriellen Schaden ausgleicht. Dabei müssen die Umstände des Einzelfalls berücksichtigt werden, einschließlich der Art, Schwere und Dauer des Verstoßes sowie des Umfangs des erlittenen Schadens.
Das Arbeitsgericht stellte fest, dass die Beklagte gegen ihre Auskunftspflicht gemäß Art. 12 Abs. 3 DSGVO verstoßen habe, indem sie das Auskunftsbegehren des Klägers nicht innerhalb eines Monats erfüllte. Die Nichterfüllung der DSGVO-Verpflichtungen führe bereits zu einem auszugleichenden immateriellen Schaden, weshalb der Kläger nicht weiter spezifizieren müsse, welcher Schaden ihm entstanden sei. Der präventive Charakter des Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO solle dazu beitragen, die Einhaltung der Datenschutzbestimmungen sicherzustellen.
„Das Bundesarbeitsgericht hat sich im Nachgang zu dem genannten Vorabentscheidungsersuchen in seiner Entscheidung vom 05.05.2022 (2 AZR 363/21) dahingehend geäußert, dass zugunsten der Klägerin unterstellt werden kann, dass dem Anspruch nach Art. 82 Abs. 1 DSGVO Präventionscharakter und eine Abschreckungsfunktion zukomme (BAG, Urt. v. 05.05.2022 – 2 AZR 363/21 Rn. 23).“
So hielt das ArbG in diesem Fall einen Schadensersatz von 10.000 Euro für gerechtfertigt. Anders als das Bundesarbeitsgericht (BAG), das im dortigen Fall einen Schadensersatz von 1.000 Euro für ausreichend hielt, sah das ArbG hier aufgrund des höheren Auskunftsinteresses des Klägers und des langen Zeitraums der Nichterfüllung der Auskunftspflicht einen höheren Schadensersatz als gerechtfertigt an.
Fazit
Unternehmen sollten sicherstellen, dass sie über angemessene Mechanismen verfügen, um Anfragen von Mitarbeitern nach Art. 15 DSGVO zu erfüllen, und sicherstellen, dass sie innerhalb der gesetzlich vorgeschriebenen Frist antworten.
23. März 2023
Die österreichische Organisation „None of your business“ (noyb) reichte diese Woche mehrere Beschwerden gegen deutsche Parteien bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit ein. Grund für die Beschwerden sei, dass die Parteien während des Bundestagswahlkampfes 2021 das sog. Microtargeting auf der Social-Media-Plattform „Facebook“ einsetzten, um Wählerstimmen zu gewinnen.
Recherchen des ZDF Magazin
In einem am 24.September 2021 veröffentlichten Beitrag befasste sich das ZDF Magazin Royale mit den Ergebnissen seiner Recherche zum Thema Microtargeting. Diese stammten aus einer Zusammenarbeit mit der Transparenzinitiative „Who Targets Me“. Im April 2024 hatte das ZDF Magazin Royale seine Zuschauer dazu aufgerufen bei den Recherchen behilflich zu sein. Dafür sollten die Zuschauer eine Browser-Erweiterung installieren über die ausgelesen und gespeichert werden konnte, ob bei dem Besuch der Webseite Facebook Microtargeting erfolgt. Im Ergebnis konnte analysiert werden, dass alle größeren politischen Parteien Microtargeting auf Facebook betreiben.
Was ist Microtargeting?
Nach den Recherchen des ZDF Magazin Royals werde Microtargeting im Rahmen des Wahlkampfes eingesetzt, um zielgerichtete Werbung schalten zu können. Zu diesem Zwecke sammle und analysiere Facebook die Daten und das Verhalten seiner Nutzer. Die Beschwerdeführende Organisation noyb betonte, dass unklar sei, wie Facebook den Parteien Microtargeting ermögliche. Im Ergebnisse zeige Facebook jedem Nutzer individualisierte Wahlwerbung an. Allerdings richte sich diese Werbung nach den Interessen des Nutzern. Demnach könne eine Partei mit zwei verschiedenen Wahlversprechen, die sich schlichtweg unterschieden auf Facebook vertreten sein.
