Kategorie: Aufsichtsbehördliche Maßnahmen
30. August 2023
Das Bundesgesundheitsministerium (BMG) schlägt einen bedeutenden Paradigmenwechsel in der Datenschutzaufsicht im Gesundheitswesen vor. Im Referentenentwurf des Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) wird eine Neuregelung des § 9 des Bundesdatenschutzgesetzes (BDSG) vorgeschlagen, die auf eine Zentralisierung der Datenschutzaufsicht abzielt.
Ein neuer Absatz für eine breitere Zuständigkeit
Der Referentenentwurf des GDNG sieht vor, einen neuen Absatz 3 in § 9 BDSG einzuführen. In diesem Absatz wird dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) die exklusive Zuständigkeit für die Aufsicht über Stellen übertragen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 SGB X verarbeiten. Diese Zuständigkeit erstreckt sich auch auf die Kranken- und Pflegekassen, den Spitzenverband Bund der Krankenkassen, die Kassenärztlichen Vereinigungen und weitere relevanten Einrichtungen.
Die Motivation für diese Änderung liegt laut der Begründung des Entwurfs darin, eine einheitliche Datenschutzpraxis sicherzustellen. Die unterschiedliche Auslegung durch verschiedene Aufsichtsbehörden hat bisher die Entwicklung einer konsistenten Datenschutzpraxis erschwert.
Ausbau der Zuständigkeit des BfDI
Mit dieser vorgeschlagenen Änderung würde der BfDI eine erweiterte Zuständigkeit erhalten. Bisher war der BfDI nur für bundesunmittelbare Krankenkassen verantwortlich, die in mehreren Bundesländern tätig sind. Doch nun würde der BfDI die Aufsicht über sämtliche Krankenkassen übernehmen, einschließlich derjenigen, die nur in einem Bundesland tätig sind, sowie Betriebskrankenkassen von Unternehmen.
Dies hätte zur Konsequenz, dass die Aufsicht innerhalb eines Konzerns oder einer Unternehmensgruppe fragmentiert würde. Eine Übersicht aller gesetzlichen Krankenkassen findet man beim GKV. Der BfDI wäre somit für sämtliche gesetzliche Krankenkassen alleinig zuständig.
Brisante Ausweitung der Zuständigkeit
Besonders brisant ist nicht nur die geplante Ausweitung der Zuständigkeit auf Krankenkassen, sondern auch der Vorschlag zur alleinigen Zuständigkeit für „Stellen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 Zehntes Buch Sozialgesetzbuch verarbeiten“. Diese Definition schließe eine Vielzahl von Einrichtungen ein, wie Jobcenter, Rentenversicherungen, Unfallversicherungen und Jugendämter, wie die Landesdatenschutzbehörden in ihrer Stellungnahme darauf hinweisen.
Fazit: Weitreichende Änderungen in der Datenschutzaufsicht
Die vorgeschlagene Neuregelung des § 9 BDSG im Referentenentwurf des GDNG signalisiert einen bedeutsamen Wandel in der Datenschutzaufsicht im Gesundheitswesen. Die Zentralisierung der Zuständigkeit beim BfDI könnte dazu beitragen, eine einheitlichere Datenschutzpraxis zu etablieren. Allerdings stellen sich auch Fragen bezüglich der praktischen Umsetzbarkeit und der Fragmentierung der Aufsicht innerhalb von Konzernen und Unternehmensgruppen. Die geplante Ausweitung der Zuständigkeit auf Stellen, die gesundheitsbezogene Sozialdaten verarbeiten, erweitert den Einflussbereich des BfDI erheblich. Die genauen Auswirkungen und Implikationen dieser Änderungen auf die Datenschutzaufsicht im Gesundheitswesen bleiben abzuwarten.
17. August 2023
Nach der Ansicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) nicht mittels Videoüberwachung. Zu diesem Ergebnis kam der LfDI RLP im Rahmen einer Pressemitteilung, die der Datenschützer vergangene Woche auf der offiziellen Homepage der Behörde veröffentlichte.
Klarstellung von Zeitungsberichten
Anlass zu dieser Pressemitteilung gab ein Zeitungsbericht der Allgemeinen Zeitung Mainz. Unter der Überschrift „Waldalgesheim überwacht Bürger beim Müllentsorgen“ (nicht mehr aufrufbar) berichtete die Zeitung darüber, dass die Gemeinde der Stadt Waldalgesheim Kameras an zwei Glascontainern anbrachte. Ziel der Gemeinde sei es gewesen die illegale Müllentsorgung an den Glascontainern zu unterbinden und Personen, die ihren Müll dort entsorgt hätte, identifizieren zu können. Außerdem habe die Gemeinde herausfinden wollen, durch welche Personen der Bereich um die Container beschädigt und verunreinigt worden wäre.
