Kategorie: Aufsichtsbehördliche Maßnahmen

Französisches Gericht bestätigt Millionen-Strafe gegen Google

31. Januar 2022

Das oberste französische Verwaltungsgericht hat eine Strafe in Höhe von 100 Millionen Euro gegen Google bestätigt, indem es eine Beschwerde von Google gegen den Bußgeld-Bescheid der französischen Datenschutzbehörde CNIL abgewiesen hat.

Im Dezember 2020 hat die CNIL einen Bußgeld-Bescheid in entsprechender Höhe wegen zweifelhafter Cookie-Einstellungen und dem Cookie-Einsatz ohne die notwendige Einwilligung der Nutzer gegen Google erlassen. Google setzte sieben Cookies automatisch, sobald ein Nutzer auf die Website gelangte. Vier davon dienten Tracking und Werbung. Der Conseil d’Etat hat diese Verstöße nun bestätigt.

Er hat sich auch zu weiteren Themen geäußert, auf die Google seine Beschwerde gestützt hat. So seien die verhängten Geldbußen in Anbetracht der hohen Gewinne, die Google mit personalisierter Online-Werbung erziele, und der Marktmacht in Frankreich von über 90 % Marktanteil nicht unverhältnismäßig.

Die CNIL hat sich nicht auf die DSGVO gestützt, sondern das Bußgeld auf Grundlage des Art. 82 des französischen Gesetzes über Informatik und Freiheit gestützt, mit dem der nationale Gesetzgeber die e-Privacy-Richtlinie aus 2002 umgesetzt hat. Der Conseil d’Etat hat bestätigt, dass für Cookie-Einstellungen die nationalen Vorgaben und nicht die DSGVO primär anwendbar sei. Daher sah sich das Gericht nicht verpflichtet, eine Vorabentscheidung des EuGH einzuholen.

Corona-Testseite des EU-Parlaments nicht datenschutzkonform

11. Januar 2022

Das Europäische Parlament verstößt mit seiner Corona-Testseite gegen das europäische Datenschutzrecht. Diese Entscheidung wurde vom Europäischen Datenschutzbeauftragten Wojciech Wiewiorowski (EDSB) bestätigt.

Der Entscheidung vorausgegangen war eine Beschwerde der Datenschutzorganisation „noyb (None of Your Business)“ um den österreichischen Datenschutz-Aktivisten Max Schrems. Diese wurde im Namen von sechs Mitgliedern des Europäischen Parlaments eingereicht. Die Gründe für die Beschwerde waren unter anderem ein irreführender Cookie-Banner und die illegale Übermittlung von Daten in die USA.

Insbesondere zu dem letzten Beschwerdegrund stellte der EDSB fest, dass das Parlament keine Nachweise erbringe, welche die Gewährleistung eines dem europäischen Recht äquivalenten Datenschutzstandard im Rahmen der Übermittlung an die USA zusichern konnten. Auch stellte der EDSB fest, dass die Differenzen der Cookie-Banner, die sich je nach gewählter Sprache ergeben, gegen das geltende Datenschutzrecht verstoßen.

Die Beschwerdegründe stellen einen Verstoß gegen die „DSGVO für EU-Institutionen“ fest (Verordnung (EU) 2018/1725) die nur für EU-Einrichtungen gilt und der DSGVO nachempfunden ist. Der EDSB erteilte aufgrund dieser Verstöße eine Unterlassungsanordnung mit einer Frist von einem Monat.

Klarnas neue „Super-App“ in der Kritik

6. Januar 2022

Der Online-Bezahldienstleister Klarna sieht sich einiger Kritik bezüglich des Datenschutzes in seiner „Super-App“ ausgesetzt. In den vergangenen Wochen sind bei der Berliner Datenschutz-Aufsichtsbehörde einige Beschwerden von Nutzerinnen und Nutzern eingegangen.