Beschwerden durch noyb
Nach Ausstrahlung des Beitrags, sei eine Vielzahl an Personen bereit gewesen der Organisation ihre Daten zu überlassen. Auf diese Weise sei es noyb möglich gewesen die Daten nach Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zu untersuchen. Einen Verstoß gegen die DSGVO sah noyb in der versteckten Auswertung politischer Ansichten durch Facebook und durch die Parteien. Besonders problematisch an der Auswertung sei, dass politische Ansichten personenbezogene Daten besonderer Kategorie gemäß Art. 9 DSGVO seien. Ihre Verarbeitung werde nach der DSGVO grundsätzlich untersagt. Außerdem können Parteien durch die individualisierte Wahlwerbung ihre Wähler manipulieren.
Fazit
Folglich erhob noyb Beschwerde gegen die AFD, das Bündnis 90/die Grünen, die CDU, die Linke, die SPD und die Ökologisch-Demokratische Partei. Die Organisation betonte die Gefahren, die Microtargeting beinhalte. Die Parteien beeinflussten das Meinungsbild ihrer Wähler mit unlauteren Mitteln.
Mit der Auffassung, dass der Betrieb einer Facebook-Fanpage für eine Behörde datenschutzkonform nicht möglich sei, wies der Bundesdatenschutzbeauftragte Ulrich Kelber das Bundespresseamt an den Betrieb der Facebook-Fanpage einzustellen. Nach einem Kurzgutachten der Datenschutzkonferenz sei der behördliche Betrieb einer Fanpage auf Facebook mit dem Datenschutzrecht unvereinbar.
Das Bundespresseamt möchte die Fan-Page jedoch gerne weiter betreiben und reichte kürzlich beim Verwaltungsgericht Köln Klage ein. Der Stellvertretenden Chef des Presse- und Informationsamtes, Dr. Johannes Dimrot erklärte sich dazu folgend:
„Die Bundesregierung hat einen verfassungsrechtlichen Auftrag, die Bürgerinnen und Bürger über die Tätigkeit, Vorhaben und Ziele der Bundesregierung zu informieren. Zur Erfüllung dieses Auftrags gehört es, sich an der tatsächlichen Mediennutzung der Bürgerinnen und Bürger zu orientieren, um diese auch wirklich zu erreichen. […]”. Aktuell wird die Facebook-Fanpage weiterhin betrieben.
Stellvertretender Regierungssprecher Wolfgang Büchner gibt dem Bundespresseamt Rückhalt. Er ist der Auffassung, dass der Facebook-Auftritt ein wichtiger Bestandteil der Öffentlichkeitsarbeit der Bundesregierung sei. Daran sollte Büchners Auffassung nach daher auch erst einmal festgehalten werden.
Wie das Verwaltungsgericht Köln entscheiden wird, bleibt erst einmal abzuwarten. Spannend bleibt der Fall allemal, da dem Bundespresseamt mit der Information der Öffentlichkeit eine wichtige Rolle zukommt.
20. März 2023
Im Jahr 2022 war China zum siebten Mal in Folge Deutschlands wichtigster Handelspartner. Im Zuge dessen gründen immer mehr europäische Unternehmen Konzerngesellschaften in China, um von den dortigen Marktchancen zu profitieren. Diese Expansion führt zwangsläufig zu Datentransfers von China an die europäische Hauptverwaltung.
Um den rechtlichen Anforderungen an den internationalen Datenverkehr gerecht zu werden, hat die chinesische Regierung im November 2021 ein neues Datenschutzgesetz verabschiedet. Dieses Gesetz legt ähnliche Vorgaben wie die DSGVO fest und enthält in Artikel 38 Regelungen zur Rechtmäßigkeit von Datenübermittlungen ins Ausland. Eine Möglichkeit, diese Vorgaben zu erfüllen, ist der Abschluss von Standardvertragsklauseln mit dem Datenempfänger.
Die Cyberspace Administration of China (CAC) hat im Februar 2023 die endgültige Fassung der Maßnahmen für die Standardvertragsklauseln für die grenzüberschreitende Übermittlung personenbezogener Daten (SCC-Maßnahmen) veröffentlicht. Die chinesischen Standardvertragsklauseln sind in diesen Maßnahmen enthalten. Diese neuen Vorgaben treten am 1. Juni 2023 in Kraft. Unternehmen haben bis zum 30. November 2023 Zeit, um Maßnahmen zur Einhaltung der SCC-Maßnahmen zu ergreifen.