Aus Sicht des LfDI RLP könne der Eindruck entstehen, dass die Landesdatenschutzbehörde den Einsatz der Videokameras genehmigt hätte. Dies sei gerade nicht der Fall. Die Datenschutzbehörde eröffnete gegen die Gemeinde nun ein förmliches Verfahren, um mögliche Datenschutzverstöße zu untersuchen. Der Datenschutzbeauftragte des Landes Rheinland-Pfalz stellte ferner klar, dass die Videoüberwachung von Glascontainern und anderen Müllablagerungsstätten durch Kommunen grundsätzlich nicht zulässig sei.
Wichtige Orientierungshilfen
Außerdem äußerte sich der Datenschutzbeauftragte auch klarstellend zur, im Zeitungsartikel zitierten „Orientierungshilfe für die Videoüberwachung in Kommunen“. Demnach sei die Datenschutzkonformität der Videoüberwachung immer eine Einzelfallentscheidung.
Für Nicht-Öffentliche Stellen hatte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) 2020 eine Orientierungshilfe zur Videoüberwachung veröffentlicht. In dieser behandelte die DSK alle für eine Rechtmäßigkeit der Videoüberwachung einzuhaltenden Voraussetzungen. Dabei ist zu beachten, dass aus Sicht der DSK die Videoüberwachung regelmäßig ausschließlich auf der Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen könne. Wolle ein Verantwortlicher beispielsweise ein Gebäude überwachen, müsse er Tatsachen nachweisen können, aus denen sich eine konkrete Gefahrenlage ergeben würden. Dann könne die Kameraüberwachung ein adäquates Mittel zur Prävention und Repression vor dem Eintritt eines Schadens am Gebäude sein. Außerdem müsse jeder Verantwortliche im Rahmen der Kameraüberwachung die nach Art. 12 ff. DSGVO bestehenden Informationspflichten beachten. Hierfür könne man ein Hinweisschild verwenden, welches aber nicht alle nach Art. 13 DSGVO erforderlichen Informationen beinhalten müsse. Stattdessen könnten auf einem Informationsblatt die vollständigen Informationen bereitgestellt werden.
Der Blick in die Orientierungshilfe kann sich lohnen, um die Kameraüberwachung, wenn sie notwendig ist, rechtssicher zu gestalten und um alle Anforderungen an die Datenschutzkonformität einzuhalten.
9. August 2023
Entscheidung der österreichischen Datenschutzbehörde zur Anwendung von Art. 57 Abs. 4 DSGVO
In einer Entscheidung Anfang 2023 hat die österreichische Datenschutzbehörde (DSB) klare Kriterien für die Anwendung von Art. 57 Abs. 4 DSGVO hinsichtlich offensichtlich unbegründeter oder exzessiver Anfragen festgelegt. Die Angelegenheit dreht sich um einen Beschwerdeführer, der dem Verantwortlichen eine Zahlung von 2.900 EUR für den Verzicht auf eine Beschwerde bei der DSB sowie auf eine gerichtliche Verfolgung angeboten hatte. In diesem Kontext befasst sich der vorliegende Artikel mit den Hintergründen der Entscheidung, ihrer Bedeutung und möglichen Implikationen für die Anwendung von Betroffenenrechten gemäß Art. 15 DSGVO.
Sachverhalt und DSB-Entscheidung
Der Beschwerdeführer bot an, gegen eine Zahlung von 2.900 EUR auf eine Beschwerde bei der DSB sowie auf eine gerichtliche Verfolgung zu verzichten. In der weiteren Entwicklung des Streitfalls reichte der Betroffene dennoch eine Beschwerde bei der Datenschutzbehörde ein. Die DSB lehnte die Beschwerde unter Berufung auf Art. 57 Abs. 4 DSGVO ab und qualifizierte das Verhalten des Beschwerdeführers als rechtsmissbräuchlich. Die Behörde argumentierte, dass kein tatsächliches Rechtsschutzbedürfnis beim Beschwerdeführer bestehe und die Beschwerde somit als unredlich einzustufen sei.
Die Entscheidung der DSB betont die Parallele zwischen Art. 12 Abs. 5 und Art. 57 Abs. 4 DSGVO, in denen beide Regelungen die Möglichkeit vorsehen, bei offenkundig unbegründeten oder exzessiven Anfragen Maßnahmen zu ergreifen. Hierbei wird insbesondere auf den EDSA verwiesen, der in seinen Leitlinien zu Art. 15 DSGVO eine ähnliche Situation als exzessiven Antrag beschreibt. Die DSB stellte jedoch klar, dass sie den Fall nicht als exzessiv, sondern als offensichtlich unbegründet einstufte.
Übertragung auf Betroffenenrechte
Die Entscheidung wirft eine interessante Frage auf: Können Verantwortliche bei Angeboten zur Unterlassung von Beschwerden gegen Geldzahlungen auf Art. 12 Abs. 5 DSGVO zurückgreifen? Beide Artikel setzen die gleichen Voraussetzungen voraus: ein offenkundig unbegründeter oder exzessiver Antrag. Während es unwahrscheinlich ist, dass Betroffene direkt Zahlungen für den Verzicht auf Rechtsverfolgung anbieten, könnte dies in Situationen auftreten, in denen der Verantwortliche die Fristen zur Erfüllung der Auskunftsansprüche nicht einhält.
