265 Millionen Euro Bußgeld für Facebook-Mutter Meta

29. November 2022

Die irische Datenschutzbehörde Data Protection Commission (DPC) verhängte infolge der unrechtmäßigen Veröffentlichung personenbezogener Daten ein Bußgeld in Höhe von 265 Millionen Euro gegen den Meta-Konzern.

Untersuchungsverfahren

Nachdem im April 2021 personenbezogene Daten von bis zu 533 Millionen Facebook- und Instagram-Nutzern aus über 100 Ländern online verfügbar waren, hatte die DPC Untersuchungen eingeleitet. Im Rahmen des Untersuchungsverfahrens arbeitete sie mit den anderen europäischen Datenschutzbehörden zusammen und prüfte die Tools Facebook Search, Facebook Messenger Contact Importer und Instagram Contact Importer. Mithilfe dieser Tools können die im Smartphone gespeicherten Kontakte in die Instagram- oder Facebook-App importiert werden, um so Freunde oder Bekannte zu finden.

Mangelnde technische und organisatorische Maßnahmen zum Schutz der Daten

Im Rahmen ihrer Untersuchung beschäftigte sich die DPC mit den sogenannten technischen und organisatorischen Maßnahmen nach Artikel 25 DSGVO. Mit solchen Maßnahmen müssen nach dem Datenschutzrecht Verantwortliche sicherstellen, dass die Rechte der betroffenen Personen umfangreich geschützt werden. Darunter fallen beispielsweise Pseudonymisierung und Verschlüsselung personenbezogener Daten, aber auch physische Schutzmaßnahmen oder das Bestehen zuverlässiger Backups.

Metas technische und organisatorische Maßnahmen sah die DPC nicht als ausreichend an. Daher sprach sie neben dem genannten Bußgeld von 265 Millionen Euro eine Verwarnung sowie die Anordnung aus, innerhalb einer Frist die Verarbeitungsvorgänge in Einklang mit dem Datenschutzrecht zu bringen und hierzu eine Reihe von bestimmten Abhilfemaßnahmen zu treffen.

Nicht das erste Bußgeld für Meta

Meta ist inzwischen vertraut mit Bußgeldern der europäischen Datenschutzbehörden. Insgesamt wurden dem Konzern schon fast eine Milliarde Euro an Geldbußen auferlegt, zuletzt im September in Höhe von 405 Millionen Euro wegen schwerer Datenschutzverstöße bei minderjährigen Instagram-Nutzern. Grund für die beachtliche Höhe der einzelnen Sanktionen ist Artikel 83 DSGVO, wonach Bußgelder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens betragen können. Gegen die bisherigen Entscheidungen hat Meta jeweils Berufung eingelegt, daher ist auch in diesem Fall davon auszugehen, dass Meta das Bußgeld nicht ohne gerichtliche Überprüfung akzeptieren wird.

Microsoft 365 nicht datenschutzrechtskonform?

28. November 2022

Viele Verantwortliche möchten in ihrem Unternehmen oder ihrer Behörde gerne Office 365 (jetzt: Microsoft 365) nutzen. Seit Jahren sehen sich diese wegen der Bewertung der datenschutzrechtlichen Zulässigkeit erheblichen rechtlichen Unsicherheiten ausgesetzt. Die neueste Pressemitteilung der Datenschutzkonferenz ist für die Bewertung nun richtungsweisend. 

 

Bericht der Datenschutzkonferenz 

In der Mitteilung vom 28. November 2022 weist der Thüringer Landesbeauftrage für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse auf die richtungsweisende Bewertung der Datenschutzkonferenz (DSK) zu Microsoft 365 hin: „Die DSK stellt (…) fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“ 

Außerdem betonte er, dass sich die Bewertung der Datenschutzkonferenz nicht direkt an Microsoft wende, sondern an die Verantwortlichen, sodass diese Microsoft 365 nicht datenschutzrechtskonform verwenden könnten. Neben Fragen bezüglich der Datenübermittlung in die USA komme sowohl der Verstoß gegen Art. 28 DS-GVO als auch gegen die Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO in Betracht. 