Um die Vorgaben einzuhalten, müssen Unternehmen unter anderem sicherstellen, dass die vertraglich vereinbarten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten eingehalten werden. Unternehmen sollten auch die nationalen Gesetze und Vorschriften beider Länder sorgfältig prüfen, um zu vermeiden, dass sie gegen Datenschutzgesetze verstoßen.
Datenübermittlung aufgrund SCC außerhalb Chinas
Die Übermittlung von Daten aus China ins Ausland kann nicht immer aufgrund der SCC (Standard Contractual Clauses) erfolgen. Laut Art. 4 der SCC-Maßnahmen können die SCC nur verwendet werden, wenn alle vier Bedingungen erfüllt sind, darunter die Verarbeitung von persönlichen Informationen von weniger als einer Million Menschen, die Durchführung von grenzüberschreitenden Übertragungen von weniger als 100.000 allgemeinen persönlichen Informationen und weniger als 10.000 sensiblen persönlichen Informationen seit dem 1. Januar des vorangegangenen Jahres sowie die Nicht-Zugehörigkeit zum Betreiber kritischer Informationsinfrastrukturen. Diese Schwellenwerte entsprechen den Schwellenwerten für grenzüberschreitende Datenübertragungen, die einer von der CAC durchgeführten Sicherheitsbewertung bedürfen. Unternehmen dürfen die Datenübertragungen nicht aufteilen, um den Sicherheitsbewertungsmechanismus der CAC zu umgehen, und müssen die jährliche Gesamtmenge der zu übertragenden Daten schätzen.
Model der chinesischen SCC
Die chinesischen SCC bestehen im Gegensatz zu den EU-Standardvertragsklauseln aus einem universellen Modul, welches für alle Datenexporteure (Verarbeiter) Chinas und Datenimporteure im Ausland gilt, unabhängig von ihrer Rolle und Funktion. Es ist zu beachten, dass es auch für solche Datenexporteure gilt, die zwar nicht in China ansässig sind, jedoch nach Art. 3 Abs. 2 PIPL für die betreffende Verarbeitung der PIPL unterliegen. Nach Art. 3 Abs. 2 PIPL findet das Gesetz Anwendung auf Verarbeitungen persönlicher Daten natürlicher Personen außerhalb des Gebiets der Volksrepublik China, wenn bestimmte Umstände vorliegen, wie zum Beispiel die Verarbeitung zum Zweck, natürlichen Personen innerhalb des chinesischen Gebiets Waren oder Dienstleistungen anzubieten oder das Verhalten natürlicher Personen innerhalb des chinesischen Gebiets zu analysieren oder zu bewerten.
Bußgelder
Die Provinz-Aufsichtsbehörde kann Korrekturen bei grenzüberschreitendem Datentransfer verlangen und hat einen Meldemechanismus für Verstöße eingerichtet. Verstöße gegen das chinesische Gesetz zum Datenschutz können zu administrativen, zivil- und strafrechtlichen Konsequenzen führen. Die Höchststrafen betragen 50 Millionen RMB oder 5 % des Vorjahresumsatzes, je nachdem, welcher Betrag höher ist. Das PIPL sieht auch persönliche Haftung vor und es können Geldstrafen von bis zu einer Million Yuan sowie Verbote für bestimmte Positionen verhängt werden.
Kernklauseln der chinesischen SCC
Deutsche Unternehmen sollten insbesondere folgende Pflichten beachten: Der Datenimporteur darf personenbezogene Daten nur gemäß den Bedingungen verarbeiten, die im Anhang I aufgeführt sind, und darf die Daten nicht über den vereinbarten Umfang hinaus verarbeiten. Der Importeur muss die Rechte und Interessen der betroffenen Person minimal beeinflussen und die Sicherheit der Datenverarbeitung durch technische und organisatorische Maßnahmen gewährleisten. Im Falle von Datenschutzverletzungen muss der Importeur Maßnahmen zur Abhilfe ergreifen, den Verarbeiter benachrichtigen und die Aufsichtsbehörden informieren. Eine weitere Übermittlung von personenbezogenen Daten durch den ausländischen Empfänger ist nur unter bestimmten Bedingungen gestattet.