In der Praxis können Verantwortliche nun auf die österreichische Entscheidung verweisen, um das Fehlen eines echten Rechtsschutzbedürfnisses bei einer Zahlung für den Verzicht auf Beschwerden oder Klagen zu betonen. Es ist jedoch ratsam, vorsichtig zu sein, insbesondere wenn die Erfüllung der Betroffenenrechte nach Ansicht des Betroffenen nicht korrekt erfolgt ist, bevor solch ein “Angebot” überhaupt gemacht wird.
Fazit
Die Entscheidung der österreichischen Datenschutzbehörde bietet wertvolle Klarstellungen zur Anwendung von Art. 57 Abs. 4 DSGVO im Zusammenhang mit offensichtlich unbegründeten Anfragen und rechtsmissbräuchlichem Verhalten von Beschwerdeführern. Dieser Fall verdeutlicht, dass es in der Praxis wichtig ist, das Rechtsschutzbedürfnis bei der Geltendmachung von Betroffenenrechten zu berücksichtigen. Verantwortliche könnten auf diese Entscheidung verweisen, um den Missbrauch von Betroffenenrechten zu bekämpfen, insbesondere in Fällen, in denen finanzielle Anreize für den Verzicht auf Beschwerden angeboten werden. Die Anwendung von Art. 57 Abs. 4 DSGVO könnte somit als zusätzliches Instrument dienen, um die Integrität und den ernsthaften Charakter von Datenschutzbeschwerden zu wahren. Es bleibt abzuwarten, wie andere Datenschutzbehörden auf internationaler Ebene auf solche Angebote reagieren werden und ob ähnliche Entscheidungen ergehen werden.
7. August 2023
Berliner Datenschutzbeauftragte verhängt Sanktionen
Ein Unternehmen steht in der Kritik, da es heimlich sensible Informationen über ihre Angestellten gesammelt hat. Die Berliner Datenschutzbeauftragte, Meike Kamp, hat dieses Vorgehen als rechtswidrig erachtet und Sanktionen verhängt.
Wie bereits im Mai 2021 bekannt wurde, sammelte das Unternehmen während der Probezeit sensible Daten über seine Angestellten, darunter Informationen darüber, ob sich Mitarbeiterinnen und Mitarbeiter einer Psychotherapie unterzogen oder Interesse an der Gründung eines Betriebsrats zeigten. Diese Informationen wurden auf einer sogenannten Negativliste erfasst, die dazu diente, die Angestellten zu bewerten und darüber zu entscheiden, wem nach Ablauf der Probezeit gekündigt wird.
Verstöße gegen die DSGVO
Die Berliner Datenschutzbeauftragte hat in ihrer Untersuchung massive Verstöße gegen den Datenschutz festgestellt. Eine Vorgesetzte hatte die sensiblen Daten ohne Wissen der betroffenen Angestellten gesammelt, um diese bei der Entscheidung über eine Weiterbeschäftigung zu berücksichtigen. Insbesondere Angestellte, die eine gewerkschaftliche Organisation unterstützen oder ein erhöhtes Risiko für krankheitsbedingte Ausfälle aufwiesen, wurden als “kritisch” oder sogar “sehr kritisch” eingestuft.
Aufgrund dieser schwerwiegenden Verstöße hat die Berliner Datenschutzbeauftragte Bußgelder in Höhe von insgesamt 215.000 Euro gegen das Unternehmen verhängt. Die Negativliste wurde offenbar im März 2021 auf Anweisung der Geschäftsführung erstellt. Als eine betroffene Angestellte die Presse und die Datenschutzbeauftragte informierte, reagierte das Unternehmen und meldete sich noch am gleichen Tag bei der Behörde. Die Zusammenarbeit des Unternehmens mit den Behörden wurde als mildernder Umstand bei der Festsetzung der Bußgelder berücksichtigt.
Sensible Daten besonders schützenswert
Die Datenschutzbeauftragte betont, dass die Verarbeitung solch sensibler Daten stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen muss. Insbesondere Gesundheitsdaten zählen zu den besonders sensiblen Informationen und dürfen nur in engen Grenzen verarbeitet werden. Die DSGVO enthält in Art. 9 eine Liste mit “besonderen Kategorien personenbezogener Daten”, zu denen auch Gesundheitsdaten und Informationen über die Gewerkschaftszugehörigkeit zählen. Diese Daten dürfen nur in Ausnahmefällen und unter strengen Voraussetzungen gesammelt und verarbeitet werden, um die Rechte und die Privatsphäre der betroffenen Personen zu schützen.
Fazit
Die Verhängung dieser Bußgelder sendet ein wichtiges Signal an Unternehmen und Arbeitgeber, dass der Datenschutz eine hohe Priorität haben muss und Verstöße gegen die Datenschutzvorschriften konsequent geahndet werden. Angestellte haben ein Recht auf den Schutz ihrer persönlichen Daten, insbesondere wenn es um sensible Informationen wie den Gesundheitszustand geht.