Klarnas noch recht neue App vereint die bereits bekannte Zahlmöglichkeit direkt mit dem Online-Shopping. Viele Händler wurden bereits in die App integriert, sodass eine separate Anmeldung bei den einzelnen Online-Shops nicht mehr notwendig ist. Sogar der Versand und das Paket-Tracking sind in der App möglich. Dadurch erhält Klarna neben den Bezahldaten auch alle anderen Informationen zu Bestellungen und Kaufverhalten der Nutzer, anhand derer personalisierte Angebote und Werbung generiert und an die Nutzerinnen und Nutzer ausgespielt werden können.

Rund die Hälfte der Beschwerden bezieht sich auf die Rechte der Nutzerinnen und Nutzer auf Auskunft oder Löschung ihrer Daten. Ein weiteres großes Problem ist die Datenschutzerklärung, die etwa 14.000 Wörter lang ist. Art. 12 DSGVO verlangt jedoch, dass die Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache“ zur Verfügung gestellt werden. Auch inhaltlich könne die Datenschutzerklärung nicht überzeugen, sondern sei vielmehr eine „grandiose Nebelmaschine“.

Clearview darf Gesichtsbilder von französischen Staatsbürgern nicht mehr verarbeiten

23. Dezember 2021

Neue Entwicklung in Sachen des kontroversen Dienstes Clearview: Wie berichtet, hatte die Gesichtserkennungsfirma Clearview bereits erhebliche Kritik für ihre Unvereinbarkeit mit datenschutzrechtlichen Grundsätzen insbesondere der DSGVO geerntet. Bereits im letzten Jahr wurde beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Casper eine Beschwerde gegen Clearview eingereicht; das Erstellen von biometrischen Profilen von EU-Bürgern wure vorläufig als rechtswidrig eingestuft und Clearview AI angewiesen, das Profil des Beschwerdeführers zu löschen. Auch in Kanada, Australien und dem Vereinigten Königreich (das die europäische DSGVO vorerst im nationalen Recht beibehält) wurde gegen Clearview vorgegangen.

Nun wird mit der französischen Datenschutzbehörde CNIL die erste europäische Behörde tätig und verlangt von dem Unternehmen, „die Sammlung und Nutzung von Daten von Personen einzustellen, die sich auf französischem Hoheitsgebiet befinden“.

Das umstrittene US-amerikanische Unternehmen Clearview trägt Fotos aus aus einer Vielzahl von sozialen Netzwerken, Webseiten und Videos zusammen, um auf diese Weise eine Datenbank mit Gesichtern mit weltweit über zehn Milliarden Bilder aufzubauen. Die Datenbank ist vor allem für Strafverfolger interessant, da in der App eine Person mithilfe eines Fotos gesucht werden kann. Währenddessen ahnt keiner der Betroffenen davon, dass das Bild vom letzten Urlaub potenziell „für polizeiliche Zwecke genutzt werden kann“.

In der Mitteilung über die Feststellung des Verstoßes fordert die CNIL Clearview auf, die unrechtmäßige Verarbeitung einzustellen und die Nutzerdaten innerhalb von zwei Monaten zu löschen. Die französische CNIL stellte fest, dass Clearview zwei Verstöße gegen die Datenschutz-Grundverordnung begangen hat: Die französische Datenschutzbehörde sieht für die kontroverse Praxis des Fotoabgleichs keine Rechtsgrundlage, insbesondere werde keine Einwilligung der Betroffenen eingeholt. Darin liege ein Verstoß gegen Artikel 6 (Rechtmäßigkeit der Verarbeitung). Zudem verstoße Clearview gegen eine Reihe von Datenzugangsrechten gemäß Artikel 12, 15 und 17.

Das US-Unternehmen hat keinen Sitz in der EU, was bedeutet, dass seine Geschäfte in der gesamten EU von allen Datenschutzbehörden der EU überwacht werden können. Die Anordnung der CNIL gilt zunächst nur für Daten, die das Unternehmen über Personen aus dem französischen Hoheitsgebiet besitzt. Weitere derartige Anordnungen anderer EU-Behörden werden jedoch folgen und sind nur eine Frage der Zeit.

