Kategorie: Aufsichtsbehördliche Maßnahmen

390 Millionen Euro Sanktionen für Meta

5. Januar 2023

Nur kurze Zeit nach dem letzten Millionenbußgeld hat die irische Datenschutzbehörde Data Protection Commission (DPC) erneut gegen den Meta-Konzern Sanktionen verhängt. Der Gesamtbetrag von 390 Millionen Euro setzt sich aus Bußgeldern gegen Facebook (210 Millionen Euro) und Instagram (180 Millionen Euro) zusammen.

Rechtsgrundlage Vertrag statt Einwilligung?

Anstoß für die Untersuchung der DPC gaben die Beschwerden eines Österreichers und eines Belgiers am 25. Mai 2018, dem Tag des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO). Nach einer Änderung der Nutzungsbedingungen sollten die personenbezogenen Nutzerdaten nicht mehr auf Basis einer Einwilligung, sondern auf vertraglicher Basis verarbeitet werden. Dazu zählte auch die Nutzung für personalisierte Werbung.

Meta argumentierte, dass mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag mit dem Nutzer zustande gekommen sei. Die Verarbeitung der Nutzerdaten im Zusammenhang mit der Bereitstellung ihrer Facebook- und Instagram-Dienste sei für die Erfüllung dieses Vertrags, einschließlich der Bereitstellung personalisierter Dienste und verhaltensorientierter Werbung, erforderlich, sodass diese Verarbeitungen gemäß Artikel 6 Abs. 1 lit. b DSGVO (die „vertragliche“ Rechtsgrundlage für die Verarbeitung) rechtmäßig gewesen seien.

Dagegen vertraten die Beschwerdeführer die Meinung, dass Meta sich weiterhin auf die Einwilligung als Rechtsgrundlage berufe. Indem Meta den Zugang zu seinen Diensten von der Zustimmung der Nutzer zu den aktualisierten Nutzungsbedingungen abhängig mache, zwinge es sie faktisch dazu, der Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbung und andere personalisierte Dienste zuzustimmen.

Jahrelange Entscheidungsfindung

In einem Beschlussentwurf vom Oktober 2021 hatte die DPC eine Geldbuße zwischen 28 und 36 Millionen Euro für angemessen erachtet. Meta habe demnach gegen seine Transparenzpflichten verstoßen, indem Nutzer nicht ausreichend über die Verarbeitungsprozesse informiert worden seien. Metas Vorgehen hinsichtlich der Rechtsgrundlage sei jedoch zulässig gewesen.

Die im Rahmen des Kooperations- und Kohärenzverfahrens beteiligten Datenschutzbehörden waren mit der Entscheidung der DPC nicht einverstanden, sodass schließlich der Europäische Datenschutzausschuss (EDSA) beteiligt wurde. Dieser widersprach der Rechtsauffassung der DPC. Er befand, dass Meta im Rahmen der personalisierten und verhaltensbezogenen Werbung nicht auf einen Vertrag als Rechtsgrundlage zurückgreifen könne.

Laut der Datenschutzorganisation noyb habe die DPC während des Verfahrens mit Meta eng zusammengearbeitet. Meta habe sogar argumentiert, dass die DPC das Vorgehen abgesegnet habe.

Wie geht es nun weiter?

Neben dem Bußgeld hat die DPC Meta dazu verpflichtet, innerhalb von drei Monaten nachzuweisen, dass die Verarbeitungstätigkeiten entsprechend der Vorgaben angepasst wurden. Wie diese Umsetzung aussehen soll, ist noch unklar. Voraussichtlich wird Meta gerichtlich dagegen vorgehen.

Darüber hinaus hat die DPC angekündigt, gegen den EDSA zu klagen. Dieser hatte ihr aufgetragen, eine weitere Untersuchung gegen Facebook und Instagram hinsichtlich der Verarbeitung besonderer Kategorien personenbezogener Daten einzuleiten. Der EDSB habe keine allgemeine Aufsichtsfunktion, die mit der der nationalen Gerichte in Bezug auf nationale unabhängige Behörden vergleichbar sei. Es stehe dem EDSB nicht frei, eine Behörde anzuweisen, unbefristete und spekulative Untersuchungen durchzuführen.