2. August 2023
Am 4. Juli 2023 fällte der Europäische Gerichtshof (EuGH) sein Urteil bezüglich der Meta-Entscheidung des Bundeskartellamts. Der EuGH scheint eine bislang offene juristische Frage geklärt zu haben: Kann eine alternative rechtliche Grundlage für die Datenverarbeitung herangezogen werden, wenn die ursprünglich angegebene Grundlage unwirksam ist, etwa wenn eine Einwilligung rechtswidrig erfolgt ist?
Das Verfahren
Der Hintergrund des Verfahrens liegt in der Praxis von Meta Platforms Ireland und Facebook Deutschland (Meta), Daten seiner Nutzer nicht nur auf Facebook selbst, sondern auch über seine Tochterfirmen und über Schnittstellen auf anderen Webseiten zu sammeln und diese zu detaillierten Nutzerprofilen zu verknüpfen. Das Bundeskartellamt (BKartA) sah darin einen Missbrauch der marktbeherrschenden Stellung von Meta. Deswegen erließ das Bundeskartellamt erließ 2019 einen Beschluss gegen Meta, der Gegenstand des vorliegenden Gerichtsverfahrens war. In diesem Beschluss untersagte das Bundeskartellamt Meta, sich durch Zustimmung zu den Allgemeinen Nutzungsbedingungen zur Nutzung von Facebook auch die Erhebung und Verarbeitung von sogenannten “Off-Facebook-Daten” genehmigen zu lassen.
Off-Facebook-Daten
Bei den Off-Facebook-Daten handelt es sich um Informationen, die Meta außerhalb von Facebook, Instagram oder WhatsApp sammelt. Diese Daten werden durch das Werbenetzwerk von Meta auf zahlreichen Webseiten und Apps sowie den zum Meta-Konzern gehörenden Online-Diensten erfasst. Mithilfe dieser Off-Facebook-Daten kann Meta das Konsumverhalten, die Interessen, die Kaufkraft und die Lebenssituation der Nutzer in Profilen erfassen. Auf dieser Grundlage können gezielte und personalisierte Werbenachrichten an die Facebook-Nutzer gesendet werden.
BKartA rügt Metas Nutzungsbedingungen
Die Nutzungsbedingungen müssten vielmehr klarstellen, dass diese Daten nur mit ausdrücklicher Einwilligung verarbeitet und mit dem Facebook-Nutzerkonto verknüpft werden. Darüber hinaus dürfe die Einwilligung nicht zur Voraussetzung für die Nutzung des sozialen Netzwerkes gemacht werden. Das Bundeskartellamt war der Ansicht, dass durch diese Gestaltung der Nutzungsbedingungen, die nicht den Marktverhaltensregeln und Werten der DSGVO entspricht, Meta seine marktbeherrschende Stellung missbrauche. Kurz darauf, noch im Jahr 2019, änderte Meta seine eigenen Nutzungsbedingungen dahingehend, dass die Nutzer bei der Nutzung von Facebook-Produkten in die Verarbeitung von Off-Facebook-Daten einwilligen müssen, da ansonsten für die Services keine Kosten entstehen würden.
Gegen diesen Beschluss des Bundeskartellamts legte Meta gerichtlichen Widerspruch ein. Im Laufe dieses Verfahrens wandte sich das Oberlandesgericht (OLG) Düsseldorf in einem sogenannten Vorlageverfahren an den EuGH. Bei einem Vorlageverfahren entscheidet der EuGH nicht als höhere Instanz über den jeweiligen Rechtsstreit, sondern beantwortet spezifische Fragen zur Auslegung des Europäischen Rechts, wie beispielsweise der DSGVO.
Die Vorlage an den EuGH
Der EuGH hat ausschließlich zu den spezifischen Fragen des vorlegenden Gerichts Stellung genommen, und die Antworten des EuGH sind für das OLG Düsseldorf bindend, wenn es seine eigene Entscheidung in der Sache trifft. Letztendlich liegt die endgültige Entscheidung in der Zuständigkeit des OLG Düsseldorf.
Das Urteil hat auch erhebliche Auswirkungen auf zukünftige Bewertungen im Bereich des Datenschutzes. Die Tatsache, dass ein soziales Netzwerk kostenlos ist, bedeutet nicht automatisch, dass die Daten des Nutzers ohne dessen Einwilligung zur Personalisierung von Werbung verarbeitet werden können. Daher kann das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO keine rechtliche Grundlage dafür sein. Jedoch hat der EuGH wiederholt betont, dass Marketing weiterhin auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, sofern die Nutzungsbedingungen von Meta transparent und für den Nutzer verständlich geändert werden. Somit wird auch in Zukunft Werbung ohne Einwilligung möglich sein.
Das Urteil scheint auch eine bisher ungeklärte Frage zu beantworten, nämlich ob alternative Rechtsgrundlagen aus Art. 6 Abs. 1 lit. b-f DSGVO überhaupt herangezogen werden können, wenn eine zuvor erteilte Einwilligung als rechtswidrig erachtet wird. Der EuGH betont jedoch, dass solche alternativen Rechtsgrundlagen in solchen Fällen eng auszulegen sind.
