Kategorie: Aufsichtsbehördliche Maßnahmen
3. April 2023
Manchmal kommt es auch Jahre nach der Einführung der DSGVO immer noch vor, dass Dienstleister, die personenbezogene Daten verarbeiten sollen, nicht auf Anfragen zum Abschluss, zur Überarbeitung oder zur Aktualisierung eines Auftragsverarbeitungsvertrags reagieren. Dies stellt Datenschutzbeauftragte vor Herausforderungen, da die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter nur auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments erfolgen darf, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet. Wenn der Dienstleister jedoch nicht bereit ist, eine solche Vereinbarung abzuschließen, fragt sich, welche Optionen der Verantwortliche hat.
Es ist wichtig zu betonen, dass es im Interesse des Dienstleisters oder Auftragnehmers liegt, einen Vertrag zur Auftragsverarbeitung abzuschließen. Wenn die Verarbeitung personenbezogener Daten ohne Vertrag durchgeführt wird, verstoßen beide Parteien gegen ihre Pflichten aus der DSGVO. Dies kann zu Bußgeldern führen. Wenn eine Anfrage zum Abschluss eines Vertrags unbeantwortet bleibt, sollten Verantwortliche darauf hinweisen, dass dies ein rechtliches Erfordernis ist und eine Vereinbarung zum Vorteil aller Beteiligten ist.
Der Fall Kolibri Images
Empfehlenswert und notwendig ist es, den Datenschutzbeauftragten bei der Angelegenheit einzubeziehen. Außerdem ist es sinnvoll, dem Dienstleister einen Vertragsentwurf zur Überprüfung vorzulegen. Ein Beispiel für die Bedeutung eines solchen Vertrags ist der Fall des Unternehmens Kolibri Images, gegen das 2018 von der Datenschutzaufsichtsbehörde in Hamburg ein Bußgeld verhängt wurde. Das Unternehmen hatte einen spanischen Dienstleister ohne entsprechenden Auftragsverarbeitungsvertrag eingesetzt, und obwohl Kolibri Images den Dienstleister mehrfach zur Übermittlung eines Vertragsentwurfs aufgefordert hatte, verweigerte dieser dies. Kolibri Images weigerte sich schließlich auch, einen eigenen Entwurf zu erstellen, was zur Verhängung des Bußgeldes führte.
Obwohl die Aufsichtsbehörden später den Bußgeldbescheid zurücknahmen, zeigt der Fall doch, dass sie von Verantwortlichen den Abschluss von Auftragsverarbeitungsverträgen fordern. Allerdings können Dienstleister nicht einfach “gezwungen” werden, einen solchen Vertrag abzuschließen, auch wenn sie gute Argumente haben. Wenn eine Erklärung der datenschutzrechtlichen Situation und die proaktive Zusendung eines Vertragsentwurfs keine Wirkung zeigen, sollten Verantwortliche darüber nachdenken, zu “drastischeren” Mitteln zu greifen, wie zum Beispiel einer anderweitigen Vergabe des Auftrags oder einer Kündigung, wenn der Auftragsverarbeitungsvertrag nicht innerhalb einer vorher definierten Frist abgeschlossen wird. Wenn auch das keine Wirkung zeigt, sollten Verantwortliche die Dienstleistung ohne einen Auftragsverarbeitungsvertrag nicht weiter in Anspruch nehmen, da dies gegen die Vorschriften der DSGVO verstößt und ein Bußgeldrisiko birgt.
Fazit
Wenn Verantwortliche Dienstleister auswählen, die Zugriff auf personenbezogene Daten erhalten sollen, sollten sie den Datenschutz von Anfang an berücksichtigen und die Bereitschaft zum Abschluss eines Vertrags zur Auftragsverarbeitung als Kriterium für die Beauftragung verwenden. Wenn Dienstleister bereits im Einsatz sind, ohne dass ein Vertrag besteht, sind die oben genannten Schritte die einzigen Optionen, und als letztes Mittel kann eine Trennung vom jeweiligen Dienstleister eingeleitet werden, falls dieser keine Einigung erzielen kann.
23. März 2023
Mit der Auffassung, dass der Betrieb einer Facebook-Fanpage für eine Behörde datenschutzkonform nicht möglich sei, wies der Bundesdatenschutzbeauftragte Ulrich Kelber das Bundespresseamt an den Betrieb der Facebook-Fanpage einzustellen. Nach einem Kurzgutachten der Datenschutzkonferenz sei der behördliche Betrieb einer Fanpage auf Facebook mit dem Datenschutzrecht unvereinbar.