Hat man einen Auskunftsanspruch gegen Auftragsverarbeiter?

2. Januar 2023

Die dänische Aufsichtsbehörde hat am 20.5.2022 einen Fall zu der Frage, ob ein Auskunftsanspruch durch einen Auftragsverarbeiter erfüllt werden muss, entschieden.

Über den Sachverhalt

Der Betroffene hatte auf eBay einen Artikel bei dem Unternehmen Asus gekauft und im Rahmen des Kaufs seine E-Mail-Adresse angegeben. Danach erhielt er eine E-Mail von noreply.invitations@trustpilot.com, in der der Asus Online Shop als Absender angegeben war und in der er gebeten wurde, das Kauferlebnis bei Asus auf Trustpilot zu bewerten. Der Betroffene kontaktierte daraufhin Trustpilot von einer anderen E-Mail-Adresse und bat um Auskunft über eventuell verarbeitete personenbezogene Daten. Trustpilot antwortete und teilte mit, dass kein aktiver Nutzer für die E-Mail gefunden werden konnte und daher keine Daten über den Betroffenen verarbeitet wurden. Der Betroffene erhielt danach erneut eine E-Mail von Trustpilot im Namen des Asus Online Shops. Der Shop bat ihn darin, den Einkauf bei Asus zu bewerten. Der Betroffene beschwerte sich deswegen bei der bayerischen Behörde (BayLDA). Das BayLDA leitete die Beschwerde an die Berliner und diese an die dänische Aufsichtsbehörde weiter.

Die Entscheidung der Behörde

Als die für Trustpilot zuständige Datenschutzbehörde hat sie also darüber entscheiden müssen, ob Trutspilot nach Art. 15 DSGVO verpflichtet war, die Auskunft zu erteilen.

In der Begründung der dänischen Behörde geht hervor, dass allein der für die Verarbeitung Verantwortliche nach Art. 15 DSGVO zur Auskunft an den Betroffenen verpflichtet.

Da gemäß den Artikeln 12 und 15 nicht der Auftragsverarbeiter, sondern der Verantwortliche verantwortlich ist, einen Antrag auf Auskunft zu bearbeiten und zu beantworten, ist die dänische Datenschutzbehörde der Ansicht, dass Trustpilot nicht gegen diese Bestimmungen verstoßen hat.“

Unterstützungspflicht des Auftragsverarbeiter

Jedoch ist Trustpilot nach Art. 28 Abs. 3 lit. e DSGVO verpflichtet, den Verantwortlichen bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannte Rechte der betroffenen Person zu unterstützen.

Außerdem hat der Betroffene im Rahmen seiner Anfrage auch seinen Namen und seine postalische Adresse angegeben hatte. Deswegen kritisierte die dänische Datenschutzbehörde, dass Trustpilot keine einheitliche Vorgehensweise bei der Suche nach relevanten Informationen, einschließlich des Namens und der Adresse, die der Betroffene im Zusammenhang mit seiner Anfrage übermittelt hat, umgesetzt hat. Trustpilot war offenbar nicht in der Lage, nach dem Namen und der Adresse zu suchen und einen Vergleich durchzuführen. Dadurch hätte Trustpilot die Möglichkeit gehabt, die betroffene Person zu identifizieren und, als Auftragsverarbeiter, den Verantwortlichen in dem vereinbarten Umfang bei der Verarbeitung zu unterstützen. Die dänische Behörde hat dies jedoch nur als Hinweis an Trustpilot gegeben und das Verfahren eingestellt.