BfDI Professor Ulrich Kelber äußerte sich dazu wie folgt: “Ich bin erfreut darüber, dass der EuGH anerkennt, wie wichtig die Einhaltung von Datenschutzanforderungen für den Wettbewerb ist und dass Kartellbehörden befugt sind, die Vereinbarkeit des Verhaltens von Unternehmen mit dem Datenschutzrecht zu überprüfen. Mein Glückwunsch geht an das Bundeskartellamt für diesen Erfolg.”
Zusammenarbeit zwischen Datenschutz- und Kartellbehörden
Der EuGH klärte auch, dass Verstöße gegen die DSGVO vorrangig von Datenschutzaufsichtsbehörden festgestellt werden sollten. Das bedeutet, dass das Bundeskartellamt die zuständigen Datenschutzaufsichtsbehörden in datenschutzrechtliche Fragen einbeziehen muss, bevor es eigene Entscheidungen trifft.
Hierzu kommentierte der BfDI: “Kartell- und Datenschutzaufsichtsbehörden können datengetriebene Geschäftsmodelle nur erfolgreich regulieren, wenn sie eng zusammenarbeiten. Das bestätigt die Praxis in Deutschland, wo Bundeskartellamt und der Bundesdatenschutzbeauftragte entsprechend kooperieren. Gemeinsam mit unseren europäischen Kolleginnen und Kollegen werde ich die Entscheidung in der Task Force des Europäischen Datenschutzausschusses zum Zusammenspiel von Datenschutz, Wettbewerb und Verbraucherschutz auswerten und Best Practices für eine effiziente Zusammenarbeit festlegen, damit Bürgerinnen und Bürger besser vor rechtswidrigen und missbräuchlichen Datenverarbeitungen geschützt werden. Die Erfahrungen der Zusammenarbeit in Deutschland sind dafür eine gute Grundlage.”
Fazit
Zusammenfassend lässt sich festhalten, dass Onlinemarketing auch in Zukunft weiterhin möglich sein wird. Obwohl diese Entscheidung sich speziell auf den Einzelfall Meta konzentriert hat, enthält sie dennoch neue und wertvolle Erkenntnisse, die auch für die Bewertung anderer Social Media Dienste relevant sein könnten, die keine marktbeherrschende Position innehaben und weniger Daten sammeln oder andere Techniken verwenden.
4. Juli 2023
Vor rund zwei Wochen veröffentlichte die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL), dass sie eine Geldstrafe in Höhe von 40 Mil. EUR verhängt habe. Adressat der Strafe sei „Criteo“, ein Unternehmen, dass Softwarelösungen für Werbeanzeigen im Bereich des Online-Marketings anbiete.
Hintergründe
Der Grund für das Bußgeld sei gewesen, dass Criteo nicht überprüft habe, ob Personen, deren Daten es verarbeitet habe, eine Einwilligung erteilt hätten. Anlass für die Untersuchungen der Behörde bei Criteo seien Beschwerden der Organisationen Privacy International und „None of your business“ gewesen,
Das Unternehmen Criteo habe sich auf das sog. „Retargeting“ spezialisiert. Dies sei eine bestimmte Methode des Online-Marketings. Auf Webseiten von Partnern setzt Criteo eigene Cookies ein. Diese könnten Navigationsdaten der Nutzers tracken. Über die gesammelten Daten ließen sich anschließend personalisierte Werbeanzeigen schalten. Insbesondere könne dem Nutzer Werbeanzeigen zu Produkten angezeigt werden, für die er sich wahrscheinlich interessieren würde.
Verstöße
CNIL stellte zunächst fest, dass bei der Verwendung von Cookies zu Werbezwecke eine Einwilligung der betroffenen Person eingeholt werden müsse. Wenn ein Unternehmen auf seiner Webseite die Cookies von Criteo einsetze, müsse es eine solche Einwilligung einholen. Criteo müsse sicherstellen, dass die entsprechenden Unternehmen diese Einwilligung tatsächlich einholten und dies dokumentieren. Die Pflicht zur Einholung einer Einwilligung sei allerdings nie Vertragsbestandteil im Rahmen der Geschäftsbeziehungen zu Criteo. Damit verstoße das Marketingunternehmen gegen die Datenschutz- Grundverordnung (DSGVO).
Außerdem verstoße Criteo gegen seine Informationspflichten. Das Unternehmen informiere nicht vollständig über die Zwecke der Datenverarbeitungsvorgänge.
Zusätzlich hätten betroffene Person nicht hinreichend Gebrauch von ihrem Recht auf Widerruf der Einwilligung und Löschung personenbezogener Daten nach Art. 7 Abs. 3 und Art. 17 Abs. 1 DSGVO machen können. Den betroffenen Person seien lediglich keine Werbeanzeigen mehr gezeigt worden. Allerdings habe das Unternehmen Kennungsdaten der Nutzer weiter behalten.
