Kategorie: Aufsichtsbehördliche Maßnahmen

Fragen an ChatGPT von Landesdatenschutzbeauftragten

30. Oktober 2023

Die Debatte um Datenschutz und Künstliche Intelligenz (KI) geht weiter. Diesmal wurden Fragen von Landesdatenschutzbeauftragten an das KI-Sprachmodell ChatGPT gesendet. Sowohl Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz als auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Alexander Roßnagel sendeten Fragebögen zur Datenverarbeitung an OpenAI, den Betreiber des Chatsystems. Der Fragenkatalog enthält 79 Fragen und wurde innerhalb der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) abgestimmt. Er baut auf einem ersten Auskunftsersuchen auf, das die DSK bereits im April 2023 erarbeitet hatte.

Datenschutzrechtliche Relevanz des Auskunftsersuchens

Kugelmann betont am 26.10.2023, dass die Prüfung des KI-Systems von Bedeutung ist, um sicherzustellen, dass die Datenschutz-Grundverordnung (DSGVO) und das informationelle Selbstbestimmungsrecht bei der Datenverarbeitung durch ChatGPT eingehalten werden. Roßnagel gab am 24.10.2023 an, dass OpenAI auf den ersten Fragebogen bereits im Juni ausführlich und kooperativ eingegangen ist. Dennoch sind sich beide einig, dass die Auswertung der Antworten verdeutlicht, dass es weiteren Klärungsbedarf gibt.

Weitere Prüfung notwendig

Trotz der umfangreichen Beantwortung der ursprünglichen Fragen bestehen für Roßnagel weiterhin Zweifel an der Rechtmäßigkeit der Datenerhebung aus dem Internet für das KI-Training. Deswegen will er weitere Erkenntnisse über das KI-System sammeln, um die Gewährleistung des Datenschutzes sicherzustellen. Auch laut Kugelmann ist es erforderlich die Hintergrundprozesse des Programms transparent begreifen zu können. Der neue Fragebogen solle nun zu mehr Nachvollziehbarkeit dessen führen, was hinter der Oberfläche passiere.

Beide wollen dabei den besonders sensiblen Datenkategorien gemäß Art. 9 DSGVO besondere Aufmerksamkeit widmen, die unter anderem Informationen zur Religion, politischen Meinung oder sexuellen Orientierung betreffen. Ebenso kontrolliere man die Umsetzung der Rechte der Betroffenen, wie das Auskunfts- oder Löschungsrecht. Die Landesdatenschutzbeauftragten wollen auch erfahren, inwieweit persönliche Daten während des Trainings und bei der Chatverwendung als solche identifiziert und entsprechende Schutzvorkehrungen getroffen werden.

Laut Roßnagel sollen durch die Fragen Datenschutzmissachtungen identifiziert und im Anschluss durch entsprechende Maßnahmen verhindert und gegebenenfalls bestraft werden. Er verlangt von amerikanischen KI-Betreibern die gleiche datenschutzrechtliche Sorgfalt wie von europäischen Unternehmen.

Zuständigkeit für rechtliche Bewertung

Solange OpenAI keine Niederlassung in der EU hat, bleiben sämtliche europäischen Datenschutzaufsichtsbehörden in ihrem jeweiligen örtlichen Zuständigkeitsbereich verantwortlich. Auch wenn der Betrieb in Zukunft eine Niederlassung in der EU eröffnen sollte, würde die datenschutzrechtliche Prüfung nicht enden, da die Kontrolle die aktuellen und vergangenen Verhältnisse betrifft. Selbst für zukünftige Situationen würden deutsche Datenschutzbehörden zuständig bleiben, solange ChatGPT weiterhin in Deutschland angeboten wird. Allerdings würde die Kontrolle dann in Zusammenarbeit mit der Behörde am Ort der Hauptniederlassung in der EU erfolgen. Aktuell ist es denkbar, dass dies die in letzter Zeit stark kritisierte irische Data Protection Commission werden könnte.

Fazit

Im Mittelpunkt der Untersuchungen steht der Schutz der Privatsphäre und die Einhaltung der DSGVO. Mit dem Senden der Fragen an ChatGPT durch die Landesdatenschutzbeauftragten ist man erneut bestrebt, sicherzustellen, dass solche KI-Systeme transparent und nachvollziehbar sind. Die Prüfung und der Dialog mit KI-Unternehmen sind wichtig, um Datenschutz im Zeitalter von KI zu gewährleisten und gleichzeitig technischen Fortschritt nicht zu behindern. Interessant bleibt hierbei insbesondere die Frage, wie sich der Umfang der Behördenprüfung verändern wird, falls sich OpenAI in Irland niederlässt.

Gefährdung der Pressefreiheit in Irland

12. Oktober 2023

Die jüngsten Entwicklungen in Irland werfen einen bedenklichen Schatten auf die Pressefreiheit. Das irische Parlament hat im Juni 2023 ein neues Gesetz verabschiedet, das erhebliche Auswirkungen auf die Berichterstattung über die irische Datenschutzbehörde haben könnte. Am 04.10.2023 hat sich nun auch der Europäischen Datenschutzausschusses (EDSA) hierzu geäußert.