Fazit

In der Begründung empfiehlt die Aufsichtsbehörde, dass Trustpilot zusätzliche Daten (Name und Adresse) als Auftragsverarbeiter erhalten soll, die für die eigene Leistung nicht unbedingt erforderlich sind, aber für Betroffenenanfragen relevant sein könnten. Diese Empfehlung mag aus Sicht der Erleichterung von Betroffenenanfragen zwar sinnvoll sein, doch ist der Verantwortliche (für den Trustpilot als Auftragsverarbeiter auch bei Betroffenenanfragen unterstützen muss) laut Art. 11 DSGVO nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, nur um Betroffenenrechte zu erfüllen. Zu beachten ist, dass die erforderlichen Daten (Name und Adresse) bereits beim Verantwortlichen vorliegen. Eine mögliche Alternative könnte sein, dass Trustpilot die Anfrage des Betroffenen (inklusive der unbekannten E-Mail-Adresse) direkt an den Verantwortlichen weiterleitet.

Irische Datenschutzbehörde leitet Untersuchung gegen Twitter ein

27. Dezember 2022

Die irische Datenschutzbehörde Data Protection Commissioner (DPC) hat nach eigenen Angaben Untersuchungen gegen Twitter eingeleitet. Hintergrund ist ein Datenleck des Social Media-Konzerns, bei dem mehrere gesammelte Datensätze mit personenbezogenen Daten von Twitter-Nutzern im Internet zur Verfügung gestellt worden waren. Es sollen dabei weltweit ca. 5,4 Millionen Nutzer betroffen gewesen sein.

Twitter-IDs, E-Mail-Adressen und Telefonnummern betroffen

Das Datenleck war im Januar 2022 bekannt und dann innerhalb von fünf Tagen von Twitter geschlossen worden. In den Datensätzen sollen Twitter-IDs, E-Mail-Adressen sowie Telefonnummern den betroffenen Personen zugeordnet worden sein. Diese Datensätze wurden in Hacking-Plattformen zum Kauf angeboten.

Womöglich ist die Zahl an Betroffenen sogar noch größer als geschätzt. Laut dem israelischen Sicherheitsforscher Alon Gral sollen sogar Daten von 400 Millionen Twitter-Konten aus einem Datenleck – möglicherweise aus demselben Leck – Elon Musk direkt zum Kauf angeboten worden sein. Daraus angebotene Probedatensätze enthielten die Daten prominenter Personen.

Austausch zwischen DPC und Twitter

Auch wenn Twitter die genauen Zahlen der Betroffenen nicht bestätigt hat, hat das Unternehmen den Vorfall der DPC gemeldet, welche die für Twitter zuständige Datenschutzbehörde ist.  In der nachfolgenden Korrespondenz ergab sich für die DPC der Eindruck, dass eine oder mehrere Bestimmungen der Datenschutzgrundverordnung (DSGVO) verletzt worden sein könnten. Bereits im November hatte die Vorsitzende der DPC, Helen Dixon, im Interview mit POLITICO Bedenken hinsichtlich Twitters Datenschutzpraxis ausgedrückt.

DPC als Aufsichtsbehörde der Tech-Giganten

Die DPC ist neben Twitter auch für Tech-Giganten wie Google und Facebook zuständig. Diese haben ihre Niederlassungen in Irland und unterfallen damit regelmäßig dem Zuständigkeitsbereich der irischen Datenschutzaufsicht. Aus diesem Grund hat die DPC Twitter 2021 eine Geldbuße von 450.000 Euro auferlegt. Zuletzt war eine massive Geldbuße gegen Meta erfolgt.

Wenn sich der Vorwurf im Untersuchungsverfahren bestätigt, ist angesichts der hohen Sanktionsmöglichkeiten seitens der DPC erneut ein empfindliches Bußgeld zu erwarten. Die DSGVO ermöglicht in Art. 83 Sanktionen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Beschlossen: Schutz für Hinweisgeber im beruflichen Umfeld

16. Dezember 2022

Die Abgeordneten des Deutschen Bundestages haben am Freitag, 16. Dezember 2022, einen „besseren Schutz hinweisgebender Personen“ im beruflichen Umfeld beschlossen.

Warum ist der Schutz von Hinweisgebern wichtig?