 

Microsoft widerspricht der DSK 

Als „Antwort“ auf diesen Bericht stellte Microsoft die Vereinbarkeit mit dem Datenschutzrecht fest und betonte ihre Position von August 2022. „Wir stellen sicher, dass unsere MS 365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können MS 365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“ 

 

Fazit 

Verantwortlichen, die mit der MS 365-Software arbeiten, ist aufgrund der widerstreitenden Aussagen jedenfalls nicht geholfen, wodurch kein zufriedenstellender Zustand herrscht. Es bleibt demnach abzuwarten, ob es in dieser Meinungsverschiedenheit doch noch zu einer Einigung kommen wird. Bis dahin bleibt die Verwendung von MS 365 aus datenschutzrechtlicher Sicht noch unsicher. Wir werden schnellstmöglich über weitere Entwicklungen berichten.  

EU-Parlament: Angriff durch russische Hacker

24. November 2022

Hacker haben gestern die Webseite des europäischen Parlamentes durch einen sog. Distributed Denial of Service (DDoS)-Angriffs attackiert. Mehrere Medienportale berichten über den Angriff.

DDoS-Angriff

Demnach sei es Internetnutzern für einen gewissen Zeitraum nicht möglich gewesen, die Webseite des europäischen Parlamentes ungestört zu besuchen. Grund für die Ausfälle sei ein sog. DDoS-Angriff gewesen. Mit Hilfe dieses Angriffs werden gezielt so viele Anfragen an einen Server geschickt, dass er diese nicht mehr zeitgleich bearbeiten kann. Folglich kam es zu Ausfällen auf der Webseite.

Russische Verbindung

Zunächst sei unklar gewesen, wer den Angriff verursacht habe. Allerdings habe schnell der Verdacht bestanden, dass der Angriff im Zusammenhang mit einer gestern durch das europäische Parlament verabschiedeten Resolution stehe. In dieser Resolution habe das europäische Parlament den russischen Angriff der Ukraine und die damit verbundenen „Gräueltaten“, verurteilt. Zudem sei, so das europäische Parlament in seiner Resolution, die Russische Föderation ein „dem Terrorismus Vorschub leistender Staat“. Außerdem stellte das europäische Parlament fest, dass es Russland zu einem „terroristische Mittel einsetzenden Staat“ zähle.

Daraufhin sei zunächst der Verdacht entstanden, dass die russische Hackergruppe „Killnet“ für den Server-Angriff verantwortlich sei. Dieser Verdacht habe sich später durch das Bekenntnis der Gruppe bestätigt. Auf ihrem Telegram-Kanal habe Killnet die Verantwortlichkeit für den Angriff bestätigt.

Vermehrte Hackerangriffe

Der Angriff der Hackergruppe zählt nicht zu dem ersten Angriff einer pro-russischen Aktivistengruppen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte in seinem jährlichen Lagebericht von vermehrten Hackerangriffen gewarnt (wir berichteten). Dazu zählten ebenso Angriffe, die im Zusammenhang mit dem russischen Angriffskrieg stehen.

 

Ausgespäht über den Katzenfutterautomaten

Die Polizei Gelsenkirchen gab Anfang dieser Woche über eine Pressemittelung bekannt, dass eine 23-Jährige Frau über die Kamera ihres Katzenfutterautomaten ausgespäht worden sei. Die Frau habe daraufhin Strafanzeigen wegen Verletzung der Vertraulichkeit des Wortes nach §201 StGB gestellt.

Die Hintergründe

Samstag kurz nach Mitternacht habe die Frau die Polizei gerufen. Eine unbekannte Person habe auf „Instagram“ Ton- und Videoaufnahmen aus ihrer Wohnung veröffentlicht. Diese Aufnahmen stammen von dem smarten Katzenfutterautomaten, der sich in der Wohnung der Frau befinde.