Hintergrund der Debatte

Gemäß der One-Stop-Shop-Regelung nach Art. 56 der Datenschutz-Grundverordnung (DSGVO) ist die Data Protection Commission (DPC) (irische Datenschutzbehörde) die zuständige federführende Aufsichtsbehörde in Verfahren gegen Giganten wie Apple, Google und Meta. Diese Prozesse dauern häufig sehr lange und Bußgelder werden oft zu niedrig angesetzt bzw. erst nach Intervention des EDSA erhöht. Deswegen und wegen der Bedeutung dieser Internet-Riesen steht die DPC schon lange in der Kritik.

Neues irisches Gesetz als Reaktion?

Man könnte fast meinen, dass der irische Gesetzgeber genug von der ständigen Nörgelei hat. Die neue Courts and Civil Law (Miscellaneous Provisions) Bill 2022 gestattet es nun der DCP, eine Vielzahl an Verfahren als „vertraulich“ zu klassifizieren und sogar Strafe zu verhängen.

Die Neuregelung bestimmt in Art. 26A des irischen Data Protection Act (DPA), dass die DPC Informationen als vertraulich einstufen kann und Anweisungen erteilen darf, den Inhalt nicht offenzulegen. Nach Abs. 5 gelten Informationen als vertraulich, wenn ihre Offenbarung zu einem finanziellen Schaden führen würde oder ihre Veröffentlichung Verhandlungen beeinträchtigen könnte. Zudem sind Informationen umfasst, die im Vertrauen mitgeteilt wurden und deren Offenlegung weiteren relevanten Informationsfluss beeinträchtigen könnte. Zuletzt fallen hierunter auch Informationen, deren Offenlegung eine effektive Aufgabenwahrnehmung der DPC gefährden könnte. Diese drei Varianten ermöglichen das Subsumieren eines breiten Spektrums an Fällen, auch wenn sie nicht wirtschaftlich sensibel sind. Gekrönt wird das Ganze mit einer möglichen Geldstrafe von bis zu 5.000 € bei einer Missachtung der Anordnung.

Heftige Kritik an der Regelung

Jedenfalls hat das Gesetz nicht unmittelbar zu einer Kritikreduzierung gegenüber Irland geführt. Hauptsächlich wird es als Beschneidung der Pressefreiheit angesehen. Noch im Juni 2023 hatte sich der Irish Council for Civil Liberties (ICCL) gegen das Gesetz ausgesprochen. Amnesty International meint das Gesetz diene nur dem Schutz großer Technologieunternehmen.

Aussage des Europäischen Datenschutzausschusses

Als Antwort auf die Anfrage der Abgeordneten des europäischen Parlaments, Sophie in ´t Veld, reagierte nun auch der EDSA. Dieser erkennt die Bedeutung der Vertraulichkeit an, stellt jedoch klar, dass dies normalerweise nur auf Dritte und nicht auf den Informationsaustausch zwischen Aufsichtsbehörden zutrifft. Er weist auch darauf hin, dass die geplante Aktualisierung der DSGVO auch das Verfahren mit vertraulichen Informationen behandeln wird. Die geänderte Verordnung würde dann harmonisierend regeln, welche Informationen abgesehen von Geschäftsgeheimnissen sensibel sind. Es scheint vor allem fraglich, ob die so in der neuen Verordnung nicht vorgesehenen Bußgeldbefugnisse des DPA weiterbestehen könnten.

Fazit

Die irische Regelung kann durchaus als Einschnitt in die Pressefreiheit gewertet werden. Zwar ist die Notwendigkeit des Schutzes vertraulicher Informationen verständlich, allerdings bietet die offene Definition von „vertrauliche Informationen“ einen unkontrollierbar weiten Subsumtionsrahmen. Gerade da es die in der Kritik stehende DPC selbst ist, die über die Vertraulichkeit der Informationen entscheiden darf und keine unabhängige Instanz, birgt diese Konstellation erhebliches Gefahrenpotential. Die Zukunft wird zeigen, wie sich diese Regelung auf die Pressefreiheit und den Datenschutz in Irland auswirkt. Jedenfalls lässt die Antwort des EDSA und der Vorschlag für die neue DSGVO erahnen, dass die aktualisierte DSGVO nicht mit diesem Teil des DPA übereinstimmen wird. Zumindest ist zu erwarten, dass der EDSA sich die Regelungen genauer anschauen wird. Ob daraus ein Vertragsverletzungsverfahren folgen wird, bleibt mangels eindeutiger Antwort des EDSA abzuwarten.

Schwedische Datenschutzbehörde stärkt Datenschutz in Bezug auf digitale Zeitungsabonnements

11. September 2023

In einer Entscheidung vom 1. April 2022 beschäftigte sich die schwedische Datenschutzbehörde (IMY) mit der Beschwerde eines Kunden eines Online-Dienstes für den digitalen Vertrieb von Zeitungen und Zeitschriften. Die Entscheidung wirft ein Licht auf die Bedeutung des Datenschutzes in Bezug auf solche Dienste und könnte Auswirkungen auf ähnliche Geschäftsmodelle haben.