Fazit
Die chinesischen SCC ähneln im Allgemeinen den EU-Standardvertragsklauseln. Im Gegensatz zu den EU-SCC gibt es jedoch keine Unterscheidung zwischen Übertragungen von Controller zu Prozessor und von Controller zu Controller in den chinesischen SCC. Stattdessen gibt es ein einziges Modul mit vielen Bestimmungen, die dem Controller-zu-Prozessor-Modul der EU-SCC ähneln
17. März 2023
Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Professor Ulrich Kelber hat am 15. März 2023 den Tätigkeitsbericht für das Jahr 2022 vorgelegt. Darin spricht er insgesamt zehn Empfehlungen aus und befasst sich mit den verschiedenen Schwerpunktthemen.
Zahl der gemeldeten Verstöße nimmt zu
2022 gingen 10.658 Meldungen beim BfDI ein, das sind gut fünf Prozent mehr als im Vorjahr. Bürgerinnen und Bürger wendeten sich mit 6.619 Beschwerden und Anfragen an die Behörde. Seit Einführung der Datenschutz-Grundverordnung (DSGVO) sei eine leicht fallende Tendenz in dieser Hinsicht zu beobachten. Der BfDI führt dies „auch auf die intensive Beratung z. B. bei Jobcentern und Finanzämtern zurück, die zur Verbesserung der Verarbeitungsprozesse und damit zu weniger Beschwerden geführt haben“ (S. 111).
Elektronische Patientenakte, Facebook-Fanpage, künstliche Intelligenz und mehr
Der Tätigkeitsbericht deckt zahlreiche Themenfelder ab. Viele davon sind und waren auch Teil der öffentlichen Debatte. So hält der BfDI das viel diskutierte Opt-Out-Verfahren bei der elektronischen Patientenakte grundsätzlich für möglich, sieht allerdings keine Erforderlichkeit, von der derzeitigen Opt-In-Lösung abzuweichen.
Auch die Anweisung gegenüber dem Bundespresseamt, den Betrieb von Facebook-Fanpages einzustellen, ist Teil des Tätigkeitsberichts. Nach Ansicht des BfDI ist ein datenschutzkonformer Betrieb nicht möglich. Inzwischen hat das Bundespresseamt beim Verwaltungsgericht Köln erhoben. Es ist der Auffassung, „dass allein Facebook für seine Datenverarbeitung datenschutzrechtlich verantwortlich ist und insoweit datenschutzrechtliche Fragen allein im Verhältnis zu Facebook zu klären sind“.
Der Einsatz von künstlicher Intelligenz (KI) wird im Tätigkeitsbereich an verschiedenen Stellen aufgegriffen. So empfiehlt der BfDI der Bundesregierung den Erlass eines Beschäftigtendatenschutzgesetzes, „in dem etwa der Einsatz von KI im Beschäftigungskontext, die Grenzen der Verhaltens- und Leistungskontrolle sowie typische Datenverarbeitungen im Bewerbungs- und Auswahlverfahren klar geregelt werden“. Zudem äußert er sich kritisch gegenüber der von der Europäischen Union geplanten Chat-Kontrolle. Diese biete „kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation“ (S. 45).
16. März 2023
Im Rahmen eines Beschwerdeverfahrens gegen den US-Konzern „Meta“ stellte die österreichische Datenschutzbehörde (DSB) die Rechtswidrigkeit der durch Meta zur Verfügung gestellten Tools „Facebook Logins“ und „Meta Pixel“ fest. Grund für diese Entscheidung sei der rechtswidrige Drittlandstransfer personenbezogener Daten in die USA.
Hintergründe
Zu der Entscheidung der DSB kam es aufgrund einer durch die Datenschutzorganisation „none of your business“ (noyb) angestrengten Beschwerde. Diese strengte noyb zusammen mit weiteren 100 Beschwerden gegen verschiedene Webseitenbetreiber an, die auf ihren Seiten Anwendungen von Meta und Google implementiert hatten (wir berichteten).