Der Automat sei mit dem heimischen WLAN verbunden gewesen. Tatsächlich kann auf diese Weise der Katzenbesitzer seine Katze über eine App mit Futter versorgen, wenn er nicht zu Hause ist. Die App ermöglicht es, der Katze über den Futterspender ihre Nahrung zur Verfügung zu stellen. Außerdem kann der Besitzer seine Katze beobachten.

In diesem Fall sei die Kamerafunktion allerdings missbräuchlich verwendet worden, sodass der Täter sogar einen Teil der aufgenommenen Bilder im Online-Netzwerk Instagram veröffentlicht habe. Um einen möglichen Missbrauch vorzubeugen, empfahl die Polizei Gelsenkirchen den WLAN-Zugang vor der Nutzung durch fremde Personen zu schützen. Zusätzlich sollten Wohnungs- und Hausbesitzer ihre Geräte, die Ton- und Bildaufnahmen anfertigten können, nicht innerhalb des Sicht- und Hörbereiches aufstellen.

Kategorien: Allgemein · Videoüberwachung
Schlagwörter: , ,

391,5 Mio. Dollar Bußgeld gegen Google

18. November 2022

Die Nachrichtenagentur Reuters berichtete kürzlich über ein Bußgeldverfahren, dem sich der Tech-Gigant stellen müsse. Demnach soll Google 391,5 Million US Dollar zahlen, um Vorwürfen von 40 Bundesstaaten beizukommen.  

Illegales Standort Tracking  

Zu Schulden hätte sich Google das nicht autorisierte Verfolgen von Standortdaten kommen lassen. Dies erklärte die Generalstaatsanwaltschaft von Michigan am Montag. Bereits schon in den letzten Monaten seien die Generalstaatsanwälte der beteiligten Bundesstaaten aggressiv gegen die Praktiken des Unternehmens bei der Nutzungsverfolgung vorgegangen. Infolgedessen soll sich Google nicht nur monetären Sanktionen stellen, sondern auch betroffenen Nutzerinnen und Nutzern eine transparente Information über das „wann“ der Standortverfolgung gewährleisten. 

Googles Reaktion  

In einem Blog-Post erklärte Google am Montag, dass der Konzern in den kommenden Monaten Aktualisierungen vornehmen werden, um so Verbrauchern mehr Kontrolle und Transparenz über deren Standortdaten zu bieten. Im Kontext der angestrebten Änderungen soll das Löschen von Standortdaten vereinfacht werden. Mittels einer automatischen Löschfunktion können Nutzer*innen Google anweisen Informationen, welche ein bestimmtes Alter erreicht haben, zu löschen. 

Erkenntnisse einer Untersuchung 

Berichte über das Fehlverhalten Googles bezüglich der widerwilligen Speicherung von Standortdaten der Nutzer führte 2018 zur Einleitung einer Untersuchung. Diese ergab, dass Google mindestens seit 2014 bereits über die Praktiken zur Standortverfolgung getäuscht und damit gegen staatliche Verbraucherschutzgesetze verstoßen habe. 

Fazit 

Google hat in der ersten Jahreshälfte 2022 111 Milliarden US Dollar mit Werbung eingenommen. Der Standort eines Verbrauchers ist der Schlüssel, um Werbung zielgerichteter gestalten zu können. Es ist nunmehr kein Geheimnis, dass Google sich durch widerrechtliche Praktiken Vorteile auf dem Werbemarkt verschafft.  

 

 

ArbG Heilbronn: Kündigung des Datenschutzbeauftragten nicht allein wegen Amtspflichtverletzung

17. November 2022

Die Amtspflichtverletzung eines betrieblichen Datenschutzbeauftragten erlaube nach Systematik sowie Sinn und Zweck des § 6 Abs. 4 BDSG nicht die fristlose Kündigung. Dies entschied das Arbeitsgericht Heilbronn mit Urteil vom 29. September 2022 (Az. 8 Ca 135/22).