Der Sachverhalt

Ein Kunde meldete sich bei dem Online-Dienst an und lehnte gleichzeitig ab, in Zukunft E-Mails von dem Unternehmen zu erhalten. Trotz dieser Ablehnung erhielt er mehrere E-Mails von dem Unternehmen. Nachdem er sich an den Kundendienst des Unternehmens gewandt hatte, wurde der Versand von E-Mails eingestellt. Das Unternehmen argumentierte, dass es einen Unterschied zwischen E-Mails gibt, die auf einem Vertrag beruhen, und Marketing-E-Mails, die auf einem berechtigten Interesse basieren. Die E-Mails, die der Kunde erhielt, sollten dazu dienen, den Nutzer über den Dienst zu informieren und hatten den Vertrag als Rechtsgrundlage. Das Unternehmen behauptete, dass die persönlichen Daten nicht zu Marketingzwecken verarbeitet wurden.

Die Entscheidung der IMY

Die IMY hatte zu prüfen, ob die Verarbeitung der persönlichen Daten auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden konnte. Dies erfordert, dass die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Die IMY stellte fest, dass einige der E-Mails Informationen darüber enthielten, wie der Kunde den Dienst personalisieren und personalisierte Empfehlungen basierend auf seinem Leseverhalten erhalten könne. Das Unternehmen informierte auch darüber, dass es personalisierte Inhalte anbietet. Die IMY argumentierte jedoch, dass ein durchschnittlicher Nutzer dies nicht als notwendigen Bestandteil des Dienstes verstehen würde.

Ein weiteres Argument der IMY war, dass das Unternehmen die Möglichkeit bietet, sich von solchen E-Mails abzumelden. Dies legte nahe, dass die Verarbeitung der persönlichen Daten nicht zur Vertragserfüllung notwendig war.

Die IMY verlangte, dass der für die Verarbeitung Verantwortliche nachweist, dass die Verarbeitung tatsächlich erforderlich ist, um den Hauptzweck des Vertrags zu erfüllen. Die IMY argumentierte, dass die E-Mails, die der Kunde erhielt, nicht notwendig waren, um den Hauptzweck des Vertrags zu erfüllen, nämlich das Lesen digitaler Zeitungen und Zeitschriften.

Fazit und Auswirkungen

Diese Entscheidung der IMY könnte Auswirkungen auf ähnliche Geschäftsmodelle haben, wenn andere Datenschutzbehörden eine ähnlich strenge Auslegung des Erforderlichkeitsmerkmals in Art. 6 Abs. 1 lit. b DSGVO verfolgen. Unternehmen, die personalisierte Dienste anbieten und die Verarbeitung auf dieser Grundlage begründen möchten, sollten sicherstellen, dass ihre Begründung konsistent ist und die Betroffenenrechte angemessen berücksichtigt werden.

Die Entscheidung zeigt auch, wie wichtig es ist, Datenschutzrichtlinien und -praktiken sorgfältig zu prüfen und sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen. Datenschutz ist ein wesentlicher Aspekt des Vertrauens zwischen Unternehmen und Kunden, und Unternehmen sollten sicherstellen, dass sie die Privatsphäre ihrer Kunden respektieren und schützen.

Datenschutzaufsicht im Gesundheitswesen vor Paradigmenwechsel: Zentralisierung der Zuständigkeit

30. August 2023

Das Bundesgesundheitsministerium (BMG) schlägt einen bedeutenden Paradigmenwechsel in der Datenschutzaufsicht im Gesundheitswesen vor. Im Referentenentwurf des Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) wird eine Neuregelung des § 9 des Bundesdatenschutzgesetzes (BDSG) vorgeschlagen, die auf eine Zentralisierung der Datenschutzaufsicht abzielt.

Ein neuer Absatz für eine breitere Zuständigkeit

Der Referentenentwurf des GDNG sieht vor, einen neuen Absatz 3 in § 9 BDSG einzuführen. In diesem Absatz wird dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) die exklusive Zuständigkeit für die Aufsicht über Stellen übertragen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 SGB X verarbeiten. Diese Zuständigkeit erstreckt sich auch auf die Kranken- und Pflegekassen, den Spitzenverband Bund der Krankenkassen, die Kassenärztlichen Vereinigungen und weitere relevanten Einrichtungen.

Die Motivation für diese Änderung liegt laut der Begründung des Entwurfs darin, eine einheitliche Datenschutzpraxis sicherzustellen. Die unterschiedliche Auslegung durch verschiedene Aufsichtsbehörden hat bisher die Entwicklung einer konsistenten Datenschutzpraxis erschwert.

Ausbau der Zuständigkeit des BfDI

Mit dieser vorgeschlagenen Änderung würde der BfDI eine erweiterte Zuständigkeit erhalten. Bisher war der BfDI nur für bundesunmittelbare Krankenkassen verantwortlich, die in mehreren Bundesländern tätig sind. Doch nun würde der BfDI die Aufsicht über sämtliche Krankenkassen übernehmen, einschließlich derjenigen, die nur in einem Bundesland tätig sind, sowie Betriebskrankenkassen von Unternehmen.

Dies hätte zur Konsequenz, dass die Aufsicht innerhalb eines Konzerns oder einer Unternehmensgruppe fragmentiert würde. Eine Übersicht aller gesetzlichen Krankenkassen findet man beim GKV. Der BfDI wäre somit für sämtliche gesetzliche Krankenkassen alleinig zuständig.

