Kategorie: DSGVO

Verbraucherschützer mahnen Firmen wegen Cookie-Bannern ab

17. September 2021

Die Verbraucherzentralen in Deutschland haben knapp 100 Unternehmen abgemahnt, weil diese sich laut Verbraucherschützer rechtswidrig die Zustimmung zum Datensammeln beim Surfen im Web erschlichen haben. Bei einer Untersuchung von 949 Webseiten hätten zehn Prozent der Firmen mit ihren Cookie-Bannern eindeutig gegen die Vorgaben des Telemediengesetzes und der Datenschutzgrundverordnung verstoßen, erklärte die Verbraucherzentrale Bundesverband (vzbv) am Freitag in Berlin.

Viele Cookie-Banner bewegen sich in der rechtlichen Grauzone

Bei der Aktion wurden Webseiten aus unterschiedlichen Branchen wie Reisen, Lebensmittel-Lieferdienste oder Versicherungen untersucht. Neben den eindeutig rechtswidrigen Bannern, gab es zudem viele Banner, die sich in einer rechtlichen Grauzone bewegten. „Die Banner wirkten auf den ersten Blick zulässig, versuchten aber durch Tricks, die Entscheidung der Seitennutzer und Nutzerinnen zu lenken.“

Die Verbraucherschützer haben 98 Abmahnungen wegen klarer Verstöße gegen das TMG und die DSGVO verschickt. In zwei Drittel der Fälle hätten die Unternehmen inzwischen eine Unterlassungserklärung abgegeben.

Auftakt Cookie-Aktion

Cookies sind kleine Datensätze, die Webseiten hinterlegen, um die Nutzerinnen und Nutzer identifizierbar zu machen. Mit ihrer Hilfe können individuelle Profile erstellt werden, die weitreichende Rückschlüsse über Surfverhalten, Vorlieben und Lebensgewohnheiten zulassen. Dieses Wissen wird dann etwa für personalisierte Werbung herangezogen.

vzbv-Vorstand Klaus Müller sagte, rechtswidrige Cookie-Banner seien kein Kavaliersdelikt. „Die zunehmende Daten-Schnüffelei gefährdet die Privatsphäre der Verbraucherinnen und Verbraucher und führt zum durchleuchteten Bürger.“ Die Verbraucherzentralen und Verbände wollen in Zukunft verstärkt gemeinsam juristisch agieren, um gegen gravierende Probleme des Verbraucherschutzes oder offensichtliches Marktversagen anzugehen. Die Cookie-Abmahnaktion bildet dazu den Auftakt.

Aufsichtsbehörde: Faxversand ist unsicheres Kommunikationsmittel

Der hessische Datenschutzbeauftragte hat sich in einer Stellungnahme gegen die Übermittlung personenbezogener Daten per Fax ausgesprochen. Damit schließt er sich der Meinung anderer Aufsichtsbehörden an, die das Fax ebenfalls als nicht mehr zeitgemäß und nicht datenschutzkonform einstufen.

Als Begründung führte er an, dass es mittlerweile eine Vielzahl an sichereren Methoden gebe, um Nachrichten auszutauschen wie z.B. der verschlüsselte E-Mail-Versand. Derzeit gleiche eine Übermittlung per Fax aber vielmehr einer unverschlüsselten E-Mail. Daran problematisch sei insbesondere, dass durch die Eingabe einer falschen Faxnummer personenbezogene Daten Unbefugten gegenüber offenbart werden. Aber auch bei der Eingabe einer korrekten Faxnummer könne nicht sichergestellt werden, wer das Fax am anderen Ende in Empfang nehme. Dadurch ergeben sich Risiken für die Rechte und Freiheiten natürlicher Personen, die mit der DSGVO nicht in Einklang stehen.