Im beruflichen Kontext ist der Schutz von Hinweisgebern ein wichtiges, gleichzeitig aber auch sensibles Thema, da er für den Erhalt integrer Arbeitsplätze und die Einhaltung ethischer Grundsätze in Unternehmen unerlässlich ist. Hinweisgeber tragen dazu bei, Missstände aufzudecken und zu korrigieren, indem sie Informationen über illegale oder unethische Praktiken melden.

Das Problem: Die Meldung solcher Vorgänge kann sehr riskant sein, da sie möglicherweise finanzielle Verluste oder negative Konsequenzen bei  der Arbeit einbringen kann.

Aus diesem Grund müssen hinweisgebende Mitarbeiter vor Diskriminierung und Repressalien geschützt werden.

Eine weitere Herausforderung besteht darin, dass viele Mitarbeiter oft nicht wissen, wo sie solche Informationen melden können oder wie sie am besten vorgehen sollen. Daher ist es für Unternehmen wichtig, einen Mechanismus zur Meldung von Missständen zu schaffen und proaktiv über diese Mechanismen zu informieren.

Das neue Gesetz

In den letzten Jahren ist die Bedeutung des Schutzes von Hinweisgebern immer stärker in den Fokus der Öffentlichkeit gerückt. Dies ist vor allem auf die steigende Zahl von Whistleblowern zurückzuführen, die sich gegen Missstände in ihrem Unternehmen oder in ihrer Branche wenden.

Mit dem nun beschlossenen Gesetzesentwurf soll der bislang lückenhafte und unzureichende Schutz hinweisgebender Personen ausgebaut werden. Nach eigenem Bekunden will die Bundesregierung mit dem Gesetz nun zum einen die Hinweisgeberschutz-Richtlinie der Europäischen Union ((EU) 2019 / 1937, (EU) 2020 / 1503) und zum anderen die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) umsetzen. Deutschland – sowie einige weitere EU-Staaten – sind mit der Umsetzung allerdings sehr spät dran, denn die EU-Richtlinie hätte eigentlich bis zum 17. Dezember 2021  transferiert werden müssen. Gegen Deutschland läuft deswegen ein von der EU-Kommission angestrengtes Vertragsverletzungsverfahren.

Was ändert sich für Unternehmen und Beschäftigte?

Kernstück des Entwurfes ist ein neu zu schaffendes „Gesetz für einen besseren Schutz hinweisgebender Personen“ (Hinweisgeberschutzgesetz, HinSchG). Dieses Gesetz soll dem Entwurf zufolge die wesentlichen Anforderungen und Verfahren an den Hinweisgeberschutz beinhalten. Danach müssen grundsätzliche alle Unternehmen, die mindestens 50 Mitarbeiterinnen und Mitarbeiter beschäftigen, eine interne Meldestelle einrichten; Unternehmen mit bis zu 249 Mitarbeitenden haben die Möglichkeit, Meldestellen gemeinsam aufbauen.

Neue Meldestellen

Als externe Meldestelle soll grundsätzlich das Bundesamt für Justiz dienen, für einige Bereiche sind darüber hinaus spezielle Meldestellen vorgesehen. Wie die Bundesregierung ausführt, ist der Anwendungsbereich entsprechend der Vorgaben der EU-Richtlinie weit gefasst und umfasst neben Arbeiternehmerinnen und Arbeitnehmer auch Beamtinnen und Beamte, Anteilseignerinnen und Anteilseigner, Mitarbeiterinnen und Mitarbeiter von Lieferanten und Personen, die bereits vor Beginn eines Arbeitsverhältnisses Kenntnisse von Verstößen erlangt haben.

Die hinweisgebende Person soll laut des Gesetzesentwurfs wählen können, ob sie sich an eine interne oder externe Meldestelle wende. Entscheidend ist, dass die Identität der hinweisgebenden Person in beiden Fällen grundsätzlich vertraulich zu behandeln ist. Meldungen sollen daher laut Entwurf auch anonym möglich sein. Laut Entwurfstext soll für interne Meldestellen allerdings keine Verpflichtung bestehen, „die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen“. Gleiches soll vorbehaltlich spezialgesetzlicher Regelungen auch für die externen Meldestellen gelten. In beiden Fällen sollte zudem gelten, dass die jeweilige Meldestelle „anonym eingehende Meldungen allerdings bearbeiten [sollte], soweit dadurch die vorrangige Bearbeitung nicht anonymer Meldungen nicht gefährdet wird“.