Brisante Ausweitung der Zuständigkeit

Besonders brisant ist nicht nur die geplante Ausweitung der Zuständigkeit auf Krankenkassen, sondern auch der Vorschlag zur alleinigen Zuständigkeit für „Stellen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 Zehntes Buch Sozialgesetzbuch verarbeiten“. Diese Definition schließe eine Vielzahl von Einrichtungen ein, wie Jobcenter, Rentenversicherungen, Unfallversicherungen und Jugendämter, wie die Landesdatenschutzbehörden in ihrer Stellungnahme darauf hinweisen.

Fazit: Weitreichende Änderungen in der Datenschutzaufsicht

Die vorgeschlagene Neuregelung des § 9 BDSG im Referentenentwurf des GDNG signalisiert einen bedeutsamen Wandel in der Datenschutzaufsicht im Gesundheitswesen. Die Zentralisierung der Zuständigkeit beim BfDI könnte dazu beitragen, eine einheitlichere Datenschutzpraxis zu etablieren. Allerdings stellen sich auch Fragen bezüglich der praktischen Umsetzbarkeit und der Fragmentierung der Aufsicht innerhalb von Konzernen und Unternehmensgruppen. Die geplante Ausweitung der Zuständigkeit auf Stellen, die gesundheitsbezogene Sozialdaten verarbeiten, erweitert den Einflussbereich des BfDI erheblich. Die genauen Auswirkungen und Implikationen dieser Änderungen auf die Datenschutzaufsicht im Gesundheitswesen bleiben abzuwarten.

Wie gegen illegale Müllablagerung vorgehen?

17. August 2023

Nach der Ansicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) nicht mittels Videoüberwachung.  Zu diesem Ergebnis kam der LfDI RLP im Rahmen einer Pressemitteilung, die der Datenschützer vergangene Woche auf der offiziellen Homepage der Behörde veröffentlichte.

Klarstellung von Zeitungsberichten

Anlass zu dieser Pressemitteilung gab ein Zeitungsbericht der Allgemeinen Zeitung Mainz. Unter der Überschrift „Waldalgesheim überwacht Bürger beim Müllentsorgen“ (nicht mehr aufrufbar) berichtete die Zeitung darüber, dass die Gemeinde der Stadt Waldalgesheim Kameras an zwei Glascontainern anbrachte. Ziel der Gemeinde sei es gewesen die illegale Müllentsorgung an den Glascontainern zu unterbinden und Personen, die ihren Müll dort entsorgt hätte, identifizieren zu können. Außerdem habe die Gemeinde herausfinden wollen, durch welche Personen der Bereich um die Container beschädigt und verunreinigt worden wäre.

Aus Sicht des LfDI RLP könne der Eindruck entstehen, dass die Landesdatenschutzbehörde den Einsatz der Videokameras genehmigt hätte. Dies sei gerade nicht der Fall. Die Datenschutzbehörde eröffnete gegen die Gemeinde nun ein förmliches Verfahren, um mögliche Datenschutzverstöße zu untersuchen. Der Datenschutzbeauftragte des Landes Rheinland-Pfalz stellte ferner klar, dass die Videoüberwachung von Glascontainern und anderen Müllablagerungsstätten durch Kommunen grundsätzlich nicht zulässig sei.

Wichtige Orientierungshilfen

Außerdem äußerte sich der Datenschutzbeauftragte auch klarstellend zur, im Zeitungsartikel zitierten „Orientierungshilfe für die Videoüberwachung in Kommunen“. Demnach sei die Datenschutzkonformität der Videoüberwachung immer eine Einzelfallentscheidung.

Für Nicht-Öffentliche Stellen hatte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) 2020 eine Orientierungshilfe zur Videoüberwachung veröffentlicht. In dieser behandelte die DSK alle für eine Rechtmäßigkeit der Videoüberwachung einzuhaltenden Voraussetzungen. Dabei ist zu beachten, dass aus Sicht der DSK die Videoüberwachung regelmäßig ausschließlich auf der Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen könne. Wolle ein Verantwortlicher beispielsweise ein Gebäude überwachen, müsse er Tatsachen nachweisen können, aus denen sich eine konkrete Gefahrenlage ergeben würden. Dann könne die Kameraüberwachung ein adäquates Mittel zur Prävention und Repression vor dem Eintritt eines Schadens am Gebäude sein. Außerdem müsse jeder Verantwortliche im Rahmen der Kameraüberwachung die nach Art. 12 ff. DSGVO  bestehenden Informationspflichten beachten. Hierfür könne man ein Hinweisschild verwenden, welches aber nicht alle nach Art. 13 DSGVO erforderlichen Informationen beinhalten müsse. Stattdessen könnten auf einem Informationsblatt die vollständigen Informationen bereitgestellt werden.

Der Blick in die Orientierungshilfe kann sich lohnen, um die Kameraüberwachung, wenn sie notwendig ist, rechtssicher zu gestalten und um alle Anforderungen an die Datenschutzkonformität einzuhalten.