Das Bundespresseamt möchte die Fan-Page jedoch gerne weiter betreiben und reichte kürzlich beim Verwaltungsgericht Köln Klage ein. Der Stellvertretenden Chef des Presse- und Informationsamtes, Dr. Johannes Dimrot erklärte sich dazu folgend:
„Die Bundesregierung hat einen verfassungsrechtlichen Auftrag, die Bürgerinnen und Bürger über die Tätigkeit, Vorhaben und Ziele der Bundesregierung zu informieren. Zur Erfüllung dieses Auftrags gehört es, sich an der tatsächlichen Mediennutzung der Bürgerinnen und Bürger zu orientieren, um diese auch wirklich zu erreichen. […]”. Aktuell wird die Facebook-Fanpage weiterhin betrieben.
Stellvertretender Regierungssprecher Wolfgang Büchner gibt dem Bundespresseamt Rückhalt. Er ist der Auffassung, dass der Facebook-Auftritt ein wichtiger Bestandteil der Öffentlichkeitsarbeit der Bundesregierung sei. Daran sollte Büchners Auffassung nach daher auch erst einmal festgehalten werden.
Wie das Verwaltungsgericht Köln entscheiden wird, bleibt erst einmal abzuwarten. Spannend bleibt der Fall allemal, da dem Bundespresseamt mit der Information der Öffentlichkeit eine wichtige Rolle zukommt.
17. März 2023
Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Professor Ulrich Kelber hat am 15. März 2023 den Tätigkeitsbericht für das Jahr 2022 vorgelegt. Darin spricht er insgesamt zehn Empfehlungen aus und befasst sich mit den verschiedenen Schwerpunktthemen.
Zahl der gemeldeten Verstöße nimmt zu
2022 gingen 10.658 Meldungen beim BfDI ein, das sind gut fünf Prozent mehr als im Vorjahr. Bürgerinnen und Bürger wendeten sich mit 6.619 Beschwerden und Anfragen an die Behörde. Seit Einführung der Datenschutz-Grundverordnung (DSGVO) sei eine leicht fallende Tendenz in dieser Hinsicht zu beobachten. Der BfDI führt dies „auch auf die intensive Beratung z. B. bei Jobcentern und Finanzämtern zurück, die zur Verbesserung der Verarbeitungsprozesse und damit zu weniger Beschwerden geführt haben“ (S. 111).
Elektronische Patientenakte, Facebook-Fanpage, künstliche Intelligenz und mehr
Der Tätigkeitsbericht deckt zahlreiche Themenfelder ab. Viele davon sind und waren auch Teil der öffentlichen Debatte. So hält der BfDI das viel diskutierte Opt-Out-Verfahren bei der elektronischen Patientenakte grundsätzlich für möglich, sieht allerdings keine Erforderlichkeit, von der derzeitigen Opt-In-Lösung abzuweichen.
Auch die Anweisung gegenüber dem Bundespresseamt, den Betrieb von Facebook-Fanpages einzustellen, ist Teil des Tätigkeitsberichts. Nach Ansicht des BfDI ist ein datenschutzkonformer Betrieb nicht möglich. Inzwischen hat das Bundespresseamt beim Verwaltungsgericht Köln erhoben. Es ist der Auffassung, „dass allein Facebook für seine Datenverarbeitung datenschutzrechtlich verantwortlich ist und insoweit datenschutzrechtliche Fragen allein im Verhältnis zu Facebook zu klären sind“.
Der Einsatz von künstlicher Intelligenz (KI) wird im Tätigkeitsbereich an verschiedenen Stellen aufgegriffen. So empfiehlt der BfDI der Bundesregierung den Erlass eines Beschäftigtendatenschutzgesetzes, „in dem etwa der Einsatz von KI im Beschäftigungskontext, die Grenzen der Verhaltens- und Leistungskontrolle sowie typische Datenverarbeitungen im Bewerbungs- und Auswahlverfahren klar geregelt werden“. Zudem äußert er sich kritisch gegenüber der von der Europäischen Union geplanten Chat-Kontrolle. Diese biete „kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation“ (S. 45).