Es ist allerdings auch möglich, selbst tätig zu werden: Clearview hat hierzu auf seiner Website zwei Formulare für EU-Bürger eingerichtet. Mit der „Data Access Form“ kann man feststellen, ob Clearview Daten über die eigene Person gespeichert hat. Mit dem „Data Processing Objection Form“ kann man das Unternehmen daran hindern, Fotos der eigenen Person zu verarbeiten.

noyb zeigt irische Datenschutzkommission an

30. November 2021

Der Verein des österreichischen Juristen und Datenschützers Maximilian Schrems noyb (none of your business) hat die irische Datenschutzkommission (DPC) bei der österreichischen Wirtschafts- und Korruptionsstaatsanwaltschaft angezeigt. Dabei wirft man der Behörde intransparentes Verhalten vor. In dem Verfahren bei der irischen Behörde geht es um die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) durch Facebook.

Non-Disclosure-Agreement vorgelegt

Zuvor hatte die Behörde noyb aufgefordert, innerhalb eines Arbeitstages eine Verschwiegenheitsvereinbarung (Non-Disclosure-Agreement, NDA) zu unterzeichnen. Ohne eine solche Geheimhaltungsvereinbarung zugunsten der DPC und Facebook würde die DPC die Rechte der Beschwerdeführerin noyb in einem laufenden Verfahren aussetzen.

Hintergrund

Maximilian Schrems führte in der Vergangenheit schon einige erfolgreiche Verfahren gegen den Social-Media Konzern. In dem eigentlichen Rechtsstreit (wir berichteten) geht es unter anderem um die Frage, ob Nutzer:innen tatsächlich eine Einwilligung oder einen Vertrag mit Facebook schließen, da Facebook als angebliche „Leistung“ Werbung anbiete. Laut Schrems wären damit die Vorschriften, die vorgeben, wie eine eindeutige Zustimmung aussehen müsse (und auch jederzeit widerrufen werden könne), hinfällig. Dies sei eine rechtswidrige Umgehung der DSGVO.

Fehlende Rechtsgrundlage und Verzögerungen

Die DPC lässt sich mit diesem und anderen Verfahren gegen Techkonzerne nach Einschätzung von Schrems zu viel Zeit. Auch der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber hatte seiner irischen Kollegin Helen Dixon vorgeworfen, die Verfahren zu verschleppen und ihr Zögern mit „falschen Aussagen“ zu verschleiern.

Aufgrund Facebooks Hauptsitz in Irland wurde die Beschwerde an die irische Datenschutzkommission weitergeleitet. Nach über drei Jahren erließ sie schließlich einen Entscheidungsentwurf. Nachdem noyb diese Entscheidung veröffentlicht hatte, forderte die DPC noyb auf, die Entscheidung der Datenschutzbehörde sowie noyb’s eigene Stellungnahmen zu löschen. Dies geschah ohne die Nennung einer Rechtsgrundlage, so der Datenschutzverein. Darüber hinaus sei die DPC außerhalb Irlands nicht zuständig. Aufgrund des Kooperationsmechanismus der DSGVO müssten die Dokumente über die österreichische Datenschutzbehörde zugestellt werden und unterlägen somit dem geltenden österreichischen Recht (§ 17 AVG). Wie die österreichische Datenschutzbehörde bestätigte, unterliegen derartige Verfahrensdokumente nicht der Geheimhaltung. Zum anderen gebe es auch nach irischem Recht keine gesetzliche Verpflichtung für die Parteien, Dokumente vertraulich zu behandeln, so noyb.

Maximilian Schrems: „Die irische Behörde hat die Verpflichtung uns zu hören, aber sie hat uns nun praktisch erpresst: Prozessrechte wurden davon abhängig gemacht, dass wir eine Verschwiegenheitsvereinbarung zu Gunsten der Behörde und Facebook unterzeichnen.“

Zeichen stehen auf Konfrontation

Für die Adventszeit hatte Schrems öffentliche Lesungen aus Dokumenten von Facebook und der irischen Datenschutzbehörde angekündigt. Inzwischen meldete sich auch der Datenschützer Johnny Ryan vom Irish Council for Civil Liberties zu Wort. Auch er habe in seiner Beschwerde gegen Google eine Verschwiegenheitserklärung von der irischen Behörde vorgelegt bekommen.