Hintergründe der Kündigung

Aus Sicht des Arbeitgebers sei die fristlose Kündigung erforderlich gewesen, da der angestellte Datenschutzbeauftragte verschiedenen Verpflichtungen nicht nachgekommen sei. Dieser habe die Aufgaben, die sich aus seiner Stellung als Datenschutzbeauftragten ergeben, nicht ausreichend erfüllt. Somit sei es zu mehreren Datenschutzmängeln im Unternehmen gekommen.

Unterscheidung zwischen Abberufung und Kündigung

Das ArbG stellte die Unwirksamkeit der fristlosen Kündigung fest. Insoweit könne die Missachtung seiner Pflichten, die sich aus der Funktion als Datenschutzbeauftragter ergeben, nicht der alleinige Kündigungsgrund sein.

Das Gericht betonte dabei, dass zu unterscheiden sei zwischen arbeitsrechtlichen Pflichtverletzungen und solchen, die das Amt des Datenschutzbeauftragten betreffen. Bei Verletzung der Amtspflichten seien die gesetzlichen Sanktionen anzuwenden. Eine Kündigung sei stattdessen nicht möglich.

Außerdem führte das Gericht an, dass § 6 Abs. 4 BDSG ausdrücklich zwischen der Abberufung und der Kündigung unterscheide. Die Abberufung des Datenschutzbeauftragten sei grundsätzlich möglich. Dafür müsse ein Grund vorliegen, der nach Maßgabe des §626 BGB zu bestimmen sei. Darüber hinaus müsse der Grund mit der Funktion als Datenschutzbeauftragten in Verbindung stehen. Hinsichtlich der Kündigung stelle das Gesetz den Datenschutzbeauftragten unter einen besonderen Schutz. Die Kündigung sei grundsätzlich nicht möglich. Ausnahme dieser Regel sei das Vorliegen eines Kündigungsgrunds, der zur fristlosen Kündigung berechtige.

Aus Sicht des Gerichtes sei die ausdrückliche Unterscheidung zwischen Abberufung und Kündigung für die Kündigung des Datenschutzbeauftragten zu beachten. Wegen dieser Unterscheidung sei die Kündigung wegen einer Amtspflichtverletzung nicht möglich.

Zusätzlich sei der Sinn und Zweck der Abberufung und Kündigung zu berücksichtigen. Um den Datenschutzbeauftragten die freie Funktionsausübung zu ermöglichen, sei die Abberufung nicht ohne Grund möglich. Der Kündigungsschutz des Datenschutzbeauftragten begründe sich hingegen aus möglichen Konflikten. Diese könnten aufgrund der arbeitsrechtlichen Verpflichtungen und der Ausführung der datenschutzrechtlichen Funktion entstehen.

 

Datenschutzbehörden warnen vor WM-Apps Hayya und Ehteraz

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) rät Besucherinnen und Besuchern der Fußball-Weltmeisterschaft (WM) 2022 in Katar zur Verwendung eines separaten Mobiltelefons für die Reise. Hintergrund der Empfehlung ist, dass die Fußball-Fans die Apps „Hayya“ und „Ehteraz“ installieren müssen, welche der BfDI als datenschutztechnisch bedenklich einstuft.

Die WM-Apps Hayya und Ehteraz

„Hayya“ ist die offizielle WM-App, mit der die sogenannte „Hayya-Card“ verwaltet wird, die für Einreise und Zutritt zu den Fußballstadien sowie die Nutzung des öffentlichen Nahverkehrs erforderlich ist. „Ehteraz“ wird zur Corona-Kontaktverfolgung eingesetzt und muss von allen Reisenden ab 18 Jahren installiert werden. Allerdings wird „Ehteraz“ nur für den Besuch von Gesundheitseinrichtungen benötigt. Beide Apps können in den gängigen App-Stores heruntergeladen werden.

