Kategorie: DSGVO

Das Fax ist nicht Datenschutz-konform

11. Mai 2021

Nachdem das OVG Lüneburg bereits im vergangenen Jahr entschied, dass die Übermittlung personenbezogener Daten per Telefax rechtswidrig war, hat die Landesbeauftragte für Datenschutz der Freien Hansestadt Bremen diese Erkenntnis in eine Orientierungs- und Handlungshilfe fließen lassen.

Dort schreibt sie, dass durch technische Weiterentwicklungen das Schutzniveau gelitten habe. Früher seien Faxe über exklusive Ende-zu-Ende-Telefonleitungen verschlüsselt versandt worden. Heute werden die Daten jedoch paketweise in Netzen transportiert, die auf der Internet-Technologie beruhen. Außerdem existiert häufig an der Empfangsstelle kein echtes Fax-Gerät mehr. Faxe würden immer häufiger automatisch in E-Mails umgewandelt und an bestimmte Postfächer weitergeleitet.

Daraus folgt, dass das Schutzniveau dem einer unverschlüsselten E-Mail gleichkommt. Hierfür wird gern das Bild einer offen einsehbaren Postkarte zum anschaulichen Vergleich herangezogen. Faxe eignen sich daher regelmäßig nicht für den Versand personenbezogener Daten, da sie keine Schutzmaßnahmen zur Gewährleistung der Vertraulichkeit personenbezogener Daten haben. Besser geeignete Versandwege sind Ende-zu-Ende verschlüsselte E-Mails oder die traditionelle Post.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Microsoft zieht EU-Datengrenze und verspricht damit eine Speicherung und Verarbeitung von Daten ausschließlich in der EU

7. Mai 2021

Microsoft kündigte in einem Blogbeitrag vom 6. Mai 2021 an, ab Ende 2022 personenbezogene Daten europäischer Kunden nur noch innerhalb der EU zu verarbeiten und speichern. Dies gelte, so Microsoft, für alle zentralen Cloud-Dienste von Microsoft, d.h. Azure, Microsoft 365 und Dynamics 365. Microsoft verspricht mit seinem “EU Data Boundary for the Microsoft Cloud”, d.h. einer EU-Datengrenze für seine Cloud-Lösungen, zukünftig keine Daten seiner Kunden mehr aus der EU heraus transferieren zu müssen. Das Angebot richte sich an Kunden aus dem öffentlichen Sektor und Unternehmenskunden, so der Konzern.

Damit reagiert Microsoft erneut auf das vom Europäischen Gerichtshof (EuGH) im Juli letzten Jahres ergangene Schrems-II-Urteil, dass das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat. Nach Ansicht des EuGH haben die USA kein mit der EU vergleichbares Datenschutzniveau. Begründet wird dies insbesondere damit, dass US-Geheimdienste aufgrund des US Gesetzes “Cloud Act” einen umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben.

Geplant ist laut Microsoft in den kommenden Monaten in einen engen Austausch mit seinen Kunden aber auch den Aufsichtsbehörden zu gehen, um damit den Vorschriften zum Schutz der Daten gerecht zu werden. Ob dieses Vorhaben gelingen wird, bleibt abzuwarten. Unklar bleibt auch noch, ob dadurch die Unsicherheiten bei einem Datentransfer zwischen Europa und den USA beseitigt werden kann. Zunächst ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Dies könne laut dem österreichischen Datenschutzaktivist Max Schrems nur dadurch behoben werden, “wenn eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben, erreicht würde” – so Schrems gegenüber der Deutschen Presse-Agentur.

Microsoft verweist diesbezüglich auf seine Nutzer selbst. Diese könnten bereits jetzt durch die Verwendung von kundenverwalteten Schlüsseln, die Verschlüsselung ihrer Daten selbst konfigurieren und insbesondere kontrollieren und damit vor einem unzulässigen Zugriff durch staatliche Stellen schützen.

Die Aufsichtsbehörden haben sich zu dem Plan von Microsoft noch nicht geäußert. Vielmehr haben diese erst vor kurzem eine Task-Force eingerichtet, um den Risiken bei der Nutzung von Cloud-Diensten entgegenzuwirken.