Die irische Behörde reagierte bisher nicht öffentlich auf die Vorwürfe.

Versandapotheke darf das Geburtsdatum nicht immer abfragen

11. November 2021

Das Verwaltungsgericht Hannover hat sich mit der Frage befasst, welche Daten eine Versandapotheke im Rahmen des Bestellvorgangs erheben darf (Verwaltungsgericht Hannover, Urteil vom 09. November 2021, Az.: 10 A 502/19). Den Stein ins Rollen gebracht hat die Landesbeauftragte für den Datenschutz in Niedersachsen. Sie war der Meinung, die Versandapotheke erhebe zu viele Daten im Bestellvorgang und untersagte ihr im Januar 2019, unabhängig vom bestellten Medikament das Geburtsdatum abzufragen. Auch die Angabe einer Anrede sei, jedenfalls bei nicht geschlechtsspezifisch zu dosierenden Medikamenten, nicht erforderlich.

Die Betreiberin der Versandapotheke berief sich auf ihre Beratungspflicht, die aus der Apothekenbetriebsordnung folge. Dies umfasse die geschlechtsspezifische und altersgerechte Beratung. Zudem müsse sie wissen, ob die Bestellerinnen und Besteller volljährig seien. Sie klagte gegen den behördlichen Bescheid, die Klage wurde gestern nach mündlicher Verhandlung vor dem VG Hannover abgewiesen.

Vor dem Verhandlungstermin hat die Versandapotheke die Option hinzugefügt, bei der Anrede keine Angaben zu machen, sodass darüber nicht verhandelt wurde. Die Verarbeitung des Geburtsdatums beim Erwerb rezeptfreier Produkte ist nach Ansicht des Gerichts für solche Produkte unzulässig, die keine altersgerechte Beratung erfordern. Dies gilt u.a. für Drogerieartikel. Um die Geschäftsfähigkeit der Kunden zu prüfen, reicht es, abzufragen, ob die bestellende Person volljährig ist oder nicht. Dies folgt aus dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO.

Die Versandapotheke hat die Möglichkeit, die Zulassung der Berufung zum OVG Lüneburg zu beantragen.

Eingabe von falscher E-Mail-Adresse stellt keinen Datenschutzverstoß dar

13. Oktober 2021

Die norwegische Datenschutzbehörde äußerte sich vor kurzem, dass ein Unternehmen, das eine Email mit persönlichen Daten an eine falsche Email Adresse geschickt hatte, keinen Datenschutzverstoß begangen hatte.

Was war passiert?

Der Betroffene hatte sich bei der norwegischen Behörde gemeldet, nachdem seine Kaufbestätigung und Rechnung an eine andere Email-Adresse als die seine versandt wurden. Die Email-Adresse des tatsächlichen Empfängers gehörte einem anderen Kunden des Unternehmens und war bis zum „@“ identisch mit der des Betroffenen. Der Betroffene ging deshalb von einer unternehmensinternen Verwechslung aus und machte diese als Verstoß gegen die DSGVO geltend. Weiterhin kontaktierte er wiederholt das Unternehmen, um die Verwechslung anzuzeigen und seine Daten korrigieren zu lassen.

Wie äußerte sich die Datenschutzbehörde?

Die Datenschutzbehörde geht davon aus, dass in dem ursprünglichen Versand der Email kein Verstoß gegen die DSGVO zu sehen ist. Vielmehr schien der Betroffene selbst seine Email-Adresse falsch eingegeben zu haben. Jedoch kritisierte die Behörde, dass das Unternehmen auf die wiederholten Versuche zur Kontaktaufnahme durch den Betroffenen nicht reagierte. So dauerte es mehr als 6 Monate, bis eine Korrektur der Email-Adresse vorgenommen wurde. Dies kritisierte die Behörde vor allem mit Blick auf die einmonatige Frist, die sich aus Art. 12 Abs. 3 DSGVO ergibt und sah hierin einen Verstoß gegen die DSGVO. Maßnahmen ergreift die Behörde keine, sie weist aber auf ihre Protokollierung solcher Fälle hin.