Im konkreten Fall ging noyb gegen den Betreiber eines Online-Nachrichtenportals vor. Dieser hatte u.a. die von Meta zur Verfügung gestellten Tools Facebook Logins und Meta Pixel auf seiner Webseite implementiert. Insoweit sei es fraglich gewesen, ob die aufgrund der Implementierung erfolgte Datenübermittlung in die USA durch eine geeignete Garantie nach Art. 45 DSGVO oder eine Ausnahme nach Art. 49 DSGVO erlaubt sei.
Facebook Logins und Meta Pixel
Facebook Login sei, laut Meta eine Anwendung, die die Nutzererfahrung verbessere. Der Nutzer einer Webseite müsse sich kein neues Benutzerkonto anlegen, sondern könne sein Facebook-Profil zur Anmeldung verwenden. Die DSB stellte allerdings fest, dass aufgrund der Implementierung von Facebook Logins eine Vielzahl personenbezogener Daten der Nutzer in die USA übermittelt werden. Dazu zählen u.a. die IP-Adresse, Ort und Datum des Webseitenbesuches und die Nutzer-ID.
Meta Pixel sei, wie der Konzern erklärt, eine Anwendung, die es Webseitenbetreibern ermögliche, das Verhalten ihrer Nutzer nachzuvollziehen. Alle Handlungen, die ein Nutzer auf der Webseite vornehme, wie beispielweise das Hinzufügen eines Artikels in den Warenkorb, könne die Anwendung dokumentieren. Wie auch bei Facebook-Logins, komme es bei Meta Pixel zu einer Datenübermittlung in die USA. Zu diesen personenbezogenen Daten zählen u.a. die IP-Adresse und die Klickdaten für Buttons des Endgerätes.
Feststellung der DSB
Hinsichtlich der Datenübermittlung in die USA stellt die DSB einen Verstoß gegen die allgemeinen Grundsätze der Datenübermittlung nach Art. 44 ff. DSGVO fest. Obwohl zu dem fraglichen Zeitpunkt der EuGH den „Privacy Shield“, also den Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA, bereits für unwirksam erklärt habe, sollte auf seiner Grundlage eine Datenübermittlung erfolgen. Demnach reichten später eingeführte Standardvertragsklauseln aus Sicht der DSB nicht zur rechtwirksamen Datenübermittlung. Die untersuchte Datenübermittlung sei vor Einführung der Vertragsklauseln erfolgt. Eine Ausnahme iSd Art. 49 DSGVO habe die Webseite nicht für die Datenübermittlung vorgesehen.
Fazit
Vorsitzender der Organisation noyb, Max Schrems, betonte, dass erstmalig eine Aufsichtsbehörde einem Webseitenbetreiber die Illegalität der Facebook-Tracking-Technologie aufgezeigt habe.
Abschließend bleibt fraglich, wann und ob mehr Rechtssicherheit in Bezug auf die Datenübermittlung in die USA einkehren wird.
15. März 2023
TikTok: eine harmlose Plattform für Jugendliche zum Teilen unterhaltsamer Videos mit dem Wunsch viral zu gehen oder eher eine Gefährdung für Regierungen und Gesellschaften? Zwei Standpunkte, die nicht weiter entfernt voneinander sein könnten. Eine Plattform mit mehr als einer Milliarden Nutzer*innen weltweit sorgt bei mehreren Anlaufstellen für Bauchschmerzen. Darunter ist die EU-Kommission sowie das Federal Bureau of Investigation (FBI). Selbst der ehemalige Präsident der Vereinigten Staaten, Donald Trump, wollte den Dienst vollends verbieten.
Über TikTok
Mit mehr als einer Milliarde Nutzer*innen ist die Plattform im Weltweiten Ranking lediglich auf Platz vier. Zur Veranschaulichung der Nutzerzahlen ist Meta (ehemalig Facebook) mit 2,9 Milliarden Nutzer*innen auf dem ersten Platz. Hinter dem Dienst steht das chinesische Unternehmen ByteDance. Zu den Problemfeldern zählt insbesondere der nach westlichen Standards mangelnde Daten- und Jugendschutz, eine umfangreiche politische Zensur, die Verbreitung von Fake News, Werbung für Fake-Markenartikel, betrügerische Inhalte bis hin zu möglicher Spionage des chinesischen Staates durch die Auswertung von Nutzerprofilen. Verantwortliche Sprecher*innen des Dienstes streiten nach autokratischem Muster alle Anschuldigungen immer wieder konstant ab.