Personalunion von Betriebsratsvorsitzenden und Datenschutzbeauftragten

5. Mai 2021

Das Bundesarbeitsgericht musste sich mit der Frage befassen, ob das Amt des Vorsitzenden eines Betriebsrats in Personalunion mit dem Amt des Datenschutzbeauftragten ausgeübt werden darf. Dafür soll nun per Vorabentscheidungsersuchen geklärt werden, ob die hohen Anforderungen, die das deutsche Recht an die Abberufung eines betrieblichen Datenschützers stellt, mit der europäischen Datenschutzgrundverordnung im Einklang stehen.

Vorausgegangen war eine Klage eines Betriebsratsvorsitzenden eines Unternehmens, welcher zusätzlich zum betrieblichen Datenschutzbeauftragten bestellt wurde. Nach Inkrafttreten der DSGVO im Jahr 2018 wurde der Kläger jedoch von dem beklagten Unternehmen in seiner Funktion als Datenschutzbeauftragter abberufen. Gründe dafür seien mögliche Interessenskollisionen zwischen der beiden von ihm ausgeübten Positionen, welche einen wichtigen Grund für die Abbestellung im Sinne des §§ 38 Abs. 2, 6 Abs. 4 BDSG i.V.m. § 626 BGB darstellen.

In einem Vorabentscheid soll der EuGH nun ergründen, ob diese hohen Anforderungen des deutschen Rechts mit dem Unionsrecht im Einklang stehen. Dieses schreibt in Art. 38 der DSGVO lediglich vor, dass eine Abbestellung nur dann nicht erfolgen darf, wenn sie wegen der Aufgabenerfüllung des Datenschutzbeauftragten vorgenommen wird.

Sollte der Gerichtshof die Anforderungen des BDSG an eine Abberufung für unionsrechtskonform erachten, ergibt sich die Folgefrage, ob die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in einem Betrieb in Personalunion ausgeübt werden dürfen oder ob dies zu einem Interessenkonflikt iSv Art. 38 Abs. 6 Satz 2 DSGVO führt. In einem früheren Urteil wurde vom BAG in Erfurt eine solche Personalunion als vereinbar erklärt. Das Urteil wurde jedoch im Jahr 2011 – und damit vor dem Inkrafttreten der DSGVO – verkündet.

BfDI veröffentlicht Positionspapier zur Datenverarbeitung in polizeilichen Informationssystemen

28. April 2021

Die Möglichkeiten der Verarbeitung, Recherche und Auswertung von personenbezogenen Daten durch die Polizei wurden in den letzten Jahren weiter ausgedehnt. So werden nicht nur die Daten von Bürgerinnen und Bürgern erfasst, die durch ihr Verhalten Anlass gegeben haben, sondern auch die derer, die sich zufällig an bestimmten Orten aufhalten. Sobald die Daten erfasst sind, sind diese zeitlich unbegrenzt abrufbar.

In dem Positionspapier bezieht der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Stellung zur Zweckbindung in polizeilichen Informationssystemen. Hierbei wird auch dem technischen und elektronischen Fortschritt der Datenverarbeitung Rechnung getragen. Vor diesem Hintergrund wird mit Blick auf den Grundrechtsschutz an den Zweckbindungsgrundsatz des deutschen und europäischen Datenschutzrechts angeknüpft. Demnach dürfen die personenbezogenen Daten nur zu dem Zweck verarbeitet werden, zu dem sie ursprünglich erhoben wurden.

Insbesondere bei Informationen aus polizeilichen Ermittlungen handelt es sich um sensible Daten, die grundsätzlich nur für Zwecke verarbeitet werden dürfen, für die sie erhoben wurden. Ausnahmen bedürfen demnach einer gesetzlichen Grundlage und sind streng auszulegen.

In dem Positionspapier werden die einzelnen Anforderungen wie beispielsweise die Zweckfestlegung, Zwecktrennung und die funktionsgerechte Vergabe von Zugriffsrechten dargelegt und erklärt.

Mit der Stellungnahme durch den BfDI wird eine Zielrichtung der datenschutzgerechten Weiterentwicklung der Informationssysteme der Polizei vorgegeben.

Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen

Im Rahmen der Corona-Pandemie setzt die Landesregierung Nordrhein-Westfalen zum Zweck des Gesundheitsschutzes unter anderem auf den Einsatz von Coronaselbsttests für alle an Schulen in Präsenz tätigen Personen. Über datenschutzrechtliche Grundsätze, Voraussetzungen und Grenzen bei der Durchführung dieser Selbsttests informiert die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) in einem Schreiben.