23. Februar 2023
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber veröffentlichte eine Pressemitteilung, der zufolge er der Bundesregierung den Betrieb ihrer Facebookseite untersagt habe. Für die Abschaltung der Facebookseite habe das zuständige Bundespresseamt (BPA) vier Wochen Zeit.
Fehlende Rechtsgrundlage und Cookies
Der Auslöser für die Untersagung sei, neben verschiedener datenschutzrechtlicher Bedenken, ein Gutachten einer Taskforce, die die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) eingesetzt habe. In ihrem Gutachten habe sich die Taskforce mit dem Betrieb von sog. Facebook-Fanpages auseinandergesetzt (wir berichteten). Im Ergebnis habe die Taskforce festgestellt, dass keine wirksame Rechtsgrundlage zum Betrieb einer Facebook-Fanpage bestehe und dass der Betreiber der Seite seinen Informationspflichten nach Art. 12 ff. DSGVO nicht nachkommen könne.
Dementsprechend betonte der BfDI zunächst, dass bei der Erstellung einer Facebookseite eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bestehe. Der Betreiber einer Fanpage und das Facebook-Mutterunternehmen Meta haben im Hinblick auf die Facebook-Fanpage sich ergänzende Interessen.
Aus der gemeinsamen Verantwortlichkeit folge für das BPA die Pflicht, den datenschutzkonformen Betrieb nachzuweisen. In einem zuvor erfolgten Verfahren sei es dem BPA allerdings nicht gelungen, den BfDI von der Datenschutzkonformität der Facebook-Fanpage zu überzeugen.
Konkret kritisierte der BfDI, dass es an einer für die Datenverarbeitung erforderlichen Rechtsgrundlage fehle. Auch die von der DSK eingesetzte Taskforce habe diesen Umstand in ihrem Gutachten vergangen Jahres bemängelt.
Zusätzliche monierte der BfDI den Einsatz von Cookies auf der Facebookseite. Den Einsatz von Cookies regele das TTDSG. Nach § 25 Abs. 1 TTDSG sei für die Speicherung von Informationen in der Einrichtung des Nutzer oder das Auslesen dieser Informationen, d.h. für den Einsatz von Cookies eine Einwilligung erforderlich. Einer solchen Einwilligung bedürfe es unter anderem nicht, wenn die Speicherung oder das Auslesen von Informationen nach § 25 Abs. 2 Nr. 2 TTDSG „unbedingt erforderlich“ sei. Aus Sicht des BfDI sei im Falle der Facebookseite allerdings problematisch, dass Meta nicht unbedingt erforderlich Cookies einsetzte. Für diese Verwendung werde indes keine, mangels Ausnahme erforderliche Einwilligung eingeholt.
Fazit
Die im Ergebnis bestehenden Bedenken der Datenschutzkonformität führen folglich zur Pflicht des BPA, die Facebookseite der Bundesregierung abzuschalten. Gegen die Entscheidung des BfDI könne das BPA Klage erheben.
Bereits vor einem Jahr hatte die DSK, im Zusammenhang mit dem veröffentlichten Gutachten öffentliche Stellen zur Überprüfung und zur eventuell erforderlichen Abschaltung ihrer Facebookseiten aufgerufen. Ob mit der Entscheidung des BfDI die Datenschutzkonformität von Facebookseiten privater Unternehmen vermehrt Aufmerksam erhalten wird, bleibt abzuwarten.
30. Januar 2023
Ein Arbeitskomitee des Europäischen Datenschutzausschusses (EDSA) hat einen Bericht über Cookie-Banner vorgelegt. Wenn die Datenschutzbehörden diesen Bericht umsetzen, könnten irreführende Cookie-Banner bald Geschichte sein.
Der Bericht regelt auch die Anwendung der ePrivacy Richtlinie und dessen nationalen Umsetzungen, wie dem TTDSG in Deutschland, da es im Anwendungsbereich der Richtlinie keinen einheitlichen Mechanismus gibt. Das bedeutet, dass die Aufsichtsbehörden nicht verpflichtet sind, bei grenzüberschreitenden oder EU-weiten Verarbeitungen eine europaweite Absprache vorzunehmen. Der Bericht bietet jedoch eine abgestimmte Positionierung zu einigen Aspekten, was aus Sicht der Praxis von Vorteil ist.