Schutz vor Repressalien

Für hinweisgebende Personen und bestimmte andere Personen gilt ein Schutz vor Repressalien beziehungsweise vor einer Drohungen damit.

Erfolgt nach einer Meldung durch einen Arbeitnehmer eine „Benachteiligungen“ einer hinweisgebenden Person „im Zusammenhang mit ihrer beruflichen Tätigkeit“, soll laut Entwurfstext vermutet werden, dass es sich um eine Repressalie handelt. Daher hat „In diesem Fall hat die Person, die die hinweisgebende Person benachteiligt hat, zu beweisen, dass die Benachteiligung auf hinreichend gerechtfertigten Gründen basierte oder dass sie nicht auf der Meldung oder Offenlegung beruhte“.

Bei einem Verstoß gegen das Verbot von Repressalien soll dem Hinweisgeber ein Schadensersatzanspruch gegen den Verursacher zustehen.

In der Praxis bleibt abzuwarten, in wie weit die gesetzlichen Regelungen tatsächlich zu einem reibungslosen Aufdecken von Missständen führen.

Fazit

Der Schutz von Hinweisgebern ist von entscheidender Bedeutung für die Einhaltung ethischer Grundsätze im beruflichen Umfeld sowie für den Erhalt integrer Arbeitsplätze und fair gehandhabte Geschäftsfelder. Daher ist es Aufgabe aller Beteiligten – insbesondere der Unternehmen – sicherzustellen, dass effektive Maßnahmen zum Schutz von Hinweisgebern getroffen werden.

Guide zur Vermeidung von Google Fonts Abmahnungen

30. November 2022

Am 24. November 2022 veröffentlichte die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen eine Hilfestellung für Verantwortliche.
In dieser kurzen Checkliste werden Webseiten-Betreiber über Möglichkeiten zum Umgang mit Abmahnungen im Kontext der Nutzung von Google Fonts sowie zur Überprüfung ihrer Einstellungen dargelegt.

Dies soll zukünftige Abmahnungen aufgrund einer online Einbindung des Dienstes Google Fonts und daraus folgenden Nachfragen bei der Aufsichtsbehörde eindämmen.

Weitere Informationen zum Thema Google Fonts finden Sie in unseren bereits veröffentlichten Blogbeiträgen zu diesem Themengebiet.
Warum Google Fonts eine datenschutzrechtliche Abmahnwelle verursacht?
Weitere Datenschutzbehörden raten von Web-Fonts ab

Überprüfung der Abmahnschreiben

Betreiber von Webseiten, die ein Abmahnschreiben wegen Google Fonts erhalten haben, sollten Folgendes prüfen:

  • Sind Sie der Anbieter und datenschutzrechtlich Verantwortliche der Webseite, die in dem Schreiben genannt wird?
  • Ist auf der Webseite Google Fonts eingebunden?
  • Ist Google Fonts online eingebunden?
  • Wird von den Nutzerinnen und Nutzern keine wirksame Einwilligung gemäß § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DS-GVO für den Einsatz von Google Fonts eingeholt?

Wenn all diese Fragen mit „Ja“ beantwortet werden, liegt in Bezug auf Google Fonts ein datenschutzrechtlicher Verstoß vor, so die LfD Niedersachsen.

265 Millionen Euro Bußgeld für Facebook-Mutter Meta

29. November 2022

Die irische Datenschutzbehörde Data Protection Commission (DPC) verhängte infolge der unrechtmäßigen Veröffentlichung personenbezogener Daten ein Bußgeld in Höhe von 265 Millionen Euro gegen den Meta-Konzern.