Datenschutzrechtliche Bedenken
Mit einer Social-Media-App wie TikTok wird europaweit ein kaum vorstellbares Maß an personenbezogenen Daten generiert. Fraglich ist an dieser Stelle natürlich, wie mit diesen Daten verfahren wird und wer am Ende wirklich Zugriff auf diese haben könnte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert Bedenken gegenüber TikTok eher zurückhaltend. So erklärt das BSI, dass sich mit dem Aufstieg des Dienstes auch immer wieder warnende Stimmen zu Wort melden, die einen Abfluss der Benutzerdaten nach China befürchteten. China, ein Land ohne Angemessenheitsbeschluss.
Bringt der Digital Services Act die Lösung?
Das neue EU-Gesetz ermöglicht ggf. ein Verbot. EU-Kommissar Thierry Breton äußerte sich folgendermaßen dazu: „Wir werden nicht zögern, alle möglichen Sanktionen zu beschließen, wenn Prüfungen nicht die volle Einhaltung erkennen lassen“. Der Digital Services Act (DSA) wird ab dem 1. September dieses Jahres für große Plattformen anwendbar sein. Es bleibt abzuwarten, wie scharf das Schwert des DSA sein wird. Eine drastische Anpassung der internationalen Tech-Giganten an europäische Standards würde wohl von mehreren Stellen begrüßt werden.
Nachdem sich Cloud-Dienste über Jahre in zahlreichen Bereichen zur Datenspeicherung etabliert haben, arbeitet die US-Regierung an einem Plan zur Regulierung der Sicherheitspraktiken der Anbieter wie Amazon, Microsoft, Google oder Oracle. Diese Dienste stellen von Privatpersonen und kleinen Unternehmen bis hin zu Behörden und Geheimdiensten Datenspeicherung und Rechenleistung zur Verfügung.
Störungen in der Cloud werden zu Störungen in Wirtschaft und Regierung
Die amtierende nationale Cyber-Direktorin, Kemba Walden, hält die Cloud für unseren Alltag für unverzichtbar. Störungen der Cloud könnten katastrophale Auswirkungen auf Wirtschaft und Regierung haben. Die Cloud sei schlicht „too big to fail“. Für Hacker seien Cloud-Dienste konzentrierte Angriffsziele, die eine Vielzahl von Opfern gleichzeitig beträfen. Kritische Infrastruktur wie Krankenhäuser oder Häfen könnten lahmgelegt werden und selbst Datenbanken in Behörden könnten ausgelöscht werden. So hätten Hacker bereits Cloud-Server von Unternehmen wie Amazon und Microsoft für ihre Angriffe auf andere Ziele genutzt. Zudem mieteten cyberkriminelle Gruppen regelmäßig Infrastruktur von US-amerikanischen Cloud-Anbietern, um Unternehmen zu erpressen oder Daten zu stehlen.
Identitätsüberprüfung und neue Regulierung
Als erste Maßnahme kündigte die US-Regierung an, zukünftig von Cloud-Anbietern eine Identitätsprüfung ihrer Nutzer vorzunehmen. Damit solle verhindert werden, dass ausländische Hacker Speicherplatz auf US-Cloud-Servern mieten. Zudem sollen weitere Cloud-Vorschriften im Rahmen der nationalen Cybersicherheitsstrategie kommen, um Regulierungslücken zu schließen. Als Vorschläge stehen derzeit auch eine Haftung für Softwarehersteller von unsicherem Code und strengere Sicherheitsvorschriften für kritische Infrastrukturunternehmen im Raum. Allerdings gibt es in den USA keine nationale Behörde, die für die Cloud zuständig wäre.
Cloud-Anbieter zeigen sich bisher nicht so ablehnend wie von den US-Behörden erwartet. Microsoft beispielsweise begrüßte die nationale Cybersicherheitsstrategie und betonte, dass Cybersicherheit Teamsport sei.