Abgrenzung ePrivacy Richtlinie und DSGVO
Die Aufsichtsbehörden klären im Bericht das Verhältnis zwischen der ePrivacy Richtlinie und der DSGVO. Sie stellen fest, dass für die Verarbeitungen, die nach der Speicherung von oder dem Zugang zu Informationen auf dem Gerät eines Nutzers stattfinden, wie das Setzen oder Lesen von Cookies, die DSGVO als relevante Rahmengestaltung gilt.
Ablehnung von Cookies auf erster Ebene
Der Berichtsentwurf ist das Ergebnis einer Zusammenarbeit der Datenschutzbehörden im Rahmen des EDSA-Ausschusses für Cookie-Banner. Dieser Entwurf bestätigt bestehende Gesetze und legt eine Mindeststandards für die Bewertung von Cookie-Bannern fest. Viele nationale Richtlinien gehen jedoch weiter.
Laut dem Bericht des EDSA sollen folgenden Praktiken als rechtswidrig angesehen werden:
- Fehlende Ablehn-Option auf derselben Ebene wie die Zustimmung
- Bereits angekreuzte Kästchen anstelle einer aktiven Zustimmung
- Eingebettete Textlinks zur Ablehnung
- Links außerhalb des Cookie-Banner zur Verweigerung der Zustimmung
- der Vorwand des berechtigten Interesses an der Installation nicht notwendiger Cookies
- Keine permanente Möglichkeit, die Zustimmung zu widerrufen
Der EDSA verlangt – präzise formuliert – eine Möglichkeit, die Einwilligung bereits “auf der ersten Ebene” nicht zu erteilen. Dabei müssen Schaltflächen nicht eins zu eins gleich gestaltet sein. Die Ablehnungsmöglichkeit ist, wenn sie in einem Fließtext eingebettet besonders hervorgehoben und sich vom restlichen Text abhebt, wohl zulässig. Dafür genügt etwa Fettdruck, Unterstreichung oder eine andere Farbe.
Dagegen werden einige Fragen im Berichtsentwurf des EDSA nicht vollständig beantwortet. So hat die Taskforce beispielsweise keine Entscheidungen über irreführende Farben und Kontraste von Schaltflächen getroffen und auch nicht geklärt, wo ein gut sichtbarer und standardisierter Ort für die Widerrufserklärung liegen sollte. Die endgültige Version des EDSA-Berichts ist noch nicht veröffentlicht worden.
26. Januar 2023
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) leitete ein Bußgeldverfahren gegen das Unternehmen “PimEyes” ein. Grund hierfür sei, so der LfDI BaWü die datenschutzwidrige Speicherung biometrischer Daten durch das Unternehmen.
Verarbeitung durch PimEyes
PimEyes ist eine sog. Reverse Suchmaschine. Die Nutzer können alle möglichen Webseiten nach vorhandenen Bildern der eigenen Person durchsuchen lassen. Der LfDI BaWü betonte, dass es sich bei den verarbeiteten Bildern um personenbezogene Daten handele. Diese seien überdies personenbezogene Daten besonderer Kategorie gem. Art. 9 DSGVO. Konkret verarbeite PimEyes biometrische Daten, d.h. persönliche Erkennungsmerkmale, wie etwa die Gesichtsform oder Augenfarbe.
Zur Datenschutzkonformität seiner Dienstleistung, konnte sich PimEyes zunächst ausführlich äußern. Der LfDI BaWü gab bekannt, dass er im Rahmen der Untersuchung unteranderem Fragen zu den implementierten technischen und organisatorischen Maßnahmen gestellt habe.
Das Unternehmen habe vorgebracht, dass es nur Bilder verwende, die im Internet öffentlich zugänglich seien. Mit Hilfe der Bilder seien keine Personen identifizierbar, sodass es an einem Personenbezug fehle. Darüber hinaus sei es möglich betroffene Personen, sofern sie dies wollen, aus der Fotodatenbank auszuschließen. Um diese sog. „Opt-Out“ Möglichkeit wahrzunehmen, müssen die betroffenen Person einen Identitätsnachweis und ein Bild vorlegen. Der Missbrauch von Bildern durch Dritte, verbiete das Unternehmen in seinen Allgemeinen Geschäftsbedingungen.