Hamburger Datenschutzbehörde verhängt Bußgeld gegen Vattenfall in Höhe von knapp 900.000 Euro

27. September 2021

Der (interimsweise) amtierende Hamburger Datenschutzbeauftragte (HmbBfDI) Ulrich Kühn verhängte gegen den Energiekonzern Vattenfall jüngst ein Bußgeld in Höhe von ca. 900.000 Euro. Grund dafür war, dass Vattenfall Kundendaten ohne legitimen Grund gespeichert hatte. Zwar dürfen Energieversorger grundsätzlich bis zu 10 Jahren Kundendaten speichern, dies allerdings nur wenn ein Grund vorliegt, wie etwa dass diese Daten dem Finanzamt vorgelegt werden müssen. Alternativ kann auch eine Einwilligung der Kunden zur Speicherung vorliegen, was hier allerdings nicht der Fall war.

Im vorliegenden Fall hatte Vattenfall die gespeicherten Daten genutzt, um sogenannte „Bonusshopper“ als Neukunden abzulehnen. Bonusshoppper sind Kunden, die durch häufiges Wechseln ihrer Strom- und Gasverträge Geld sparen und Boni sammeln. Um solche von vorneherein auszusortieren und keinen Vertrag mit Ihnen einzugehen, hatte Vattenfall zwischen August 2018 und Dezember 2019 die Daten von potenziellen Neukunden mit älteren Kundendaten verglichen. So sollte festgestellt werden, ob die potenziellen Neukunden, die eine Anfrage für einen bestimmten Vertrag gestellt hatten, bereits früher einen Vertrag mit Vattenfall abgeschlossen hatten und dann gewechselt waren. Betroffen waren davon rund 500.000 Kunden.

Die Kunden wussten über diese Praxis nicht Bescheid, sodass HmbBfDI Kühn davon ausging, dass Vattenfall seiner Informationspflicht nicht nachgekommen sei. Das nun verhängte Bußgeld hätte deutlich höher ausfallen können, allerdings kooperierte Vattenfall umfassend mit der Hamburger Datenschutzbehörde. In dieser Zusammenarbeit wurde von Vattenfall ein Verfahren aufgebaut, mit dem sie in Zukunft Daten abgleichen dürfen. Voraussetzung dafür ist dann aber eine Einwilligung der Betroffenen.

Aufsichtsbehörde: Faxversand ist unsicheres Kommunikationsmittel

17. September 2021

Der hessische Datenschutzbeauftragte hat sich in einer Stellungnahme gegen die Übermittlung personenbezogener Daten per Fax ausgesprochen. Damit schließt er sich der Meinung anderer Aufsichtsbehörden an, die das Fax ebenfalls als nicht mehr zeitgemäß und nicht datenschutzkonform einstufen.

Als Begründung führte er an, dass es mittlerweile eine Vielzahl an sichereren Methoden gebe, um Nachrichten auszutauschen wie z.B. der verschlüsselte E-Mail-Versand. Derzeit gleiche eine Übermittlung per Fax aber vielmehr einer unverschlüsselten E-Mail. Daran problematisch sei insbesondere, dass durch die Eingabe einer falschen Faxnummer personenbezogene Daten Unbefugten gegenüber offenbart werden. Aber auch bei der Eingabe einer korrekten Faxnummer könne nicht sichergestellt werden, wer das Fax am anderen Ende in Empfang nehme. Dadurch ergeben sich Risiken für die Rechte und Freiheiten natürlicher Personen, die mit der DSGVO nicht in Einklang stehen.

Die DSGVO schreibt bestimmte Anforderungen vor, die es bei der Verarbeitung personenbezogener Daten zu berücksichten gilt. Dazu gehört gem. Art. 5 Abs. 1 lit. f DSGVO auch, dass die Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit einschließlich dem Schutz vor unbefugter Verarbeitung und unbeabsichtigtem Verlust gewährleistet. Die Einhaltung geeigneter technischer und organisatorischer Maßnahmen (vgl. Art. 32 DSGVO) spiele dabei eine zentrale Rolle. Diese könnten bei dem Faxversand nicht eingehalten werden.