Abschließend stellte die CNIL fest, dass Criteo mit seinen Geschäftspartnern keine Vereinbarung über eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO abgeschlossen habe.
Bußgeld
Die CNIL bewertete bei der Bestimmungen der Höhe des Bußgeldes negativ, dass das Unternehmen über die Daten einer sehr großen Personenanzahl verfüge. Außerdem sei, laut CNIL negativ in die Bewertung mit eingeflossen, dass das Unternehmen sich ausschließlich darauf spezialisiert habe, für eine bestimmte Zielgruppe relevante Werbung anzuzeigen. Demnach sei es das Geschäftsmodell des Unternehmens gerade personenbezogene Daten zu sammeln und zu verarbeiten.
Fazit
Alle angesprochenen Kritikpunkte konnte Criteo nach den Untersuchungen der CNIL einstellen. Dabei ist auffällig, dass das Thema Cookies weiterhin Grund für Datenschutzverstöße ist (hier berichten wir über weitere Cookie-Verstöße).
26. Juni 2023
Vergangene Woche veröffentlichte der Europäische Datenschutzausschuss (EDSA) ein Musterformular, mit dem Beschwerden nach Art. 77 DSGVO eingereicht werden können. Ziel des Formulars sei es, das Einreichen einer Beschwerde bei den Aufsichtsbehörden für die Behörden selbst und für Individuen zu erleichtern.
Inhalt des Formulares
Nach Art. 77 DSGVO hat grundsätzlich jede betroffene Person die Möglichkeit eine Beschwerde einzureichen, wenn sie der Ansicht ist, dass eine Datenverarbeitung nicht DSGVO-konform ist. Dabei ist Adressat dieser Beschwerde eine Aufsichtsbehörde.
Das Formular bietet für betroffene Personen die Möglichkeit auszuwählen, bei welcher Datenschutzbehörde sie die Beschwerde einreichen möchte. Dabei kann sie zwischen der Behörde des Wohnsitzes, des Arbeitsortes, des Ortes, an dem der Verstoß begangen wurde oder an der sich der betroffene Verantwortliche befindet, wählen.
Das Dokument richtet sich ausschließlich an betroffene Personen. Somit sollen unbeteiligte Dritte das Formular nicht als allgemeinen Warnhinweis auf mögliche Verstöße einsetzen können. Es ist allerdings möglich, dass ein Vertreter oder eine Einrichtung für die betroffene Person handelt. Außerdem können Einrichtungen oder Organisationen auf eigene Initiative hin tätig werden. Dabei muss der Beschwerdeführer immer den Grund seiner Beschwerde angeben und Ziel, dass er anstrebt. Dazu zählt beispielsweise der Wunsch, dass ein Verantwortlicher unrechtmäßig verarbeitete personenbezogene Daten löscht.
Die nationalen Aufsichtsbehörden können das Formular künftig auf freiwilliger Basis nutzen. Dabei können sie das Muster entsprechend nationaler Regelungen anpassen.
Fazit
Die Vorsitzende des EDSA, Ana Tulu äußerte sich zu dem Formular wie folgt:
„Es wird den grenzüberschreitenden Austausch von Informationen über Beschwerden zwischen den Datenschutzbehörden erleichtern und den Datenschutzbehörden helfen, Zeit zu sparen und grenzüberschreitende Fälle effizienter zu lösen.”
19. Juni 2023
Das virtuelle Hausverbot und die dauerhafte Datenspeicherung
Die Datenschutzbehörde Sachsen berichtete in ihrem Tätigkeitsbericht für das Jahr 2022 von einem Fall, in dem es um die datenschutzrechtliche Zulässigkeit eines virtuellen Hausverbots und dessen Durchsetzung ging.
Ein Betroffener reichte eine Beschwerde bei der Aufsichtsbehörde ein, da seine E-Mail-Adresse bei einem Sozialen Netzwerk, einem Online-Club, gespeichert wurde, dem er früher angehörte. Das betreibende Unternehmen hatte zuvor seinen Zugang zum Club gesperrt. Der Betroffene forderte die Löschung aller seiner Daten. Das Unternehmen informierte die Behörde darüber, dass das Profil des Betroffenen gelöscht wurde, da er mehrfach und schwerwiegend gegen interne Regeln verstoßen hatte. Daher wurde gegen ihn ein virtuelles Hausverbot verhängt. Um dies durchzusetzen, wurden die E-Mail-Adressen der gesperrten (ehemaligen) Mitglieder in einer internen Blacklist gespeichert, um den weiteren Zugriff zu verhindern.
Die Datenschutzbehörde prüfte die Speicherung auf der Blacklist anhand einer Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO. Ihr Ergebnis lautete: “Basierend auf den vorliegenden Informationen konnte meine Behörde – unter Berücksichtigung der verschiedenen Interessen und betroffenen Rechte – keinen Verstoß gegen den Datenschutz feststellen.”