Biometrische Daten
In seiner Pressemitteilung betonte der LfDI BaWü, dass die Verarbeitung personenbezogener Daten besonderer Kategorie verboten sei. Ausschließlich in den nach Art. 9 Abs. 2 DSGVO normierten Fällen sei die Verarbeitung ausnahmsweise erlaubt.
Demnach habe sich die Frage gestellt, auf welcher Rechtsgrundlage PimEyes die Bilder verarbeite. Für eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO fehle es schon an der Einwilligung der betroffenen Personen. Soweit PimEyes freizugängliche Bilder von Internetseiten verarbeite, stelle sich insoweit die Frage, wann und wie es eine Einwilligung der betroffenen Person einhole. Sofern die betroffenen Person ihre Bilder selbst öffentlich gemacht habe, könne die Ausnahme nach Art. 9 Abs. 2 lit. e DSGVO in Betracht kommen. Allerdings sei es wahrscheinlicher, dass Dritte die Bilder betroffenen Personen veröffentlicht haben. Für eine Verarbeitung im öffentlichen Interesse nach Art. 9 Abs. 2 lit. g DSGVO fehle die erforderliche Beauftragung durch eine öffentliche Stelle.
Fazit
Aus Sicht der Landesbehörde seien viele Fragen im Rahmen der Untersuchung offen geblieben, sodass sie im Ergebnis ein Bußgeldverfahren gegen PimEyes eröffnet habe.
25. Januar 2023
Bereits 2021 hatte die Europäische Kommission eine Zielvorstellung für digitale Veränderungen in Europa präsentiert, die bis 2030 umgesetzt werden soll. Kurz gefasst sollen dadurch Kompetenzen, digitale Infrastruktur, Digitalisierung in Unternehmen und öffentlichen Diensten gestärkt werden.
Warum ist uns das besonders wichtig? Digitale Veränderungen beinhalten Chancen und Risiken – auch für den Datenschutz.
Die Ziele
Die Europäische Kommission hat ihre Ziele und Strategien im digitalen Kompass zusammengefasst. Ein zentrales Ziel sei unter anderem die digitale Souveränität Europas, die anhand folgender Kernpunkte erreicht werden sollen.
Eine digital befähigte Bevölkerung und hoch qualifizierte digitale Fachkräfte
Bis 2030 sollen etwa 20 Millionen Informations- und Kommunikationstechnologische Fachkräfte weitergebildet werden.
Sichere, leistungsfähige und tragfähige digitale Infrastrukturen
Alle europäischen Haushalte sollen Zugang zu einer Gigabit-Leitung und alle besiedelten Gebiete 5G erhalten. Der weltweit europäische Anteil am Halbleitermarkt soll verdoppelt und 10.000 klimaneutrale, hochsichere Randknoten in der EU errichtet werden.
Digitalisierung von Unternehmen
Die Digitaltechnik soll auf 75% der Unternehmen erhöht werden, indem sie Cloud-Computing, Big Data und künstliche Intelligenz in ihr Unternehmen integrieren
Digitalisierung öffentlicher Dienste
Ziel sei zum Beispiel, dass jeder europäischen Bürger Online-Zugang zu wesentlichen öffentlichen Diensten und ihren elektronischen Patientenakten bekommt
Folgen für den Datenschutz
Die Umsetzung der geplanten Ziele hat weitreichende Folge auf dem Gebiet des Datenschutzes. Es stellen sich diverse Herausforderungen für Verantwortliche.
Förderung von Datenschutzbeauftragten
Die Weiterentwicklung und Erhöhung digitaler Fachkräfte betrifft zum einen die Förderung von Datenschützern und deren Ausbildung. Zum anderen steigt der Bedarf an Sensibilisierung anderer Fachkräfte durch Datenschutzbeauftragte. Nimmt die Verbreitung digitaler Infrastruktur zu und erhöht sich der Stand der Digitaltechnik auf 75%, müssen sämtliche Bereiche ihre Kenntnisse im Datenschutz stärken, um der DSGVO gerecht werden zu können.