Daher empfiehlt der hessische Datenschutzberauftragte grundsätzlich keine personenbezogenen Daten per Fax zu übermitteln und auf digitale Lösungen umzustellen. Nur in Ausnahmefällen z.B. aufgrund einer besonderen Eilbedürftigkeit und wenn zusätzliche Schutzmaßnahmen bei den Versendern und Empfängern getroffen worden sind, sollte auf das Faxgerät zurückgegriffen werden. Personenbezogene Daten, die besonders sensibel sind und damit einen hohen Schutzbedarf aufweisen, sollten gar nicht per Fax übermittelt werden.

Auf alternative Kommunikationsmittel verweist der Landesdatenschutzbeauftragte in seiner Stellungnahme. Um mit gutem Vorbild voranzugehen, führt seine Behörde keine Faxnummern mehr auf der Homepage.

TikTok im Fokus der irischen Datenschutzbehörde

16. September 2021

Die umstrittene chinesische App steht schon lange wegen ihrer datenschutzrechtlichen Praktiken in der Kritik. In den USA erhielt TikTok bereits Millionenstrafen für die Datenschutzrechtsverletzungen von Kindern und Jugendlichen. Nun hat auch die irische Datenschutzbehörde DPC Ermittlungen in zwei Fällen aufgenommen. Zum einen gehe es um die Verarbeitung von persönlichen Daten von Kindern und Jugendlichen und zum anderen um die Weitergabe von Daten nach China, ließ die DPC verlautbaren.

Gegenstand der Untersuchungen

Im Fokus der Untersuchungen steht, ob TikTok die Privatsphäre seine jugendlichen Nutzer:innen ausreichend schützt. Datenschützer:innen kritisieren unter Anderem, dass TikTok seine Nutzer nicht eindeutig und vor allem nicht in einer für Kinder und Jugendliche verständlichen Weise darüber informiere, welche personenbezogenen Daten zu welchem Zweck und aus welchem Rechtsgrund erhoben werden. Außerdem untersuchen die Behörden mögliche Datenabflüsse aus Europa in Drittstaaten wie China. Denn TikTok gehört zum chinesischen Konzern ByteDance mit Sitz in Peking- und in China müsse man mit einem unbeschränktem und anlasslosen Zugriff der Behörden auf die Daten rechnen, so Datenschutzrechtler.

Streit um die Zuständigkeit

Dass die irische Datenschutzbehörde nun ermittelt, ist keinesfalls selbstverständlich, hatte sie doch noch im letzten Jahr vehement ihre Zuständigkeit abgestritten. Im letzten Jahr hatten Dänemark, die Niederlande und Frankreich Untersuchungen gegen TikTok wegen möglicher Datenschutzverletzungen eingeleitet. Gibt es keinen zentralen EU-Sitz, können schließlich Datenschutzbehörden in jedem EU-Land eigenständig ermitteln. Dann hatte TikTok jedoch einen zentralen europäischen Sitz in Datenschutzangelegenheiten in Irland angekündigt. Gegen die Niederlassung von TikTok in Irland hatte sich die DPC lange Zeit gewehrt und bezweifelt, dass sich TikTok wirklich dauerhaft in Dublin niederlassen würde- während TikTok andere Datenschutzbehörden bereits auf die Hauptniederlassung in Irland verwiesen hatte. Für TikTok war dies zweifelsohne eine begrüßenswerte Situation.

Nun besteht Klarheit bezüglich der Zuständigkeit der irischen Datenschutzbehörde. Sie hat damit ein weiteres Verfahren von immenser Tragweite und Bedeutung neben denen gegen Facebook, Google und Twitter zu bewältigen. Viele befürchten aufgrund mangelnder Ressourcen und Personal, dass auch im Verfahren gegen TikTok die Untersuchung und Ahndung von etwaigen Datenschutzverletzungen nur schleppend vorangehen wird.

1 2 3 4 5 28