Auswirkungen auf Europa
Aus europäischer Perspektive ist eine Regulierung der US-Cloud-Dienste ebenfalls relevant. Auch den europäischen Cloud-Markt führen US-Anbieter weitestgehend an. Angesichts der immer wieder auftretenden Bedenken hinsichtlich des Datenschutzes in den USA könnten strengere Regeln für die Cloud auch die Sicherheit der Daten verbessern.
13. März 2023
In der Entscheidung C-460/20 vom 8.12.2022 hat der Europäische Gerichtshof (EuGH) darüber entschieden, wer die Beweislast trägt, wenn eine Person die Entfernung von Links zu Webseite-Beiträgen aus der Liste der Suchergebnisse im Internet beantragt. Mit anderen Worten, die Entscheidung klärt, wer beweisen muss, ob ein solcher Antrag gerechtfertigt ist oder nicht.
Die Entscheidung des EuGH
Die Argumente des EuGH zur Beweislast in Bezug auf Artikel 17 der Datenschutz-Grundverordnung (DSGVO) sind von großer Bedeutung für die Praxis. Insbesondere ging es darum, wer die Beweislast im Rahmen der Ausnahmevorschrift des Artikels 17 Absatz 3 Buchstabe a DSGVO trägt, wenn eine betroffene Person die Löschung von bestimmten Daten beantragt und behauptet, dass diese unrichtig seien.
Der EuGH stellte fest, dass die betroffene Person den Nachweis erbringen muss, dass die Informationen offensichtlich unrichtig sind oder zumindest ein nicht unbedeutender Teil davon offensichtlich unrichtig ist, um den Löschungsantrag zu rechtfertigen. Jedoch darf die Beweislast nicht zu einer übermäßigen Belastung führen, die das Recht auf Löschung beeinträchtigt. Die betroffene Person kann daher nicht gezwungen werden, eine gerichtliche Entscheidung gegen den Betreiber der Website zu erlangen.
Auf der anderen Seite kann der Verantwortliche für die Datenverarbeitung nicht dazu verpflichtet werden, den Sachverhalt zu ermitteln und eine kontradiktorische Debatte mit dem Anbieter der Inhalte zu führen. Der EuGH ist der Meinung, dass der Verantwortliche nicht aktiv an der Suche nach Tatsachen mitwirken muss, die den Löschungsantrag nicht unterstützen, um zu prüfen, ob der Antrag gerechtfertigt ist.
Auf Art. 16 DSGVO übertragbar?
Die Entscheidung des Bundesverwaltungsgerichts (BVerwG) im März 2022 betraf einen Fall, in dem eine betroffene Person die Berichtigung von Daten nach Artikel 16 DSGVO beantragt hatte. Das Gericht betonte, dass die objektive Wirklichkeit der Maßstab für die Qualifizierung eines Datums als “richtig” oder “unrichtig” im Sinne von Artikel 16 Satz 1 DSGVO ist. Es wurde auch festgestellt, dass Artikel 5 Absatz 2 DSGVO eine spezifische Bestimmung enthält, wer die Beweislast für die Richtigkeit des neu einzutragenden Datums trägt, wenn die Einhaltung der Grundsätze des Artikels 5 Absatz 1 DSGVO in einem Rechtsstreit zwischen dem Verantwortlichen und der betroffenen Person im Streit steht.
Das Gericht entschied, dass im Falle eines Berichtigungsanspruchs, bei dem die Richtigkeit des Datums umstritten ist, die Nichterweislichkeit der Richtigkeit des Datums zu Lasten der betroffenen Person geht. Wenn die Beweislast für die Richtigkeit des Datums beim Verantwortlichen liegt, muss er zukünftig nachweisen, dass ein von ihm verarbeitetes Datum richtig ist. Wenn jedoch die betroffene Person nicht nachweisen kann, dass das Datum unrichtig ist, kann der Verantwortliche nicht verpflichtet werden, das von der betroffenen Person genannte Datum einzutragen und weiterzuverarbeiten.
Fazit
Beide Entscheidungen enthalten relevante Klarstellungen zur Beweislast in der Praxis, wenn es um die Bearbeitung von Betroffenenansprüchen geht. Unternehmen, die häufig mit solchen Anfragen konfrontiert sind, können sich bei der Beurteilung der Frage, ob sie die Daten berichtigen oder löschen müssen, an den Gründen dieser Entscheidungen orientieren.