Die DSGVO schreibt bestimmte Anforderungen vor, die es bei der Verarbeitung personenbezogener Daten zu berücksichten gilt. Dazu gehört gem. Art. 5 Abs. 1 lit. f DSGVO auch, dass die Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit einschließlich dem Schutz vor unbefugter Verarbeitung und unbeabsichtigtem Verlust gewährleistet. Die Einhaltung geeigneter technischer und organisatorischer Maßnahmen (vgl. Art. 32 DSGVO) spiele dabei eine zentrale Rolle. Diese könnten bei dem Faxversand nicht eingehalten werden.

Daher empfiehlt der hessische Datenschutzberauftragte grundsätzlich keine personenbezogenen Daten per Fax zu übermitteln und auf digitale Lösungen umzustellen. Nur in Ausnahmefällen z.B. aufgrund einer besonderen Eilbedürftigkeit und wenn zusätzliche Schutzmaßnahmen bei den Versendern und Empfängern getroffen worden sind, sollte auf das Faxgerät zurückgegriffen werden. Personenbezogene Daten, die besonders sensibel sind und damit einen hohen Schutzbedarf aufweisen, sollten gar nicht per Fax übermittelt werden.

Auf alternative Kommunikationsmittel verweist der Landesdatenschutzbeauftragte in seiner Stellungnahme. Um mit gutem Vorbild voranzugehen, führt seine Behörde keine Faxnummern mehr auf der Homepage.

TikTok im Fokus der irischen Datenschutzbehörde

16. September 2021

Die umstrittene chinesische App steht schon lange wegen ihrer datenschutzrechtlichen Praktiken in der Kritik. In den USA erhielt TikTok bereits Millionenstrafen für die Datenschutzrechtsverletzungen von Kindern und Jugendlichen. Nun hat auch die irische Datenschutzbehörde DPC Ermittlungen in zwei Fällen aufgenommen. Zum einen gehe es um die Verarbeitung von persönlichen Daten von Kindern und Jugendlichen und zum anderen um die Weitergabe von Daten nach China, ließ die DPC verlautbaren.

Gegenstand der Untersuchungen

Im Fokus der Untersuchungen steht, ob TikTok die Privatsphäre seine jugendlichen Nutzer:innen ausreichend schützt. Datenschützer:innen kritisieren unter Anderem, dass TikTok seine Nutzer nicht eindeutig und vor allem nicht in einer für Kinder und Jugendliche verständlichen Weise darüber informiere, welche personenbezogenen Daten zu welchem Zweck und aus welchem Rechtsgrund erhoben werden. Außerdem untersuchen die Behörden mögliche Datenabflüsse aus Europa in Drittstaaten wie China. Denn TikTok gehört zum chinesischen Konzern ByteDance mit Sitz in Peking- und in China müsse man mit einem unbeschränktem und anlasslosen Zugriff der Behörden auf die Daten rechnen, so Datenschutzrechtler.

Streit um die Zuständigkeit

Dass die irische Datenschutzbehörde nun ermittelt, ist keinesfalls selbstverständlich, hatte sie doch noch im letzten Jahr vehement ihre Zuständigkeit abgestritten. Im letzten Jahr hatten Dänemark, die Niederlande und Frankreich Untersuchungen gegen TikTok wegen möglicher Datenschutzverletzungen eingeleitet. Gibt es keinen zentralen EU-Sitz, können schließlich Datenschutzbehörden in jedem EU-Land eigenständig ermitteln. Dann hatte TikTok jedoch einen zentralen europäischen Sitz in Datenschutzangelegenheiten in Irland angekündigt. Gegen die Niederlassung von TikTok in Irland hatte sich die DPC lange Zeit gewehrt und bezweifelt, dass sich TikTok wirklich dauerhaft in Dublin niederlassen würde- während TikTok andere Datenschutzbehörden bereits auf die Hauptniederlassung in Irland verwiesen hatte. Für TikTok war dies zweifelsohne eine begrüßenswerte Situation.

Nun besteht Klarheit bezüglich der Zuständigkeit der irischen Datenschutzbehörde. Sie hat damit ein weiteres Verfahren von immenser Tragweite und Bedeutung neben denen gegen Facebook, Google und Twitter zu bewältigen. Viele befürchten aufgrund mangelnder Ressourcen und Personal, dass auch im Verfahren gegen TikTok die Untersuchung und Ahndung von etwaigen Datenschutzverletzungen nur schleppend vorangehen wird.