Auch wenn die Durchführung von Coronaschnelltests aus datenschutzrechtlicher Sicht laut der LDI NRW nicht zu beanstanden ist, so müssen dennoch bestimmte Grundsätze beachtet werden, um datenschutzrechtliche Voraussetzungen zu erfüllen.

1. Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten

Bei der Durchführung von Coronaschnelltests werden durch die Schulen Gesundheitsdaten z.B. von Schülerinnen und Schülern, d.h. personenbezogene Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO verarbeitet. Diese Gesundheitsdaten unterliegen einem besonderen Schutz nach der DSGVO, da deren Verarbeitung grundsätzlich untersagt ist. Nur in Ausnahmefällen nach Art. 9 Abs. 2 DSGVO ist eine Verabeitung zulässig. So z.B. nach Art. 9 Abs. 2 lit. i in den Fällen, in denen die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren auf der Grundlage nationalen Rechts, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsieht, erforderlich ist. Hinsichtlich einer solchen Regelung verweist die LDI NRW als Rechtsgrundlage für die Schulen auf § 1 Abs. 2 lit. b und lit. e Coronabetreuungsverordnung (CoronaBetrVO) und bejahte auch dessen Verhältnismäßigkeit.

2. Vertraulichkeit der Testergebnisse

Zudem verweist die Landesbeauftragte darauf, dass die Ergebnisse der Coronaselbsttests Unbefugten gegenüber nicht offengelegt werden dürfen. Das bedeutet, dass die Schulen die Bekanntgabe der Ergebnisse so organisieren müssen, dass sie den Schülerinnen und Schülern oder ihren Erziehungsberechtigten gegenüber einzeln erfolgt. Im Rahmen dessen sieht die LDI NRW den Ausschluss positiv getetester vom Präsensunterricht, durch den grundsätzlich auch ein Rückschluss auf das Testergebnis möglich wäre, als unumgänglich und mithin als datenschutzrechtlich hinnehmbar an.

3. Dokumentation der Testergebnisse

Schließlich müssen die Schulen die Testergebnisse nach § 1 Abs. 2 lit. e CoronaBetrVO erfassen und dokumentieren. Positive Testergebnisse müssen sie dem Gesundheitsamt übermitteln. Die Ergebnisse der durchgeführten Coronaselbsttests dürfen darüber hinaus nicht an Dritte übermittelt werden und müssen nach 14 Tagen vernichtet werden. Hinsichtlich der Vernichtung verweist die LDI NRW darauf, dass eine datenschutzkonforme Vernichtung erfolgen muss, d.h. in der Form, dass die Daten nicht wieder herstellbar sind, wofür sie ein bloßes Zerreißen von Listen und die Entsorgung über den Papiermüll als nicht ausreichend beschreibt. Auch eine Erforderlichkeit, die Testergebnisse zur Schülerakte zu nehmen, verneint die Landesbeauftragte. Sollte im Einzelfall eine Aufbewahrung für erforderlich gehalten werden, so verweist die LDI NRW darauf, dass dies nur in einem verschlossenen Umschlag, auf den nur ein eingeschränkter Personenkreis zur Aufgabenerfüllung der Schule Zugriff haben darf, erfolgen sollte. Auf dem Umschlag sei dann, so die LDI NRW, zu vermerken, wer wann und zu welchem Zweck auf das Testergebnis zugegriffen hat und wann es danach wieder im Umschlag verschlossen wurde.

BAG zum Auskunftsanspruch entlassener Arbeitnehmer

Mit Urteil vom 27.04.2021 hat das Bundesarbeitsgericht entschieden, dass ein entlassener Angestellter nicht vom früheren Arbeitgeber verlangen kann, eine Kopie seiner gesamten E-Mail-Kommunikation zur Verfügung gestellt zu bekommen (BAG, Urt. v. 27.4.2021, Az. 2 AZR 342/20). Der Kläger stützte sein Begehren auf Art. 15 Abs. 3 DSGVO.

Nach seiner Kündigung klagte der Wirtschaftsjurist auf Auskunft über die von ihm gespeicherten personenbezogenen Daten und forderte eine Kopie dieser Daten. Mit solchen Vorgehen versuchen Gekündigte nicht selten, in Kündigungsschutzprozessen Druck auf den Arbeitgeber auszuüben oder beispielsweise eine höhere Abfindung zu bekommen. Die Auskunft wurde ihm erteilt, wegen der Kopie des E-Mail-Verkehrs reichte der Gekündigte Klage ein. Bereits in der Vorinstanz beim Landesarbeitsgericht Niedersachsen musste er eine teilweise Niederlage einstecken. Von seinen eigenen E-Mails könne er keine Kopie verlangen, da ihm diese schon bekannt seien.