Ergebnisse der Analyse

Bei der ersten Analyse der Apps hat der BfDI festgestellt, dass „die Datenverarbeitungen beider Apps wahrscheinlich deutlich weiter gehen, als es die Beschreibungen der Datenschutzhinweise und Verarbeitungszwecke in den App-Stores angeben.“ Eine der Apps erhebe Daten zu Telefonaten, welche in Deutschland als sensible Telekommunikationsverbindungsdaten unter das Fernmeldegeheimnis fielen. Die andere App könne aktiv den Schlafmodus des Geräts verhindern. Zudem liege nahe, dass die Daten nicht nur lokal gespeichert, sondern auch an einen zentralen Server übermittelt würden. Aus diesen Gründen sollten Besucherinnen und Besucher der WM laut BfDI ein separates Gerät zur Installation der Apps verwenden, auf dem keine personenbezogenen Daten gespeichert seien, und nach Rückkehr das Betriebssystem und sämtliche Inhalte darauf vollständig löschen.

Bedenken anderer Datenschutzbehörden

Die Einschätzung des BfDI deckt sich mit der Warnung der französischen und der norwegischen Datenschutzbehörden CNIL und Datatilsynet. Auch diese empfehlen die Nutzung eines separaten Geräts für die Apps. Die norwegische Datenschutzbehörde Datatilsynet hält den umfangreichen Zugriff der Apps für alarmierend und gab Empfehlungen (auf Norwegisch) dahingehend ab, was Besucherinnen und Besucher tun können, die keinen Zugriff auf ein Zweitgerät haben oder ein solches nicht nutzen möchten. Demnach könnten die eigenen Daten vor Einreise gesichert und anschließend auf dem Mobiltelefon gelöscht werden, sodass es in Katar nur für die beiden Apps verwendet würde. Nach Rückkehr könnte das Gerät dann zurückgesetzt und die gesicherten Daten wiederhergestellt werden.

Nicht das einzige Datenschutzthema bei der WM in Katar

Die verpflichtende Installation dieser Apps ist nicht das einzige Problem, das sich bei der WM in Katar im Bereich des Datenschutzes stellt. Laut Auswärtigem Amt nutzen die Behörden in Katar „intensiv digitale Technologien.“ Es würden unter anderem flächendeckend Videokameras im öffentlichen Raum eingesetzt und bei jeder Ein- und Ausreise fände eine biometrische Erfassung mittels Gesichtsscanner und Bildabgleich statt.

 

BGH legt EuGH erneut Frage zu Klagerechten von Verbraucherschützern vor

11. November 2022

Mit Beschluss vom 10.11.2022 (Az. I ZR 186/17) hat der Bundesgerichtshof (BGH) entschieden, dem  Europäischen Gerichtshof (EuGH) die Frage zur Vorabentscheidung vorzulegen, ob eine Rechtsverletzung „infolge einer Verarbeitung“ im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien.

Sachverhalt

In dem Verfahren, das durch den BGH nun bis zur Entscheidung des EuGHs über die Vorlagefrage ausgesetzt wurde, geht es um eine Auseinandersetzung zwischen der Meta Platform Ireland Limited (Meta) und dem Dachverband der Verbraucherzentralen der Bundesländer (VZBV). Meta betreibt das soziale Netzwerk „Facebook“. Dieses hat in seinem Netzwerk im Jahr 2012 ein sog. „App-Zentrum“ installiert, über welches Nutzer Online-Spiele anderer Anbieter spielen können. In diesem Rahmen wurde auch auf die erfolgende Datenverarbeitung hingewiesen und eine Einwilligung der Nutzer eingeholt. Unter dem Button „Sofort spielen“ waren folgende Hinweise zu lesen: „Durch das Anklicken von Spiel spielen (oben) erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“ Bei einem Spiel endeten die Hinweise mit dem Satz: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“ Die Einwilligung beurteilte der Verbraucherschutzverband als nicht datenschutzkonform und machte wegen des Vergehens wettbewerbsrechtliche Unterlassungsansprüche gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG geltend. Auch sei der abschließende Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung (AGB).