EuGH verhandelt zur deutschen Vorratsdatenspeicherung

15. September 2021

Am 13.09.2021 begann vor der großen Kammer des Europäischen Gerichtshofes (EuGH) die mündliche Verhandlung zur Vorratsdatenspeicherung in Deutschland. Ausgangspunkt dafür war ein Rechtsstreit zwischen der Bundesnetzagentur und der Telekom sowie dem Internetanbieter SpaceNet. Telekom und SpaceNet wehren sich gegen die § 113a Abs. 1 i.V.m. § 113b Telekommunikationsgesetz (TKG), die die Vorratsdatenspeicherung regeln. Nach diesen Vorschriften sollen bestimmte Daten über Kunden aufbewahrt werden, falls Polizei- und Strafverfolgungsbehörden darauf Zugriff benötigen. Bei diesen Daten handelt es sich nicht um Gesprächsinhalte, sondern um IP-Adressen, Verbindungs- und Standortdaten. Der Rechtsstreit ist momentan beim Bundesverwaltungsgericht (BVerwG) anhängig. Das BVerwG stellte sich die Frage, ob eine solche Regelung mit Unionsrecht vereinbar sein kann und legte die Regelung dem EuGH zur Kontrolle vor. Die Pflicht zur Speicherung ist in Deutschland seit einem Urteil des Oberverwaltungsgerichts Münster im Jahr 2017 durch die Bundesnetzagentur ausgesetzt, sodass eine Vorratsdatenspeicherung im Sinne dieser Normen momentan nicht stattfindet.

Die Vorratsdatenspeicherung ist in Europa schon seit Jahren ein umstrittenes Thema. Erst im Oktober 2020 urteilte der EuGH, dass die damals vorgelegten Regelungen zur Vorratsdatenspeicherung unzulässig sei. Die damaligen Regelungen kamen aus Frankreich, Belgien und Großbritannien. Sie sahen eine pauschale Vorratsdatenspeicherung vor. Der EuGH stellte damals fest, dass eine anlasslose Speicherung nur ausnahmsweise dann zulässig sein könne, wenn dieses zur Bekämpfung schwerer Kriminalität oder einer konkreten Bedrohung der nationalen Sicherheit notwendig sei.

Die EU-Mitgliedsstaaten, sowie die EU-Kommission setzen sich seit Jahren für eine Vorratsdatenspeicherung ein, da dies die Aufklärung schwerer Kriminalität erleichtern kann. DatenschützerInnen sind hingegen um die Sicherheit der gespeicherten Daten besorgt und darüber, dass Daten von jedem Bürger gespeichert werden sollen, nicht nur von strafrechtlich Auffälligen. Einen Kompromiss könnte der EuGH in dem erwarteten Urteil z.B. mit kürzeren Speicherfristen finden. Auch über das sogenannte “quick freeze” wird nachgedacht, ein anlassbezogenes rasches Einfrieren von Verbindungsdaten.

Gleichzeitig mit der deutschen Vorratsdatenspeicherung wird der EuGH auch über Fälle aus Irland und Frankreich entscheiden. Mit einem Urteil kann frühestens ab Februar 2022 gerechnet werden.

Digitale Krankenakte – Datenschutzbehörde weist Krankenkassen zu digitaler Patientenakte an

10. September 2021

Der Bundesdatenschutzbeauftragte Ulrich Kelber weist vier große gesetzliche Krankenkassen an, die neue elektronische Patientenakte (ePa) mit weiteren Datenschutzfunktionen zu erweitern. Anderenfalls verstoße die digitale Patientenakte gegen die DSGVO, so Kelber am Donnerstag. Es sollen noch weitere Anweisungen an andere Kassen erfolgen. 