Untersuchungsverfahren

Nachdem im April 2021 personenbezogene Daten von bis zu 533 Millionen Facebook- und Instagram-Nutzern aus über 100 Ländern online verfügbar waren, hatte die DPC Untersuchungen eingeleitet. Im Rahmen des Untersuchungsverfahrens arbeitete sie mit den anderen europäischen Datenschutzbehörden zusammen und prüfte die Tools Facebook Search, Facebook Messenger Contact Importer und Instagram Contact Importer. Mithilfe dieser Tools können Nutzer die im Smartphone gespeicherten Kontakte in die Instagram- oder Facebook-App importieren, um so Freunde oder Bekannte zu finden.

Mangelnde technische und organisatorische Maßnahmen zum Schutz der Daten

Im Rahmen ihrer Untersuchung beschäftigte sich die DPC mit den sogenannten technischen und organisatorischen Maßnahmen nach Artikel 25 DSGVO. Mit solchen Maßnahmen müssen nach dem Datenschutzrecht Verantwortliche sicherstellen, dass sie die Rechte der betroffenen Personen umfangreich schützen. Darunter fallen beispielsweise Pseudonymisierung und Verschlüsselung personenbezogener Daten, aber auch physische Schutzmaßnahmen oder das Bestehen zuverlässiger Backups.

Metas technische und organisatorische Maßnahmen sah die DPC nicht als ausreichend an. Daher sprach sie neben dem genannten Bußgeld von 265 Millionen Euro eine Verwarnung sowie die Anordnung aus, innerhalb einer Frist die Verarbeitungsvorgänge in Einklang mit dem Datenschutzrecht zu bringen und hierzu eine Reihe von bestimmten Abhilfemaßnahmen zu treffen.

Nicht das erste Bußgeld für Meta

Meta ist inzwischen vertraut mit Bußgeldern der europäischen Datenschutzbehörden. Insgesamt wurden dem Konzern schon fast eine Milliarde Euro an Geldbußen auferlegt, zuletzt im September in Höhe von 405 Millionen Euro wegen schwerer Datenschutzverstöße bei minderjährigen Instagram-Nutzern. Grund für die beachtliche Höhe der einzelnen Sanktionen ist Artikel 83 DSGVO, wonach Bußgelder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens betragen können. Gegen die bisherigen Entscheidungen hat Meta jeweils Berufung eingelegt, daher ist auch in diesem Fall davon auszugehen, dass Meta das Bußgeld nicht ohne gerichtliche Überprüfung akzeptieren wird.

Microsoft 365 nicht datenschutzrechtskonform?

28. November 2022

Viele Verantwortliche möchten in ihrem Unternehmen oder ihrer Behörde gerne Office 365 (jetzt: Microsoft 365) nutzen. Seit Jahren sehen sich diese wegen der Bewertung der datenschutzrechtlichen Zulässigkeit erheblichen rechtlichen Unsicherheiten ausgesetzt. Die neueste Pressemitteilung der Datenschutzkonferenz ist für die Bewertung nun richtungsweisend. 

 

Bericht der Datenschutzkonferenz 

In der Mitteilung vom 28. November 2022 weist der Thüringer Landesbeauftrage für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse auf die richtungsweisende Bewertung der Datenschutzkonferenz (DSK) zu Microsoft 365 hin: „Die DSK stellt (…) fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“ 

Außerdem betonte er, dass sich die Bewertung der Datenschutzkonferenz nicht direkt an Microsoft wende, sondern an die Verantwortlichen, sodass diese Microsoft 365 nicht datenschutzrechtskonform verwenden könnten. Neben Fragen bezüglich der Datenübermittlung in die USA komme sowohl der Verstoß gegen Art. 28 DS-GVO als auch gegen die Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO in Betracht. 