Rechtsschutzbedürfnis und Missbrauch bei Geldangeboten für Verzicht auf Beschwerde

9. August 2023

Entscheidung der österreichischen Datenschutzbehörde zur Anwendung von Art. 57 Abs. 4 DSGVO

In einer Entscheidung Anfang 2023 hat die österreichische Datenschutzbehörde (DSB) klare Kriterien für die Anwendung von Art. 57 Abs. 4 DSGVO hinsichtlich offensichtlich unbegründeter oder exzessiver Anfragen festgelegt. Die Angelegenheit dreht sich um einen Beschwerdeführer, der dem Verantwortlichen eine Zahlung von 2.900 EUR für den Verzicht auf eine Beschwerde bei der DSB sowie auf eine gerichtliche Verfolgung angeboten hatte. In diesem Kontext befasst sich der vorliegende Artikel mit den Hintergründen der Entscheidung, ihrer Bedeutung und möglichen Implikationen für die Anwendung von Betroffenenrechten gemäß Art. 15 DSGVO.

Sachverhalt und DSB-Entscheidung

Der Beschwerdeführer bot an, gegen eine Zahlung von 2.900 EUR auf eine Beschwerde bei der DSB sowie auf eine gerichtliche Verfolgung zu verzichten. In der weiteren Entwicklung des Streitfalls reichte der Betroffene dennoch eine Beschwerde bei der Datenschutzbehörde ein. Die DSB lehnte die Beschwerde unter Berufung auf Art. 57 Abs. 4 DSGVO ab und qualifizierte das Verhalten des Beschwerdeführers als rechtsmissbräuchlich. Die Behörde argumentierte, dass kein tatsächliches Rechtsschutzbedürfnis beim Beschwerdeführer bestehe und die Beschwerde somit als unredlich einzustufen sei.

Die Entscheidung der DSB betont die Parallele zwischen Art. 12 Abs. 5 und Art. 57 Abs. 4 DSGVO, in denen beide Regelungen die Möglichkeit vorsehen, bei offenkundig unbegründeten oder exzessiven Anfragen Maßnahmen zu ergreifen. Hierbei wird insbesondere auf den EDSA verwiesen, der in seinen Leitlinien zu Art. 15 DSGVO eine ähnliche Situation als exzessiven Antrag beschreibt. Die DSB stellte jedoch klar, dass sie den Fall nicht als exzessiv, sondern als offensichtlich unbegründet einstufte.

Übertragung auf Betroffenenrechte

Die Entscheidung wirft eine interessante Frage auf: Können Verantwortliche bei Angeboten zur Unterlassung von Beschwerden gegen Geldzahlungen auf Art. 12 Abs. 5 DSGVO zurückgreifen? Beide Artikel setzen die gleichen Voraussetzungen voraus: ein offenkundig unbegründeter oder exzessiver Antrag. Während es unwahrscheinlich ist, dass Betroffene direkt Zahlungen für den Verzicht auf Rechtsverfolgung anbieten, könnte dies in Situationen auftreten, in denen der Verantwortliche die Fristen zur Erfüllung der Auskunftsansprüche nicht einhält.

In der Praxis können Verantwortliche nun auf die österreichische Entscheidung verweisen, um das Fehlen eines echten Rechtsschutzbedürfnisses bei einer Zahlung für den Verzicht auf Beschwerden oder Klagen zu betonen. Es ist jedoch ratsam, vorsichtig zu sein, insbesondere wenn die Erfüllung der Betroffenenrechte nach Ansicht des Betroffenen nicht korrekt erfolgt ist, bevor solch ein “Angebot” überhaupt gemacht wird.

Fazit

Die Entscheidung der österreichischen Datenschutzbehörde bietet wertvolle Klarstellungen zur Anwendung von Art. 57 Abs. 4 DSGVO im Zusammenhang mit offensichtlich unbegründeten Anfragen und rechtsmissbräuchlichem Verhalten von Beschwerdeführern. Dieser Fall verdeutlicht, dass es in der Praxis wichtig ist, das Rechtsschutzbedürfnis bei der Geltendmachung von Betroffenenrechten zu berücksichtigen. Verantwortliche könnten auf diese Entscheidung verweisen, um den Missbrauch von Betroffenenrechten zu bekämpfen, insbesondere in Fällen, in denen finanzielle Anreize für den Verzicht auf Beschwerden angeboten werden. Die Anwendung von Art. 57 Abs. 4 DSGVO könnte somit als zusätzliches Instrument dienen, um die Integrität und den ernsthaften Charakter von Datenschutzbeschwerden zu wahren. Es bleibt abzuwarten, wie andere Datenschutzbehörden auf internationaler Ebene auf solche Angebote reagieren werden und ob ähnliche Entscheidungen ergehen werden.

 

Bußgeld wegen Negativliste über Angestellte

7. August 2023

Berliner Datenschutzbeauftragte verhängt Sanktionen

Ein Unternehmen steht in der Kritik, da es heimlich sensible Informationen über ihre Angestellten gesammelt hat. Die Berliner Datenschutzbeauftragte, Meike Kamp, hat dieses Vorgehen als rechtswidrig erachtet und Sanktionen verhängt.

Wie bereits im Mai 2021 bekannt wurde, sammelte das Unternehmen während der Probezeit sensible Daten über seine Angestellten, darunter Informationen darüber, ob sich Mitarbeiterinnen und Mitarbeiter einer Psychotherapie unterzogen oder Interesse an der Gründung eines Betriebsrats zeigten. Diese Informationen wurden auf einer sogenannten Negativliste erfasst, die dazu diente, die Angestellten zu bewerten und darüber zu entscheiden, wem nach Ablauf der Probezeit gekündigt wird.