Kelber verlangt, dass die Versicherten selbst bestimmen können, wer was zu sehen bekommt. „Dem Versicherten muss das Recht eingeräumt werden, welches Dokument er welchem Dritten (Arzt, Therapeut etc.) zur Kenntnis geben möchte”, heißt es in dem Schreiben an die Krankenkassen, dass der Deutschen Presse-Agentur vorliegt. Ein “Alles-oder-Nichts-Prinzip” entspreche nicht dem Stand der Technik und verstoße gegen die DSGVO.

Zudem stört Kelber, dass die ePA von den Versicherten nur mit einem geeigneten Smartphone eingesehen und verwaltet werden kann. “90 Prozent der Versicherten mit mobilen Endgeräten werden ab 2022 Einblick nehmen und den Zugriff auf die Inhalte steuern können.” Den anderen zehn Prozent solle das verwehrt bleiben. “Dabei kann man das natürlich organisatorisch auch für diese zehn Prozent umsetzen.” Es gebe zwar die Möglichkeit, Dritten eine Vollmacht zur Einsichtnahme und Bearbeitung auszustellen und damit “die eingeschränkte Datensouveränität zu lindern, vollständig wiederherstellen vermag sie die eingeschränkte Souveränität jedoch nicht.”

Die Vollmacht-Lösung geht nach Einschätzung Kelbers auch nicht auf Bedenken gegen eine Verarbeitung von Gesundheitsdaten auf privaten Endgeräten ein. Hier sei vorstellbar, dass die Krankenkassen in ihren Filialen beispielsweise einen Tablet Computer in einem geschützten Netz vorhalten, auf dem sich die Versicherten einloggen und ihre persönliche Patientenakte verwalten können.

Der Streit um die Freigabe in der ePA dürfte in einen Rechtsstreit enden. Experten gehen davon aus, dass quasi alle Krankenkassen gegen Weisungen des Bundesbeauftragten klagen werden. Der Barmer-Vorstandsvorsitzende Christoph Straub hat sich bereits für rechtliches Vorgehen ausgesprochen. Gegen die Anweisung Kelbers kann beim Sozialgericht Köln Klage erhoben werden.

225 Millionen Euro Strafe gegen WhatsApp

3. September 2021

WhatsApp wurde von der irischen Datenschutzbehörde zu einer Rekordstrafe von 225 Millionen Euro verurteilt. Da WhatsApp zu Facebook gehört und der EU-Hauptsitz der Social-Media-Plattform in Irland liegt, ist die irische Aufsichtsbehörde für WhatsApp zuständig.

Die Strafe ist die Folge einer seit drei Jahren laufenden Untersuchung. Zu dem Zeitpunkt wurde in der EU eine neue DSGVO (Datenschutzgrundverordnung) aktiv, bei der es um personenbezogenen Datenaustausch zwischen Firmen und Nutzern geht. Gerügt wurde, dass das Unternehmen gegen die Transparenz bei der Weitergabe von Personendaten an andere Facebook-Unternehmen verstoßen habe. Auch habe es die Nutzer nicht ausreichend über die Verarbeitung ihrer Daten informiert. WhatsApp hat bereits angekündigt Berufung einzulegen.  


Die irische Datenschutzbehörde teilte mit, dass sie ihre Entscheidung, wie in der DSGVO vorgeschrieben, “nach einer langwierigen und umfassenden Untersuchung” anderen nationalen Datenschutzbehörden vorgelegen und Einwände aus acht Ländern, darunter Deutschland, Frankreich und Italien, erhalten habe. Dabei stimmten einige Länder in gewissen Punkten nicht mit der irischen Aufsichtsbehörde überein; u.a. was die Höhe der Geldstrafe angehe oder auch gegen welche spezifischen Artikel der DSGVO vorliegend verstoßen werde.  Ende Juli forderte der Europäische Datenschutzausschuss die irische Datenschutzbehörde dann dazu auf, ihre Feststellungen zu überarbeiten und die vorgeschlagene Geldbuße neu zu bewerten.
Eine höhere Strafe gab es bisher nur bei Amazon, die im Juli von der luxemburgischen Datenschutzbehörde eine Strafe in Höhe von 886,6 Millionen Euro auferlegt bekommen haben.