Zulässigkeit des “Hausverbots”
Die Behörde betrachtete das virtuelle Hausverbot grundsätzlich als zulässig. Sie verwies dabei unter anderem auf die Rechtsprechung des Bundesgerichtshofs. Der Betreiber hatte in den Nutzungsbedingungen das Recht festgelegt, den Zugang des Nutzers zeitweise oder dauerhaft zu sperren, insbesondere bei Verstößen gegen diese Bedingungen. Dies spielte eine Rolle im Hinblick auf das Merkmal der “vernünftigen Erwartungen” der Betroffenen gemäß Erwägungsgrund 47 der DSGVO. Um das Hausverbot durchzusetzen, war es nach Ansicht der Behörde auch erforderlich, dass bestimmte Informationen des ehemaligen Mitglieds, zum Beispiel in einer Blacklist, gespeichert blieben. Andernfalls wäre die Identität des Mitglieds für den Anbieter nicht mehr erkennbar und ein Nutzungsverbot nicht durchsetzbar. Darüber hinaus informierte der Betreiber auch in seinen Datenschutzhinweisen über die Verarbeitung zur Durchsetzung des Hausverbots. Die Behörde führt abschließend an, dass es ihrer Ansicht nach auch verhältnismäßig sei, Daten auf der Blacklist dauerhaft zu speichern.
Zusätzlich könnte als Rechtsgrundlage auch noch Art. 6 Abs. 1 lit. b DSGVO in Betracht gezogen werden, nämlich die Datenverarbeitung im Rahmen der Anbahnung eines (neuen) Vertragsverhältnisses oder zur Abwicklung des vorherigen Vertragsverhältnisses. In diesem Zusammenhang könnte die Frage der Erforderlichkeit aufkommen, die sicherlich vom Einzelfall abhängt (z.B. Inhalt des Vertrages und der Allgemeinen Geschäftsbedingungen, Möglichkeit des Unternehmens, sich auf die Vertragsfreiheit zu berufen).
Fazit
Für die Praxis lassen sich folgende Erkenntnisse ableiten:
- Die Datenverarbeitung zur Durchsetzung eines virtuellen Hausrechts ist zulässig.
- Betroffene sollten sowohl im Vertrag als auch in den Datenschutzhinweisen klar darüber informiert worden sein, wann dies geschehen kann und welche Konsequenzen es hat.
- Es dürfen nur die Daten gespeichert werden, die tatsächlich zur Durchsetzung erforderlich sind.
13. Juni 2023
Die Berliner Datenschutz- und Informationsfreiheitsbeauftragte (BlnBDI) hat eine Bank mit einer Geldstrafe von 300.000 Euro belegt, da sie intransparent in Bezug auf eine automatisierte Einzelentscheidung gehandelt hat. Die Bank verweigerte einem Kunden verständliche Informationen über die Gründe für die automatisierte Ablehnung seines Kreditkartenantrags. Das Unternehmen hat eng mit der BlnBDI zusammengearbeitet und den Bußgeldbescheid akzeptiert.
Eine automatisierte Entscheidung ist eine Entscheidung, die ausschließlich von einem IT-System auf Basis von Algorithmen und ohne menschliches Eingreifen getroffen wird. Gemäß der Datenschutz-Grundverordnung (DSGVO) gelten in solchen Fällen spezielle Transparenzpflichten. Personenbezogene Daten müssen in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben das Recht, eine Erläuterung der getroffenen Entscheidung nach einer entsprechenden Bewertung zu erhalten. Wenn betroffene Personen eine Auskunft bei den Verantwortlichen beantragen, müssen diesen aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung zur Verfügung gestellt werden.
Der Sachverhalt
In diesem spezifischen Fall hat die Bank bei ihrem digitalen Kreditkartenantrag diese Vorgaben jedoch nicht beachtet. Durch ein Online-Formular forderte die Bank verschiedene Informationen über das Einkommen, den Beruf und die persönlichen Daten des Antragstellers an. Basierend auf den abgefragten Informationen und zusätzlichen Daten aus externen Quellen lehnte der Algorithmus der Bank den Antrag des Kunden ohne eine explizite Begründung ab. Der Algorithmus stützte sich dabei auf zuvor von der Bank festgelegte Kriterien und Regeln.
Aufgrund eines guten Schufa-Scores und eines regelmäßig hohen Einkommens des Kunden wurden Zweifel an der automatisierten Ablehnung laut. Obwohl der Kunde die Bank um detaillierte Informationen zum Scoring-Verfahren bat, erhielt er lediglich allgemeine und allgemeingültige Aussagen. Die Bank weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte daher nicht nachvollziehen, welche Daten und Faktoren der Ablehnung zugrunde lagen und aufgrund welcher Kriterien sein Kreditkartenantrag abgelehnt wurde. Ohne diese spezifische Begründung war es ihm nicht möglich, die automatisierte Einzelentscheidung angemessen anzufechten. Infolgedessen beschwerte er sich bei der Datenschutzbeauftragten.