Verstöße gegen die DSGVO

Die Berliner Datenschutzbeauftragte hat in ihrer Untersuchung massive Verstöße gegen den Datenschutz festgestellt. Eine Vorgesetzte hatte die sensiblen Daten ohne Wissen der betroffenen Angestellten gesammelt, um diese bei der Entscheidung über eine Weiterbeschäftigung zu berücksichtigen. Insbesondere Angestellte, die eine gewerkschaftliche Organisation unterstützen oder ein erhöhtes Risiko für krankheitsbedingte Ausfälle aufwiesen, wurden als “kritisch” oder sogar “sehr kritisch” eingestuft.

Aufgrund dieser schwerwiegenden Verstöße hat die Berliner Datenschutzbeauftragte Bußgelder in Höhe von insgesamt 215.000 Euro gegen das Unternehmen verhängt. Die Negativliste wurde offenbar im März 2021 auf Anweisung der Geschäftsführung erstellt. Als eine betroffene Angestellte die Presse und die Datenschutzbeauftragte informierte, reagierte das Unternehmen und meldete sich noch am gleichen Tag bei der Behörde. Die Zusammenarbeit des Unternehmens mit den Behörden wurde als mildernder Umstand bei der Festsetzung der Bußgelder berücksichtigt.

Sensible Daten besonders schützenswert

Die Datenschutzbeauftragte betont, dass die Verarbeitung solch sensibler Daten stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen muss. Insbesondere Gesundheitsdaten zählen zu den besonders sensiblen Informationen und dürfen nur in engen Grenzen verarbeitet werden. Die DSGVO enthält in Art. 9 eine Liste mit “besonderen Kategorien personenbezogener Daten”, zu denen auch Gesundheitsdaten und Informationen über die Gewerkschaftszugehörigkeit zählen. Diese Daten dürfen nur in Ausnahmefällen und unter strengen Voraussetzungen gesammelt und verarbeitet werden, um die Rechte und die Privatsphäre der betroffenen Personen zu schützen.

Fazit

Die Verhängung dieser Bußgelder sendet ein wichtiges Signal an Unternehmen und Arbeitgeber, dass der Datenschutz eine hohe Priorität haben muss und Verstöße gegen die Datenschutzvorschriften konsequent geahndet werden. Angestellte haben ein Recht auf den Schutz ihrer persönlichen Daten, insbesondere wenn es um sensible Informationen wie den Gesundheitszustand geht.

Die Meta-Entscheidung des EuGH

2. August 2023

Am 4. Juli 2023 fällte der Europäische Gerichtshof (EuGH) sein Urteil bezüglich der Meta-Entscheidung des Bundeskartellamts. Der EuGH scheint  eine bislang offene juristische Frage geklärt zu haben: Kann eine alternative rechtliche Grundlage für die Datenverarbeitung herangezogen werden, wenn die ursprünglich angegebene Grundlage unwirksam ist, etwa wenn eine Einwilligung rechtswidrig erfolgt ist?

Das Verfahren

Der Hintergrund des Verfahrens liegt in der Praxis von Meta Platforms Ireland und Facebook Deutschland (Meta), Daten seiner Nutzer nicht nur auf Facebook selbst, sondern auch über seine Tochterfirmen und über Schnittstellen auf anderen Webseiten zu sammeln und diese zu detaillierten Nutzerprofilen zu verknüpfen. Das Bundeskartellamt (BKartA) sah darin einen Missbrauch der marktbeherrschenden Stellung von Meta. Deswegen erließ das Bundeskartellamt erließ 2019 einen Beschluss gegen Meta, der Gegenstand des vorliegenden Gerichtsverfahrens war. In diesem Beschluss untersagte das Bundeskartellamt Meta, sich durch Zustimmung zu den Allgemeinen Nutzungsbedingungen zur Nutzung von Facebook auch die Erhebung und Verarbeitung von sogenannten “Off-Facebook-Daten” genehmigen zu lassen.

Off-Facebook-Daten

Bei den Off-Facebook-Daten handelt es sich um Informationen, die Meta außerhalb von Facebook, Instagram oder WhatsApp sammelt. Diese Daten werden durch das Werbenetzwerk von Meta auf zahlreichen Webseiten und Apps sowie den zum Meta-Konzern gehörenden Online-Diensten erfasst. Mithilfe dieser Off-Facebook-Daten kann Meta das Konsumverhalten, die Interessen, die Kaufkraft und die Lebenssituation der Nutzer in Profilen erfassen. Auf dieser Grundlage können gezielte und personalisierte Werbenachrichten an die Facebook-Nutzer gesendet werden.

BKartA rügt Metas Nutzungsbedingungen

Die Nutzungsbedingungen müssten vielmehr klarstellen, dass diese Daten nur mit ausdrücklicher Einwilligung verarbeitet und mit dem Facebook-Nutzerkonto verknüpft werden. Darüber hinaus dürfe die Einwilligung nicht zur Voraussetzung für die Nutzung des sozialen Netzwerkes gemacht werden. Das Bundeskartellamt war der Ansicht, dass durch diese Gestaltung der Nutzungsbedingungen, die nicht den Marktverhaltensregeln und Werten der DSGVO entspricht, Meta seine marktbeherrschende Stellung missbrauche. Kurz darauf, noch im Jahr 2019, änderte Meta seine eigenen Nutzungsbedingungen dahingehend, dass die Nutzer bei der Nutzung von Facebook-Produkten in die Verarbeitung von Off-Facebook-Daten einwilligen müssen, da ansonsten für die Services keine Kosten entstehen würden.