Der internationale Datentransfer
Digitale Infrastrukturen sind im Rahmen der digitalen Ziele und damit nicht zuletzt auch beim Datenschutz von Bedeutung. Insbesondere bei der Auftragsverarbeitung (Art. 28 DSGVO) wird auf Dienstleister zurückgegriffen, die Daten in der Cloud von Drittländern verarbeiten. Hier müssen die Bestimmungen des Art. 44 DSGVO beachtet werden, was häufig zu Herausforderungen in Verbindung mit Drittlandtransferprüfungen und Subdienstleistern führt. Im Zuge einer erweiterten digitalen Infrastruktur in der EU könnte eine Alternative zu Drittlandtransfers ausgebaut werden. Anfänge dafür sieht man z.B. an Projekten wie der EU Data Boundary von Microsoft.
Öffentliche und nicht-öffentliche Dienste
Die EU möchte auch die Digitalisierung der öffentlichen Dienste sowie den einfachen Zugang zu Patienten-/Bürgerakten, die sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten können, vorantreiben. An den Schnittstellen dieser Dienste wird eine große Menge von Daten zwischen öffentlichen Stellen und Privatpersonen aber auch nicht öffentlichen Stellen ausgetauscht werden. Vor allem an diesen Stellen herrscht ein hohes Risiko, welches mehr Aufwand wie unter Umständen eine Datenschutz-Folgenabschätzungen und damit das Einführen zusätzlicher Schutzmaßnahmen zur Folge haben kann.
Fazit
Im Ergebnis müssen, trotz der positiven Auswirkungen der Digitalisierung, dennoch die vielseitigen Risiken für den Datenschutz beachtet werden, damit die Digitalisierung Europas ein tatsächlicher Erfolg wird. Leider besteht bislang auf europäischer Ebene Uneinigkeit darüber, wie mit der Lösung dieser Probleme umgegangen werden soll und welche Schwerpunkte gesetzt werden müssen. Es bleibt abzuwarten, welche Gesetzgebungsvorhaben in Zukunft durchgesetzt werden, um das komplexe Zusammenspiel von Datenschutz und Bereichsregulierung zu ordnen.
19. Januar 2023
Die französische Datenschutzbehörde „Commission nationale de l‘informatique et des libertés“ (CNIL) veröffentliche vergangene Woche eine Pressemitteilung, derzufolge sie ein Bußgeld gegen die Social-Media Plattform TikTok in Höhe von 5 Millionen Euro verhängt habe. Der Grund für das hohe Bußgeld sei der rechtswidrige Umgang mit Cookies gewesen.
Schlechter Banner, schlechte Informationen
Die CNIL monierte, dass die Nutzer der Webseite „tiktok.com“ Cookies nicht so leicht ablehnen wie akzeptieren können. Zusätzlich informiere TikTok die Nutzer nur unzureichend über die verschiedenen Cookies, die das Unternehmen auf der Webseite einsetze.
Die französische Behörde gab bekannt, dass sie zwischen Mai 2020 und Juni 2022 die TikTok-Webseite auf ihre Cookie-Konformität hin untersucht habe. Demnach sei Gegenstand der Untersuchung die von TikTok UK und TikTok Ireland betriebene Webseite gewesen. Die Behörde habe die Webseite als nicht registrierter Nutzer besucht.
Konkret sei der CNIL aufgefallen, dass das eingesetzte Banner lediglich einen „Akzeptieren“-Button beinhaltet habe. Das Ablehnen der Cookies sei hingegen nur durch die Betätigung mehrerer Schaltflächen möglich gewesen. Dabei sei es problematisch, dass die Nutzer aufgrund des komplizierten Abwahl-Mechanismus Cookies rasch akzeptierten. Außerdem habe das Unternehmen weder auf dem Banner noch auf der per Link aufrufbaren Unterseite ausreichende Informationen für die Nutzer zur Verfügung gestellt.
Verstoß gegen Art. 82 Datenschutzgesetz
Im Ergebnis habe CNIL einen Verstoß gegen Art. 82 des französischen Datenschutzgesetz festgestellt.
Das Datenschutzgesetz ist ein nationales Regelungswerk, dass die Öffnungsklauseln der Datenschutz-Grundverordnung (DSGVO) umsetzt. Art. 82 des Datenschutzgesetzes legt Regelungen zur Speicherung und zum Auslesen bereits gespeicherter Informationen im Endgerät des Nutzers fest. Dabei ist eine vorherige Information über das Auslesen und Speichern erforderlich. Zusätzlich bedarf es für beide Vorgehensweisen eine Einwilligung.
Die Norm ähnelt der deutschen Regelung des § 25 TTDSG. Diese findet in Deutschland neben der DSGVO für die Gestaltung von Cookie-Bannern und ihrem Einsatz Anwendung.