 

Microsoft widerspricht der DSK 

Als „Antwort“ auf diesen Bericht stellte Microsoft die Vereinbarkeit mit dem Datenschutzrecht fest und betonte ihre Position von August 2022. „Wir stellen sicher, dass unsere MS 365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können MS 365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“ 

 

Fazit 

Verantwortlichen, die mit der MS 365-Software arbeiten, ist aufgrund der widerstreitenden Aussagen jedenfalls nicht geholfen, wodurch kein zufriedenstellender Zustand herrscht. Es bleibt demnach abzuwarten, ob es in dieser Meinungsverschiedenheit doch noch zu einer Einigung kommen wird. Bis dahin bleibt die Verwendung von MS 365 aus datenschutzrechtlicher Sicht noch unsicher. Wir werden schnellstmöglich über weitere Entwicklungen berichten.  

391,5 Mio. Dollar Bußgeld gegen Google

18. November 2022

Die Nachrichtenagentur Reuters berichtete kürzlich über ein Bußgeldverfahren, dem sich der Tech-Gigant stellen müsse. Demnach soll Google 391,5 Million US Dollar zahlen, um Vorwürfen von 40 Bundesstaaten beizukommen.  

Illegales Standort Tracking  

Zu Schulden hätte sich Google das nicht autorisierte Verfolgen von Standortdaten kommen lassen. Dies erklärte die Generalstaatsanwaltschaft von Michigan am Montag. Bereits schon in den letzten Monaten seien die Generalstaatsanwälte der beteiligten Bundesstaaten aggressiv gegen die Praktiken des Unternehmens bei der Nutzungsverfolgung vorgegangen. Infolgedessen soll sich Google nicht nur monetären Sanktionen stellen, sondern auch betroffenen Nutzerinnen und Nutzern eine transparente Information über das „wann“ der Standortverfolgung gewährleisten. 

Googles Reaktion  

In einem Blog-Post erklärte Google am Montag, dass der Konzern in den kommenden Monaten Aktualisierungen vornehmen werden, um so Verbrauchern mehr Kontrolle und Transparenz über deren Standortdaten zu bieten. Im Kontext der angestrebten Änderungen soll das Löschen von Standortdaten vereinfacht werden. Mittels einer automatischen Löschfunktion können Nutzer*innen Google anweisen Informationen, welche ein bestimmtes Alter erreicht haben, zu löschen. 

Erkenntnisse einer Untersuchung 

Berichte über das Fehlverhalten Googles bezüglich der widerwilligen Speicherung von Standortdaten der Nutzer führte 2018 zur Einleitung einer Untersuchung. Diese ergab, dass Google mindestens seit 2014 bereits über die Praktiken zur Standortverfolgung getäuscht und damit gegen staatliche Verbraucherschutzgesetze verstoßen habe. 

Fazit 

Google hat in der ersten Jahreshälfte 2022 111 Milliarden US Dollar mit Werbung eingenommen. Der Standort eines Verbrauchers ist der Schlüssel, um Werbung zielgerichteter gestalten zu können. Es ist nunmehr kein Geheimnis, dass Google sich durch widerrechtliche Praktiken Vorteile auf dem Werbemarkt verschafft.  

 

 

Datenschutzbehörden warnen vor WM-Apps Hayya und Ehteraz

17. November 2022

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) rät Besucherinnen und Besuchern der Fußball-Weltmeisterschaft (WM) 2022 in Katar zur Verwendung eines separaten Mobiltelefons für die Reise. Hintergrund der Empfehlung ist, dass die Fußball-Fans die Apps „Hayya“ und „Ehteraz“ installieren müssen, welche der BfDI als datenschutztechnisch bedenklich einstuft.

Die WM-Apps Hayya und Ehteraz

„Hayya“ ist die offizielle WM-App, mit der die sogenannte „Hayya-Card“ verwaltet wird, die für Einreise und Zutritt zu den Fußballstadien sowie die Nutzung des öffentlichen Nahverkehrs erforderlich ist. „Ehteraz“ wird zur Corona-Kontaktverfolgung eingesetzt und muss von allen Reisenden ab 18 Jahren installiert werden. Allerdings wird „Ehteraz“ nur für den Besuch von Gesundheitseinrichtungen benötigt. Beide Apps können in den gängigen App-Stores heruntergeladen werden.