Gegen diesen Beschluss des Bundeskartellamts legte Meta gerichtlichen Widerspruch ein. Im Laufe dieses Verfahrens wandte sich das Oberlandesgericht (OLG) Düsseldorf in einem sogenannten Vorlageverfahren an den EuGH. Bei einem Vorlageverfahren entscheidet der EuGH nicht als höhere Instanz über den jeweiligen Rechtsstreit, sondern beantwortet spezifische Fragen zur Auslegung des Europäischen Rechts, wie beispielsweise der DSGVO.

Die Vorlage an den EuGH

Der EuGH hat ausschließlich zu den spezifischen Fragen des vorlegenden Gerichts Stellung genommen, und die Antworten des EuGH sind für das OLG Düsseldorf bindend, wenn es seine eigene Entscheidung in der Sache trifft. Letztendlich liegt die endgültige Entscheidung in der Zuständigkeit des OLG Düsseldorf.

Das Urteil hat auch erhebliche Auswirkungen auf zukünftige Bewertungen im Bereich des Datenschutzes. Die Tatsache, dass ein soziales Netzwerk kostenlos ist, bedeutet nicht automatisch, dass die Daten des Nutzers ohne dessen Einwilligung zur Personalisierung von Werbung verarbeitet werden können. Daher kann das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO keine rechtliche Grundlage dafür sein. Jedoch hat der EuGH wiederholt betont, dass Marketing weiterhin auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, sofern die Nutzungsbedingungen von Meta transparent und für den Nutzer verständlich geändert werden. Somit wird auch in Zukunft Werbung ohne Einwilligung möglich sein.

Das Urteil scheint auch eine bisher ungeklärte Frage zu beantworten, nämlich ob alternative Rechtsgrundlagen aus Art. 6 Abs. 1 lit. b-f DSGVO überhaupt herangezogen werden können, wenn eine zuvor erteilte Einwilligung als rechtswidrig erachtet wird. Der EuGH betont jedoch, dass solche alternativen Rechtsgrundlagen in solchen Fällen eng auszulegen sind.

BfDI Professor Ulrich Kelber äußerte sich dazu wie folgt: “Ich bin erfreut darüber, dass der EuGH anerkennt, wie wichtig die Einhaltung von Datenschutzanforderungen für den Wettbewerb ist und dass Kartellbehörden befugt sind, die Vereinbarkeit des Verhaltens von Unternehmen mit dem Datenschutzrecht zu überprüfen. Mein Glückwunsch geht an das Bundeskartellamt für diesen Erfolg.”

Zusammenarbeit zwischen Datenschutz- und Kartellbehörden

Der EuGH klärte auch, dass Verstöße gegen die DSGVO vorrangig von Datenschutzaufsichtsbehörden festgestellt werden sollten. Das bedeutet, dass das Bundeskartellamt die zuständigen Datenschutzaufsichtsbehörden in datenschutzrechtliche Fragen einbeziehen muss, bevor es eigene Entscheidungen trifft.

Hierzu kommentierte der BfDI: “Kartell- und Datenschutzaufsichtsbehörden können datengetriebene Geschäftsmodelle nur erfolgreich regulieren, wenn sie eng zusammenarbeiten. Das bestätigt die Praxis in Deutschland, wo Bundeskartellamt und der Bundesdatenschutzbeauftragte entsprechend kooperieren. Gemeinsam mit unseren europäischen Kolleginnen und Kollegen werde ich die Entscheidung in der Task Force des Europäischen Datenschutzausschusses zum Zusammenspiel von Datenschutz, Wettbewerb und Verbraucherschutz auswerten und Best Practices für eine effiziente Zusammenarbeit festlegen, damit Bürgerinnen und Bürger besser vor rechtswidrigen und missbräuchlichen Datenverarbeitungen geschützt werden. Die Erfahrungen der Zusammenarbeit in Deutschland sind dafür eine gute Grundlage.”

Fazit

Zusammenfassend lässt sich festhalten, dass Onlinemarketing auch in Zukunft weiterhin möglich sein wird. Obwohl diese Entscheidung sich speziell auf den Einzelfall Meta konzentriert hat, enthält sie dennoch neue und wertvolle Erkenntnisse, die auch für die Bewertung anderer Social Media Dienste relevant sein könnten, die keine marktbeherrschende Position innehaben und weniger Daten sammeln oder andere Techniken verwenden.

CNIL: 40 Mil. EUR Bußgeld

4. Juli 2023

Vor rund zwei Wochen veröffentlichte die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL), dass sie eine Geldstrafe in Höhe von 40 Mil. EUR verhängt habe. Adressat der Strafe sei „Criteo“, ein Unternehmen, dass Softwarelösungen für Werbeanzeigen im Bereich des Online-Marketings anbiete.