Unterlassungsansprüche und Betroffenheit für den BGH problematisch

Das Verfahren beschäftige sich mit der grundsätzlichen Frage, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Informationspflicht, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründen kann. Des Weiteren stelle sich die Frage, ob Verbraucherschützer auch ohne einen Auftrag konkret Betroffener vor Gericht ziehen dürften. Der BGH zieht in dieser Sache nun zum zweiten Mal den EuGH zurate. 

Erste Vorlage an den EuGH (wir berichteten)

Mit Beschluss vom 28.05.2020 (Az. I ZR 186/17) hatte der BGH ursprünglich entschieden, dem EuGH die Frage zur Vorabentscheidung vorzulegen, ob unter Anderem Verbraucherschutzverbände berechtigt seien, Datenschutzverstöße gerichtlich geltend machen zu können. Der EuGH hatte dann entschieden, dass Verbraucherzentralen auch ohne Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen klagen können.

Neue Entscheidung für BGH „unerwartet“

Der BGH vertrete die Ansicht, dass Verbraucherschutzverbände nicht automatisch klagebefugt seien. Man wolle konkret wissen, ob in dem Fall aus Sicht des EuGHs die Voraussetzung erfüllt sei, dass die Rechte einer betroffenen Person gemäß der DSGVO „infolge einer Verarbeitung“ verletzt worden seien. Es sei fraglich, ob diese Voraussetzung erfüllt sei, wenn – wie im Streitfall – die sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Informationspflichten verletzt worden seien. Die Entscheidung sei wichtig für eine Fülle anhängiger Verfahren.  

„Angesichts der massenhaften Datenschutzverstöße auf den großen Digitalplattformen sei es enttäuschend, dass sich dieses schon sehr lange laufende Grundsatzverfahren wieder verzögere“, so der Leiter des Teams Rechtsdurchsetzung beim VZBV, Heiko Dünkel.

Meta gab bisher noch kein offizielles Statement zu der erneuten Vorlage ab. Der Anwalt des Konzerns, Christian Rohnke, hatte bei der Verhandlung am BGH jedoch betont, dass Facebook das fragliche Vorgehen inzwischen geändert habe.

Offener Brief an die Bundesregierung mit Kritik an der „Artificial Intelligence“- Verordnung

10. November 2022

Unter Federführung von „Algorithm Watch“ haben insgesamt 24 zivilrechtliche Organisationen, darunter „Amnesty International“ und „Reporter ohne Grenzen“ einen Brief an die Bundesregierung veröffentlich. Inhalt des offenen Briefes ist die Forderung, dass sich die Regierung bei den Verhandlungen im europäischen Rat zur „Artificial Intelligence“-Verordnung für ein striktes Verbot der biometrischen Überwachung einsetzen solle.

Der Verordnungsentwurf zu künstlicher Intelligenz

Hintergrund der Artificial Intelligence Verordnung ist die Frage, wie die Europäische Union (EU) einen sicheren Rechtsrahmen für den Umgang mit künstlicher Intelligenz schaffen kann. Hiermit befasst sich die europäische Kommission bereits seit 2018. Im April 2021 hatte diese einen Verordnungsentwurf vorgelegt.

In ihrem offenen Brief stellten die unterzeichnenden Organisationen fest, dass nach Art. 5 Abs. 1 lit. d des Verordnungsentwurfes der Einsatz von biometrischer Überwachung grundsätzlich verboten sei. Allerdings sehe der Artikel eine Vielzahl an Ausnahmen vor, nach denen die Mitgliedstaaten Technologien zur Identifikation von Personen anhand ihrer biometrischer Daten in öffentlichen Räumen einsetzten können.

Kritik an der Verordnung

Die Möglichkeit sog. „biometrischer Echtzeit-Fernidentifizierungssysteme“ einsetzen zu können, kritisierten nun Algorithm Watch und die weiteren unterzeichnenden Organisationen in ihrem offenen Brief.