Ein Firmensprecher erklärte, WhatsApp sei bestrebt, einen sicheren und privaten Dienst anzubieten. „Wir haben uns dafür eingesetzt, dass die von uns bereitgestellten Informationen transparent und umfassend sind, und werden dies auch weiterhin tun.“ WhatsApp sei mit der aktuellen Entscheidung der irischen Datenschutzkommission in Bezug auf die Transparenz, die man den Menschen im Jahr 2018 geboten haben, nicht einverstanden. Die Strafe sei völlig unverhältnismäßig. „Wir werden gegen diese Entscheidung Rechtsmittel einlegen“, erklärte der WhatsApp-Sprecher.

Neues Datenschutzgesetz in China verabschiedet

1. September 2021

Am 01.09.2021 tritt das neue Datensicherheitsgesetz in China in Kraft. Doch daneben gibt es auch ein neues Datenschutzgesetz, das am 01.11.2021 in Kraft treten soll. Damit reagiert die Zentralregierung der Kommunistischen Partei auf die Sorgen der chinesischen Bevölkerung über Datenmissbrauch, insbesondere durch große Technologie- und Internetkonzerne. Auf den ersten Blick gibt es Ähnlichkeiten zur europäischen Datenschutz-Grundverordnung, es lohnt sich jedoch, einen zweiten Blick auf das Gesetz zu werfen.

Zu den Ähnlichkeiten zählt zunächst der recht weite Anwendungsbereich des neuen chinesischen Datenschutzgesetzes. Der Umgang mit personenbezogenen Daten muss einen angemessenen Zweck verfolgen und auf den minimalen Umfang beschränkt werden. Außerdem gibt es Einschränkungen für Profiling und die Information und Zustimmung der Betroffenen wird wichtiger. Richtlinien zur Übermittlung der Daten ins Ausland sind ebenso vorhanden wie die Pflicht ausländischer Unternehmen, einen Verantwortlichen als Ansprechpartner für chinesische Behörden zu benennen.

Neben diesen Aspekten, die so oder ähnlich in der DSGVO zu finden sind, fehlen jedoch wesentliche Prinzipien derselben. Zwar können einzelne Personen in Zukunft Rechtsmittel bei Datenpannen einlegen, den Strauß an Betroffenenrechten der DSGVO sucht man jedoch vergebens. Ein Pendant zur Datenschutzrichtlinie für Polizei und Justiz gibt es ebenfalls nicht. Der größte Unterschied ist jedoch, dass staatliche Akteure größtenteils nicht unter die neuen Regelungen fallen.

Der chinesische Staat sammelt selbst große Mengen an Daten über seine Einwohner, inklusive eines großen Sozialkreditsystems. Dies wird auch durch das neue Gesetz nicht unterbunden werden, es geht eher darum, große Technologiekonzerne zu regulieren. Unternehmen wie Alipay oder Wechat wurden in den letzten Jahren kaum reguliert und haben dadurch eine Vormachtstellung eingenommen. Das Gesetz könnte daher in Zukunft auch dazu eingesetzt werden, diese Vormachtstellung der Technologiekonzerne einzudämmen, in der Vergangenheit wurde dafür beispielsweise auch das Kartellrecht genutzt.

Geheime Fan-Datenbank in Bayern aufgedeckt

31. August 2021

Das Bayerische Landeskriminalamt hat im Geheimen eine Datenbank über Fußball-Fans geführt, wie eine Anfrage der Grünen-Fraktion im bayerischen Landtag ans Licht gebracht hat. Mit Stand vom 15.06.2021 wurden Daten über 1644 Personen gespeichert, begonnen hat das Projekt “EASy Gewalt und Sport” (Abkürzung für “Ermittlungs- und Analyseunterstützendes EDV-System”) am 24.01.2020.