Hintergründe

Der Grund für das Bußgeld sei gewesen, dass Criteo nicht überprüft habe, ob Personen, deren Daten es verarbeitet habe, eine Einwilligung erteilt hätten. Anlass für die Untersuchungen der Behörde bei Criteo seien Beschwerden der Organisationen Privacy International und „None of your business“ gewesen,

Das Unternehmen Criteo habe sich auf das sog. „Retargeting“ spezialisiert. Dies sei eine bestimmte Methode des Online-Marketings. Auf Webseiten von Partnern setzt Criteo eigene Cookies ein. Diese könnten Navigationsdaten der Nutzers tracken. Über die gesammelten Daten ließen sich anschließend personalisierte Werbeanzeigen schalten. Insbesondere könne dem Nutzer Werbeanzeigen zu Produkten angezeigt werden, für die er sich wahrscheinlich interessieren würde.

Verstöße

CNIL stellte zunächst fest, dass bei der Verwendung von Cookies zu Werbezwecke eine Einwilligung der betroffenen Person eingeholt werden müsse. Wenn ein Unternehmen auf seiner Webseite die Cookies von Criteo einsetze, müsse es eine solche Einwilligung einholen. Criteo müsse sicherstellen, dass die entsprechenden Unternehmen diese Einwilligung tatsächlich einholten und dies dokumentieren. Die Pflicht zur Einholung einer Einwilligung sei allerdings nie Vertragsbestandteil im Rahmen der Geschäftsbeziehungen zu Criteo. Damit verstoße das Marketingunternehmen gegen die Datenschutz- Grundverordnung (DSGVO).

Außerdem verstoße Criteo gegen seine Informationspflichten. Das Unternehmen informiere nicht vollständig über die Zwecke der Datenverarbeitungsvorgänge.

Zusätzlich hätten betroffene Person nicht hinreichend Gebrauch von ihrem Recht auf Widerruf der Einwilligung und Löschung personenbezogener Daten nach Art. 7 Abs. 3 und Art. 17 Abs. 1 DSGVO machen können. Den betroffenen Person seien lediglich keine Werbeanzeigen mehr gezeigt worden. Allerdings habe das Unternehmen Kennungsdaten der Nutzer weiter behalten.

Abschließend stellte die CNIL fest, dass Criteo mit seinen Geschäftspartnern keine Vereinbarung über eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO abgeschlossen habe.

Bußgeld

Die CNIL bewertete bei der Bestimmungen der Höhe des Bußgeldes negativ, dass das Unternehmen über die Daten einer sehr großen Personenanzahl verfüge. Außerdem sei, laut CNIL negativ in die Bewertung mit eingeflossen, dass das Unternehmen sich ausschließlich darauf spezialisiert habe, für eine bestimmte Zielgruppe relevante Werbung anzuzeigen. Demnach sei es das Geschäftsmodell des Unternehmens gerade personenbezogene Daten zu sammeln und zu verarbeiten.

Fazit

Alle angesprochenen Kritikpunkte konnte Criteo nach den Untersuchungen der CNIL einstellen. Dabei ist auffällig, dass das Thema Cookies weiterhin Grund für Datenschutzverstöße ist (hier berichten wir über weitere Cookie-Verstöße).

EDSA veröffentlicht Musterformular für Beschwerden

26. Juni 2023

Vergangene Woche veröffentlichte der Europäische Datenschutzausschuss (EDSA) ein Musterformular, mit dem Beschwerden nach Art. 77 DSGVO eingereicht werden können. Ziel des Formulars sei es, das Einreichen einer Beschwerde bei den Aufsichtsbehörden für die Behörden selbst und für Individuen zu erleichtern.

Inhalt des Formulares

Nach Art. 77 DSGVO hat grundsätzlich jede betroffene Person die Möglichkeit eine Beschwerde einzureichen, wenn sie der Ansicht ist, dass eine Datenverarbeitung nicht DSGVO-konform ist. Dabei ist Adressat dieser Beschwerde eine Aufsichtsbehörde.

Das Formular bietet für betroffene Personen die Möglichkeit auszuwählen, bei welcher Datenschutzbehörde sie die Beschwerde einreichen möchte. Dabei kann sie zwischen der Behörde des Wohnsitzes, des Arbeitsortes, des Ortes, an dem der Verstoß begangen wurde oder an der sich der betroffene Verantwortliche befindet, wählen.

Das Dokument richtet sich ausschließlich an betroffene Personen. Somit sollen unbeteiligte Dritte das Formular nicht als allgemeinen Warnhinweis auf mögliche Verstöße einsetzen können. Es ist allerdings möglich, dass ein Vertreter oder eine Einrichtung für die betroffene Person handelt. Außerdem können Einrichtungen oder Organisationen auf eigene Initiative hin tätig werden. Dabei muss der Beschwerdeführer immer den Grund seiner Beschwerde angeben und Ziel, dass er anstrebt. Dazu zählt beispielsweise der Wunsch, dass ein Verantwortlicher unrechtmäßig verarbeitete personenbezogene Daten löscht.

Die nationalen Aufsichtsbehörden können das Formular künftig auf freiwilliger Basis nutzen. Dabei können sie das Muster entsprechend nationaler Regelungen anpassen.

 Fazit

Die Vorsitzende des EDSA, Ana Tulu äußerte sich zu dem Formular wie folgt:

 „Es wird den grenzüberschreitenden Austausch von Informationen über Beschwerden zwischen den Datenschutzbehörden erleichtern und den Datenschutzbehörden helfen, Zeit zu sparen und grenzüberschreitende Fälle effizienter zu lösen.”

1 2 3 4 34