9. März 2023
Handelt es sich bei der Erstellung eines Scoring-Wertes durch die deutsche Wirtschaftsauskunftei „Schufa“ um eine automatisierte Entscheidung nach Art. 22 Abs. 1 Datenschutz-Grundverordnung (DSGVO)? Unter anderem diese Frage möchte das VG Wiesbaden im Rahmen des Vorabentscheidungsersuchens (Rs. C-634/21) vom Europäischen Gerichtshof (EuGH) beantworten lassen. Zu diesem Zweck verhandelt der EuGH derzeit und wird voraussichtlich in diesem Jahr eine Entscheidung erlassen.
Scoring
Hintergrund der Entscheidung ist das Scoring der Klägerin, das Anlass für ein Kreditinstitut gewesen sei, die Vergabe eines Kredites zu untersagen. Mit Hilfe des Scorings legt die Schufa einen Wahrscheinlichkeitswert fest. Dieser bestimmt die Fähigkeit einer Person, künftige Kredite oder Verträge einzuhalten und zurückzuzahlen. Hierzu verwendet die Schufa ein mathematisch-statistisches Verfahren. Die betroffene Person wird dabei auf Grund verschiedener Merkmale einer Personengruppe zugeordnet. Aufgrund von Erfahrungswerten ordnet die Schufa den entsprechenden Personengruppen ein erwartbares Verhalten zu. Die Kreditwürdigkeit der betroffenen Person richtet sich folglich nach der Personengruppe, der sie zugeordnet wird.
Dabei ist allerdings unklar, welche Merkmale die Schufa zur Berechnung der Bonität und welches mathematisch-statistische Verfahren sie verwendet.
Automatisierte Entscheidung
Aus Sicht des VG Wiesbaden ist fraglich, ob die Feststellung des Wahrscheinlichkeitswertes, eine automatisierte Entscheidung, bzw. sog. Profiling iSd Art. 22 Abs. 1 DSGVO darstellt. In diesem Fall sei das Scoring an den Voraussetzungen der Art. 22 Abs. 2 lit. b DSGVO iVm § 31 BDSG zu messen.
Das Gericht stellte zunächst fest, dass mit der Feststellung des Wahrscheinlichkeitswertes die Schufa eine eigenständige Entscheidung treffe. Diese beschließe die Schufa als Verantwortlicher iSd Art. 4 Abs. 7 DSGVO. Insoweit bereite die Schufa nicht lediglich die Entscheidung eines Dritten durch vorbereitendes Profiling vor. Stattdessen diene die Entscheidung der Schufa als Grundlage der Entscheidung eines Dritten. Dabei gebe die Schufa den Scoring-Wert ohne Handlungsempfehlung weiter, sodass Kreditinstitute oder andere Einrichtungen über die Begründung, Durchführung und Beendigung eines Vertragsverhältnisses entscheiden könnten.
Darüber hinaus verarbeite die Schufa die personenbezogenen Daten der betroffenen Person so, dass „diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten“ iSd Art. 4 Nr. 4 DSGVO. Folglich liege hier das sog. Profiling und somit eine automatisierte Entscheidung iSd Art. 22 DSGVO vor. Insoweit sei es ausschlaggebend, dass unter dem Profiling nach Erw.Gr. 71 S. 2 DSGVO auch „die Analyse oder Prognose von Aspekten bezüglich der wirtschaftlichen Lage, der Zuverlässigkeit oder des Verhaltens einer Person zu verstehen seien.“ (VG Wiesbaden, Vorabentscheidungsersuchen, Rs. C-634/21, Rn.19).
Fazit
Demnach sei nach Ansicht des Gerichts, soweit das Scoring unter Art. 22 DSGVO falle, eine eigenständige Rechtsgrundlage nach 22 Abs. 2 lit. b DSGVO erforderlich. Aus Sicht des Gerichts komme grundsätzlich § 31 BDSG hierfür in Betracht.
Pages: 1 2 ... 18 19 20 21 22 ... 274 275 