Kritik gibt es vor allem dafür, wie leicht Betroffene in die Datei aufgenommen werden. So erfolgt die Aufnahme “nicht auf Basis eines einzelnen relevanten Sachverhalts, sondern auf Grundlage einer sogenannten Individualprognose”, wie die Antwort der Bayerischen Staatsregierung auf die Grünen-Anfrage beschreibt. Eine Interpretation legt nahe, dass die Aufnahme auch ohne Verdacht auf eine Straftat oder Ordnungswidrigkeit erfolgen könnte.

Kritiker befürchten, dass durch solche Datensammlungen eine Kartografie der ganzen Fan-Szene in Bayern erstellt werden könnte. Daraus könnte hervorgehen, wer mit wem Kontakt hat, welche Fanclubs besucht werden oder wer Bekannte in Ultra-Gruppierungen hat. Die Staatsregierung äußert dazu, dass die Daten zu Prognosen eingesetzt würden, die der “vorbeugenden Bekämpfung bzw. Verhütung von Straftaten und Ordnungswidrigkeiten” dienen sollen. Der sportpolitische Sprecher der Grünen-Landtagsfraktion, Max Deisenhofer, sieht diese Notwendigkeit nicht. Er hält den Besuch von Fußballspielen in Bayern für gefahrlos möglich, die Anzahl der Delikte gehe seit Jahren zurück.

Betroffene Personen werden nicht darüber informiert, dass sie in die Datenbank aufgenommen wurden. Daher haben auch nur sehr wenige Betroffene Gebrauch von ihrem Auskunftsrecht gemacht. Der zuständige Datenschutzbeauftragte Dr. Thomas Petri sieht die Speicherung szenetypischer Daten in vornehmlich präventiver Ausrichtung als “oftmals erforderlich” an. Allerdings ist er der Meinung, dass eine entsprechende Information an die Betroffenen aus Transparenzgründen “zu begrüßen” sei.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Großbritannien will sich von DSGVO lösen

30. August 2021

Letzten Donnerstag kündigte die britische Regierung an, sich zukünftig von den wesentlichen Inhalten der DSGVO trennen und ein neues Gesetz einführen zu wollen. Der Datenschutz solle weniger bürokratisch sein und einige Vorschriften sollen abgeschafft werden. Konkret als Beispiele wurden dabei die Cookie-Banner genannt, die von Minister Oliver Dowden in vielen Fällen als ‚sinnlos‘ angesehen werden. Diese Banner, die vom Webseiten-Besucher eine Einwilligung in das Speichern seiner Daten durch Cookies verlangen, sollen nach dem Willen der britischen Regierung zukünftig nur noch erforderlich sein, wenn ein hohes Risiko für die Privatsphäre der Besucher besteht. Dabei sollen vor allem kleine Unternehmen und Wohltätigkeitsorganisationen entlastet werden. Nach der Aussage von Oliver Dowden soll von diesen nicht dasselbe verlangt werden, wie von riesigen Social-Media-Unternehmen.

Auch freiere internationale Datenflüsse sind geplant. Dazu will Großbritannien Datenschutzvereinbarungen mit weiteren Staaten abschließen, u.a. den USA und Dubai. Die Abkommen sollen dabei z.B. Online-Banking und die Strafverfolgung regeln.

Eingerichtet werden soll auch ein ExpertInnen-Rat, der “International Data Transfers Expert Council”. Dieser Rat soll Vereinbarungen treffen und gleichzeitig auf die Einhaltung des Datenschutzes achten.

Der Vorschlag für das neue Gesetz soll im Laufe des Septembers veröffentlich werden. Die EU-Kommission plant dann eine sofortige Überprüfung, ob das geplante Gesetz dem Datenschutzniveau der EU entspricht. Sollte dies nicht der Fall sein, hätte dies Folgen für den erst seit zwei Monaten bestehenden Angemessenheitsbeschluss. Dieser kann jederzeit ausgesetzt und beendet werden, bekräftigte ein Kommissionsprecher. Dann würde die Datenübertragung zwischen Großbritannien und der EU wieder wesentlich komplizierter. Da Datentransfers sodann einer erneuten Überprüfung unterliegen und zum Beispiel Standardvertragsklauseln geschlossen werden müssen. Großbritanniens Minister Dowden versichert hingegen, das Datenschutzniveau der EU würde beibehalten.