Dabei erinnerten die unterzeichnenden Organisationen an den Koalitionsvertrag der Bundesregierung. Laut Algorithm Watch und den weiteren Organisationen habe die Bundesregierung im Koalitionsvertrag beabsichtigt, dass „(…) biometrische Identifikation im öffentlichen Raum durch eine EU-weite Gesetzgebung ausgeschlossen werden muss.“

Diesbezüglich stellten die Organisationen fest, dass die Verordnung in ihrer derzeitigen Fassung zu einem möglichen Verbot der biometrischen Identifikation beitragen könne. Vor allem Art. 5 Abs. 1 lit. d des Verordnungsentwurfes interpretieren die Organisationen als ein sinnvolles Instrument für ein solches künftiges Verbot.

Jedoch weise der Verordnungsentwurf im Hinblick auf ein Verbot biometrischer Identifikation noch Lücken auf. Die Organisationen kritisierten, dass sich Art. 5 Abs. 1 lit. d des Verordnungsentwurfs nur auf „Echtzeit“ Systeme zur biometrischen Identifikation beziehe. Außerdem sei das Verbot zum Einsatz biometrischer Überwachung lediglich auf Strafverfolgungsbehörden beschränkt. Demnach sei es möglich, dass andere öffentliche oder private Stellen die Überwachungssysteme einsetzten. Überdies, so die Organisationen, weichen die Ausnahmen des Art. 5 des Verordnungsentwurfes das Verbot auf.

Zudem können Mitgliedstaaten sich auf die „nationale Sicherheit“ berufen, um den Einsatz künstlicher Intelligenz zu rechtfertigen. Folglich sei es möglich, dass aufgrund dieser Rechtfertigung Überwachungssysteme eingesetzt werden.

Fazit

Die Organisationen forderten in ihrem Brief, dass sich die Bundesregierung für ein Verbot biometrischer Überwachung in weiteren Verhandlungen auf europäischer Ebene einsetze. Es gehe darum, Grundrechtsverletzungen die biometrische Überwachung erzeugen könnten zu verhindern.

Weitere Datenschutzbehörden raten von Web-Fonts ab

Wieder einmal äußern sich kritische Stimmen im Kontext der Nutzung von Google Fonts. Bereits in unserem letzten Beitrag wurde die Problematik unfreiwilliger Übermittlungen personenbezogener Daten in ein Drittland, durch die Nutzung der von Google eingebetteten Fonts behandelt.  

Kritik aus Hessen und Sachsen

Dieses Mal melden sich die hessische und sächsische Datenschutzaufsichtsbehörde zu Wort. Grund für das Aktivwerden der Behörden waren die aktuell stark zunehmenden Beratungsanfragen zu Abmahnungen aufgrund des Einsatzes der Google Schriftarten.

Forderungen von Schadensersatz

Dem Urteil des Landgerichts München vom 20. Januar 2022 nach könnte eine Nutzung der Google Web-Fonts auf eigenen Homepages wohl einen Verstoß gegen die DSGVO darstellen. So würden in den Fällen einer Nutzung dynamischer Fonts stets personenbezogene Daten von Webseitenbesucher*innen wie IP-Adressen an amerikanische Server weitergeleitet. Abgesehen eines unter strengen Regeln stehenden Transfer von Daten in einen Drittstaat, der kein ausreichendes Datenschutzniveau im Sinne der DSGVO bietet, werden zudem in seltensten Fällen Einwilligungen i. S. d. Art. 6 Abs. 1 lit. a DSGVO eingeholt. So ist das Urteil der Auslöser einer Abmahnwelle gegen Website-Betreiber, welche mit empfindlich hohen Geldforderungen konfrontiert werden.

Fazit

Betreiber von Webseiten sollten allgemein auf einen dynamischen Einsatz von Schriftarten verzichten und auf ein lokales Speichern umstellen, so die hessische und sächsische Behörde.  

1 2 3 250