Ergebnisse der Analyse

Bei der ersten Analyse der Apps hat der BfDI festgestellt, dass „die Datenverarbeitungen beider Apps wahrscheinlich deutlich weiter gehen, als es die Beschreibungen der Datenschutzhinweise und Verarbeitungszwecke in den App-Stores angeben.“ Eine der Apps erhebe Daten zu Telefonaten, welche in Deutschland als sensible Telekommunikationsverbindungsdaten unter das Fernmeldegeheimnis fielen. Die andere App könne aktiv den Schlafmodus des Geräts verhindern. Zudem liege nahe, dass die Daten nicht nur lokal gespeichert, sondern auch an einen zentralen Server übermittelt würden. Aus diesen Gründen sollten Besucherinnen und Besucher der WM laut BfDI ein separates Gerät zur Installation der Apps verwenden, auf dem keine personenbezogenen Daten gespeichert seien, und nach Rückkehr das Betriebssystem und sämtliche Inhalte darauf vollständig löschen.

Bedenken anderer Datenschutzbehörden

Die Einschätzung des BfDI deckt sich mit der Warnung der französischen und der norwegischen Datenschutzbehörden CNIL und Datatilsynet. Auch diese empfehlen die Nutzung eines separaten Geräts für die Apps. Die norwegische Datenschutzbehörde Datatilsynet hält den umfangreichen Zugriff der Apps für alarmierend und gab Empfehlungen (auf Norwegisch) dahingehend ab, was Besucherinnen und Besucher tun können, die keinen Zugriff auf ein Zweitgerät haben oder ein solches nicht nutzen möchten. Demnach könnten die eigenen Daten vor Einreise gesichert und anschließend auf dem Mobiltelefon gelöscht werden, sodass es in Katar nur für die beiden Apps verwendet würde. Nach Rückkehr könnte das Gerät dann zurückgesetzt und die gesicherten Daten wiederhergestellt werden.

Nicht das einzige Datenschutzthema bei der WM in Katar

Die verpflichtende Installation dieser Apps ist nicht das einzige Problem, das sich bei der WM in Katar im Bereich des Datenschutzes stellt. Laut Auswärtigem Amt nutzen die Behörden in Katar „intensiv digitale Technologien.“ Es würden unter anderem flächendeckend Videokameras im öffentlichen Raum eingesetzt und bei jeder Ein- und Ausreise fände eine biometrische Erfassung mittels Gesichtsscanner und Bildabgleich statt.

 

Verwaltungsgericht Ansbach: Fotos von „Falschparkern“ erlaubt

9. November 2022

Wer Fotos von sog. Falschparkern zum Zwecke der Übermittlung an die Polizei anfertigt, verstößt laut dem Verwaltungsgericht Ansbach (VG) in der Regel nicht gegen Datenschutzrecht.

Hintergrund

Die beiden Kläger fotografierten ordnungswidrig geparkte Fahrzeuge, um diese Fotos mitsamt Anzeige an die zuständige Polizei zu übersenden. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verwarnte daraufhin die beiden Männer. Das Landesamt rügte, dass mit den Fotos oft auch nicht erforderliche, über den Parkvorgang hinausgehende Daten erhoben würden. So würden auch bspw. andere Fahrzeuge oder Menschen abgelichtet werden. Insgesamt hätten die beiden Kläger daher kein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 Satz 1 Buchst. f Datenschutz-Grundverordnung (DS-GVO) an dieser Datenverarbeitung.

Dagegen erwiderten die Kläger, dass für die Verfolgung des Parkverstoßes eine möglichst genaue Dokumentation der Ordnungswidrigkeit erforderlich sei.

Der Tenor

Die 14. Kammer des VG Ansbach gab den zwei Klagen gegen die Verwarnungen des BayLDA statt. Das Gericht urteilte, dass es sich bei dem Vorgehen um eine rechtmäßige Datenverarbeitung handelte. Die genaue Begründung liegt allerdings noch nicht vor. Gegen die beiden Entscheidungen kann der Antrag zur Zulassung der Berufung zum Bayerischen Verwaltungsgerichtshof gestellt werden.

1 8 9 10 11 12 39