Es ist das erste Mal seit dem Austritt Großbritanniens aus der EU, dass die britische Regierung europäische Regeln verwerfen will. Die weitere Entwicklung bliebt abzuwarten und wird maßgeblich von dem Inhalt des Gesetzesentwurfes abhängen.

Schrems vs. Facebook: Vorlagefragen des OGH an den EuGH

27. August 2021

Der österreichische Oberste Gerichtshof (OGH) hat im Rechtsstreit von Max Schrems gegen Facebook den Europäischen Gerichtshof (EuGH) angerufen, um einzelne Fragen überprüfen zu lassen. Die Fragen beziehen sich auf die Rechtmäßigkeit der Datennutzung durch Facebook bei allen Nutzer:innen innerhalb der EU. 

Das zuständige Landesgericht urteilte im Sommer, dass die Datenverarbeitung vertrags- und rechtskonform sei. Diese Ansicht teilte auch das Oberlandesgericht Wien. Im März wandte sich Schrems dann an den OGH.

Einwilligung oder Vertrag zur Datennutzung

In dem Rechtsstreit geht es unter anderem um die Frage, ob Nutzer:innen tatsächlich eine Einwilligung oder einen Vertrag mit Facebook schließen, da Facebook als angebliche “Leistung” Werbung anbiete. Da diese beiden Rechtsgrundlagen in der DSGVO verschieden geregelt seien, argumentiert Facebook, dass die Regeln der DSGVO zur Einwilligung nicht mehr anwendbar wären. Laut Schrems wären damit die Vorschriften, die vorgeben, wie eine eindeutige Zustimmung aussehen müsse (und auch jederzeit widerrufen werden könne), hinfällig. Dies sei eine rechtswidrige Umgehung der DSGVO.

Werbe-Targeting und Verarbeitung sensibler Daten

Entscheiden soll der EuGH nun auch konkrete Fragen rund ums Werbe-Targeting. Dazu gehört auch die Fragestellung, ob die Verwendung aller personenbezogener Daten der Nutzer:innen auf Facebook sowie aus vielen anderen Quellen, wie etwa Websites, die Facebook “Like”-Buttons oder Werbung verwenden, mit der DSGVO und dem Grundsatz der “Datenminimierung” vereinbar ist.

Des Weiteren beziehen sich die Fragen auch auf die Problematik der Filterung und Verwendung sensibler Daten, wie beispielsweise politische Ansichten oder sexuelle Orientierung für personalisierte Werbung. “Diese weiteren Fragen sind extrem wichtig, da Facebook dann selbst bei einer gültigen Einwilligung möglicherweise nicht mehr alle Daten für Werbung nutzen darf”, so Schrems dazu. Zusätzlich müsste der Konzern dann möglicherweise sensible Daten wie politische Ansichten oder Daten zur sexuellen Orientierung herausfiltern.

Anspruch auf Schadensersatz möglich

Vor dem OGH konnte Schrems bereits einen Teilerfolg verbuchen. Das Gerichts sprach ihm 500 Euro Schadensersatz zu, da Facebook ihm keinen vollen Zugang zu den über ihn gespeicherten Daten gewährt hatte. Der Konzern habe Schrems damit „massiv genervt“, daraus begründe sich ein berechtigter Anspruch auf Schadensersatz.

“Verliert Facebook vor dem EuGH, müssten sie nicht nur damit aufhören Daten zu missbrauchen und illegal gesammelte Daten löschen, sondern auch Millionen von Nutzer:innen Schadenersatz zahlen. Wir sind über die Vorlage daher sehr glücklich”, so Max Schrems.

1 2 3 20