Nachvollziehbarkeit ausschlaggebend
Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, äußerte sich wie folgt: “Wenn Unternehmen automatisierte Entscheidungen treffen, müssen sie diese überzeugend und nachvollziehbar begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Die Tatsache, dass die Bank in diesem Fall selbst auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, führt zu einer Geldstrafe. Eine Bank ist verpflichtet, die Kund:innen über die maßgeblichen Gründe für die Ablehnung eines Kreditkartenantrags im Zusammenhang mit automatisierten Entscheidungen zu informieren. Dies umfasst konkrete Informationen zur Datenbasis, den Entscheidungsfaktoren und den Kriterien für die Ablehnung in Einzelfällen.”
Die Datenschutzbeauftragte stellte fest, dass die Bank in diesem konkreten Fall gegen Art. 22 III, Art. 5 I lit. a und Art. 15 I DSGVO verstoßen hat. Bei der Festlegung der Höhe des Bußgeldes berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank sowie die absichtliche Ausgestaltung des Antragsprozesses und der Informationserteilung. Als mildernden Umstand bewertet wurde unter anderem, dass das Unternehmen den Verstoß eingeräumt hat, bereits Änderungen an den Prozessen umgesetzt hat und weitere Verbesserungen angekündigt hat.
23. Mai 2023
Meta, der Mutterkonzern von Facebook, hat erneut eine Rekordstrafe in Höhe von 1,2 Milliarden Euro aufgrund eines Verstoßes gegen die europäische Datenschutzgrundverordnung (DSGVO) erhalten. Die irische Datenschutzbehörde DPC verkündete diese Strafe in Dublin. Das Verfahren betrifft die Beteiligung von Facebook an der Massenüberwachung durch angloamerikanische Geheimdienste, die vor zehn Jahren von Edward Snowden, einem US-Whistleblower, aufgedeckt wurde. Max Schrems, ein Datenschutz-Aktivist aus Österreich, reichte damals eine Beschwerde gegen Facebook ein.
Verfahren kann sich in die Länge ziehen
Das von der DPC verhängte Bußgeld übertrifft die bisherige Rekordstrafe von 746 Millionen Euro, die gegen Amazon.com in Luxemburg verhängt wurde. Zudem ist Meta nun dazu verpflichtet, jede weitere Übermittlung europäischer personenbezogener Daten in die Vereinigten Staaten zu unterbinden, da das Unternehmen weiterhin den US-Überwachungsgesetzen unterliegt.
Meta hat bisher keine Stellungnahme zu der Rekordstrafe abgegeben. Experten gehen jedoch davon aus, dass der US-Konzern gegen die Entscheidung rechtliche Schritte einlegen wird. Die Gerichtsverfahren können sich jedoch über einen längeren Zeitraum erstrecken. In der Zwischenzeit könnte ein neuer Datenpakt zwischen der Europäischen Union und den USA in Kraft treten, um den transatlantischen Datenverkehr neu zu regeln. Meta hatte zuvor mehrfach damit gedroht, sich vollständig aus der EU zurückzuziehen, falls ein dauerhafter transatlantischer Datentransfer nicht möglich sein sollte.
Irische Datenschutzbehörde ging nicht gegen Meta vor
Schrems betonte, dass das verhängte Bußgeld deutlich höher hätte ausfallen können: “Die Höchststrafe liegt bei über vier Milliarden Euro. Und Meta hat über einen Zeitraum von zehn Jahren wissentlich gegen die DSGVO verstoßen, um Gewinne zu erzielen.” Schrems erklärte weiter, dass Meta nun wahrscheinlich seine Systeme grundlegend umstrukturieren müsse, wenn sich die US-Überwachungsgesetze nicht ändern.
Die irische Datenschutzbehörde DPC hatte sich jahrelang geweigert, gegen Facebook in dieser Angelegenheit vorzugehen. Schließlich wurde die DPC durch den Europäischen Datenschutzausschuss (EDSA) dazu verpflichtet, eine Strafe gegen das soziale Netzwerk zu verhängen. Der aktuelle Beschluss betrifft ausschließlich Facebook und nicht andere Dienste wie Instagram oder WhatsApp, die zum Meta-Konzern gehören. Bereits im Januar hatte die DPC Meta jedoch zu einer Strafe in Höhe von 390 Millionen Euro verurteilt, weil Facebook- und Instagram-Nutzer gezwungen wurden, personalisierter Werbung zuzustimmen.
Seit Inkrafttreten der Datenschutzgrundverordnung vor fünf Jahren wurden für Meta insgesamt Bußgelder in Höhe von vier Milliarden Euro verhängt. Meta ist nun sechsmal in der Liste der zehn höchsten Bußgelder vertreten, was zu einer Gesamtstrafe von 2,5 Milliarden Euro führt.
Übrigens: Das höchste Bußgeld in Deutschland betrug 35 Millionen Euro und wurde im Jahr 2020 von der Modekette H&M wegen einer unzureichenden Rechtsgrundlage für die Datenverarbeitung in ihrem Onlineshop gezahlt.
Pages: 1 2 3 4 5 6 7 ... 33 34 