5. Januar 2023
Nur kurze Zeit nach dem letzten Millionenbußgeld hat die irische Datenschutzbehörde Data Protection Commission (DPC) erneut gegen den Meta-Konzern Sanktionen verhängt. Der Gesamtbetrag von 390 Millionen Euro setzt sich aus Bußgeldern gegen Facebook (210 Millionen Euro) und Instagram (180 Millionen Euro) zusammen.
Rechtsgrundlage Vertrag statt Einwilligung?
Anstoß für die Untersuchung der DPC gaben die Beschwerden eines Österreichers und eines Belgiers am 25. Mai 2018, dem Tag des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO). Nach einer Änderung der Nutzungsbedingungen sollten die personenbezogenen Nutzerdaten nicht mehr auf Basis einer Einwilligung, sondern auf vertraglicher Basis verarbeitet werden. Dazu zählte auch die Nutzung für personalisierte Werbung.
Meta argumentierte, dass mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag mit dem Nutzer zustande gekommen sei. Die Verarbeitung der Nutzerdaten im Zusammenhang mit der Bereitstellung ihrer Facebook- und Instagram-Dienste sei für die Erfüllung dieses Vertrags, einschließlich der Bereitstellung personalisierter Dienste und verhaltensorientierter Werbung, erforderlich, sodass diese Verarbeitungen gemäß Artikel 6 Abs. 1 lit. b DSGVO (die „vertragliche“ Rechtsgrundlage für die Verarbeitung) rechtmäßig gewesen seien.
Dagegen vertraten die Beschwerdeführer die Meinung, dass Meta sich weiterhin auf die Einwilligung als Rechtsgrundlage berufe. Indem Meta den Zugang zu seinen Diensten von der Zustimmung der Nutzer zu den aktualisierten Nutzungsbedingungen abhängig mache, zwinge es sie faktisch dazu, der Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbung und andere personalisierte Dienste zuzustimmen.
Jahrelange Entscheidungsfindung
In einem Beschlussentwurf vom Oktober 2021 hatte die DPC eine Geldbuße zwischen 28 und 36 Millionen Euro für angemessen erachtet. Meta habe demnach gegen seine Transparenzpflichten verstoßen, indem Nutzer nicht ausreichend über die Verarbeitungsprozesse informiert worden seien. Metas Vorgehen hinsichtlich der Rechtsgrundlage sei jedoch zulässig gewesen.
Die im Rahmen des Kooperations- und Kohärenzverfahrens beteiligten Datenschutzbehörden waren mit der Entscheidung der DPC nicht einverstanden, sodass schließlich der Europäische Datenschutzausschuss (EDSA) beteiligt wurde. Dieser widersprach der Rechtsauffassung der DPC. Er befand, dass Meta im Rahmen der personalisierten und verhaltensbezogenen Werbung nicht auf einen Vertrag als Rechtsgrundlage zurückgreifen könne.
Laut der Datenschutzorganisation noyb habe die DPC während des Verfahrens mit Meta eng zusammengearbeitet. Meta habe sogar argumentiert, dass die DPC das Vorgehen abgesegnet habe.
Wie geht es nun weiter?
Neben dem Bußgeld hat die DPC Meta dazu verpflichtet, innerhalb von drei Monaten nachzuweisen, dass die Verarbeitungstätigkeiten entsprechend der Vorgaben angepasst wurden. Wie diese Umsetzung aussehen soll, ist noch unklar. Voraussichtlich wird Meta gerichtlich dagegen vorgehen.
Darüber hinaus hat die DPC angekündigt, gegen den EDSA zu klagen. Dieser hatte ihr aufgetragen, eine weitere Untersuchung gegen Facebook und Instagram hinsichtlich der Verarbeitung besonderer Kategorien personenbezogener Daten einzuleiten. Der EDSB habe keine allgemeine Aufsichtsfunktion, die mit der der nationalen Gerichte in Bezug auf nationale unabhängige Behörden vergleichbar sei. Es stehe dem EDSB nicht frei, eine Behörde anzuweisen, unbefristete und spekulative Untersuchungen durchzuführen.
2. Januar 2023
Die dänische Aufsichtsbehörde hat am 20.5.2022 einen Fall zu der Frage, ob ein Auskunftsanspruch durch einen Auftragsverarbeiter erfüllt werden muss, entschieden.
Über den Sachverhalt
Der Betroffene hatte auf eBay einen Artikel bei dem Unternehmen Asus gekauft und im Rahmen des Kaufs seine E-Mail-Adresse angegeben. Danach erhielt er eine E-Mail von noreply.invitations@trustpilot.com, in der der Asus Online Shop als Absender angegeben war und in der er gebeten wurde, das Kauferlebnis bei Asus auf Trustpilot zu bewerten. Der Betroffene kontaktierte daraufhin Trustpilot von einer anderen E-Mail-Adresse und bat um Auskunft über eventuell verarbeitete personenbezogene Daten. Trustpilot antwortete und teilte mit, dass kein aktiver Nutzer für die E-Mail gefunden werden konnte und daher keine Daten über den Betroffenen verarbeitet wurden. Der Betroffene erhielt danach erneut eine E-Mail von Trustpilot im Namen des Asus Online Shops. Der Shop bat ihn darin, den Einkauf bei Asus zu bewerten. Der Betroffene beschwerte sich deswegen bei der bayerischen Behörde (BayLDA). Das BayLDA leitete die Beschwerde an die Berliner und diese an die dänische Aufsichtsbehörde weiter.
Die Entscheidung der Behörde
Als die für Trustpilot zuständige Datenschutzbehörde hat sie also darüber entscheiden müssen, ob Trutspilot nach Art. 15 DSGVO verpflichtet war, die Auskunft zu erteilen.
In der Begründung der dänischen Behörde geht hervor, dass allein der für die Verarbeitung Verantwortliche nach Art. 15 DSGVO zur Auskunft an den Betroffenen verpflichtet.
„Da gemäß den Artikeln 12 und 15 nicht der Auftragsverarbeiter, sondern der Verantwortliche verantwortlich ist, einen Antrag auf Auskunft zu bearbeiten und zu beantworten, ist die dänische Datenschutzbehörde der Ansicht, dass Trustpilot nicht gegen diese Bestimmungen verstoßen hat.“
Unterstützungspflicht des Auftragsverarbeiter
Jedoch ist Trustpilot nach Art. 28 Abs. 3 lit. e DSGVO verpflichtet, den Verantwortlichen bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannte Rechte der betroffenen Person zu unterstützen.
Außerdem hat der Betroffene im Rahmen seiner Anfrage auch seinen Namen und seine postalische Adresse angegeben hatte. Deswegen kritisierte die dänische Datenschutzbehörde, dass Trustpilot keine einheitliche Vorgehensweise bei der Suche nach relevanten Informationen, einschließlich des Namens und der Adresse, die der Betroffene im Zusammenhang mit seiner Anfrage übermittelt hat, umgesetzt hat. Trustpilot war offenbar nicht in der Lage, nach dem Namen und der Adresse zu suchen und einen Vergleich durchzuführen. Dadurch hätte Trustpilot die Möglichkeit gehabt, die betroffene Person zu identifizieren und, als Auftragsverarbeiter, den Verantwortlichen in dem vereinbarten Umfang bei der Verarbeitung zu unterstützen. Die dänische Behörde hat dies jedoch nur als Hinweis an Trustpilot gegeben und das Verfahren eingestellt.
Fazit
In der Begründung empfiehlt die Aufsichtsbehörde, dass Trustpilot zusätzliche Daten (Name und Adresse) als Auftragsverarbeiter erhalten soll, die für die eigene Leistung nicht unbedingt erforderlich sind, aber für Betroffenenanfragen relevant sein könnten. Diese Empfehlung mag aus Sicht der Erleichterung von Betroffenenanfragen zwar sinnvoll sein, doch ist der Verantwortliche (für den Trustpilot als Auftragsverarbeiter auch bei Betroffenenanfragen unterstützen muss) laut Art. 11 DSGVO nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, nur um Betroffenenrechte zu erfüllen. Zu beachten ist, dass die erforderlichen Daten (Name und Adresse) bereits beim Verantwortlichen vorliegen. Eine mögliche Alternative könnte sein, dass Trustpilot die Anfrage des Betroffenen (inklusive der unbekannten E-Mail-Adresse) direkt an den Verantwortlichen weiterleitet.
Pages: 1 2 ... 5 6 7 8 9 ... 36 37