Dem anschließend hat der 2. Senat des BAG dem “Recht auf Kopie” nun klare Grenzen gesetzt. Der Auskunftsanspruch muss vom Arbeitgeber erfüllt werden. Eine Kopie muss er allerdings nur dann überlassen, wenn die Unterlagen genau bezeichnet werden. Daran fehlte es auch vorliegend. Da der Kläger lediglich ein pauschales Verlangen vorbrachte, die E-Mails aber nicht konkret benannte, war der Klageantrag nicht nach § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt. In einem späteren Zwangsvollstreckungsverfahren sei sonst nicht klar, welche E-Mails der Arbeitgeber herausgeben müsse. In solchen Fällen, in denen die konkrete Bezeichnung nicht möglich ist, müsste der Anspruch im Wege einer Stufenklage nach § 254 ZPO verfolgt werden.

Durch diese Form der Klageabweisung hat es das BAG nun offengelassen, wie weit der materiell-rechtliche Anspruch auf Überlassung von Kopien tatsächlich reicht und ob E-Mails vom Anspruch aus Art. 15 Abs. 3 DSGVO überhaupt erfasst sind.

Schrems vs. Facebook vor dem Obersten Gerichtshof Österreichs

23. April 2021

Der Rechtsstreit zwischen dem Datenschutzaktivisten Max Schrems und Facebook geht in die nächste Runde. Wie die österreichische Nachrichtenagentur APA berichtete, legten beide Parteien Rechtsmittel gegen das ursprüngliche Urteil des Oberlandesgerichts Wien ein.

In dem Rechtsstreit geht es unter anderem um die Frage, ob die Nutzer der Plattform eine Einwilligung erteilen müssten oder mit dem Unternehmen einen Vertrag abschließen, da Facebook als mutmaßliche Leistung Werbung anbietet. Facebook ist dabei der Auffassung, dass die Nutzer einen Vertrag abschließen.

Das Landgericht urteilte zunächst, dass die Datenverarbeitung vertrags- und gesetzeskonform sei. Diese Ansicht teilte auch das OLG Wien. Zuletzt ging es in seinem Urteil von einem Vertrag aus. Demnach dürfte Facebook die Daten auch ohne Einwilligung der Nutzer verarbeiten.

Der Datenschutzverein noyb teilte mit, dass Max Schrems den OGH gebeten habe, den Fall zur Klärung an den Europäischen Gerichtshof zu verweisen. Darüber hinaus verwies man darauf, dass die DSGVO sehr strenge Regeln für die Einwilligung enthalte. “Nutzer müssen vollständig informiert werden, die freie Wahl haben, ja oder nein zu sagen und sie müssen in der Lage sein, jeder Art der Verarbeitung ausdrücklich zuzustimmen.”

Kündigung wegen exzessiver Privatnutzung des Dienst-PC

16. April 2021

Nutzt ein Arbeitnehmer trotz Verbots der Privatnutzung seinen Dienst-PC während der Arbeitszeit, um damit umfangreich im Internet zu surfen oder private E-Mails zu verfassen, so kann dies eine fristlose Kündigung rechtfertigen. Das hat das Landesarbeitsgericht Köln (LAG Köln) im Falle eines Arbeitnehmers entschieden, der an mehreren Tagen durchgehend und über Monate hinweg regelmäßig Website-Aufrufe und E-Mails zu privaten Zwecken tätigte.

Sachverhalt

Im vorliegenden Fall stellte der Arbeitgeber, ein IT-Dienstleistungsunternehmen, dem Arbeitnehmer als Arbeitsmittel ein Laptop zur Verfügung. Im Hinblick auf die Nutzung dieses dienstlichen Laptops vereinbarten die Parteien als Anlage zum Arbeitsvertrag unter anderem, das Verbot der Nutzung für private Zwecke, insbesondere des Besuchs von Internetseiten zu privaten Zwecken. Weiter vereinbarten Sie, dass der Arbeitgeber die auf den Arbeitsmitteln befindlichen Daten aus Zwecken der Zuordnung zu geschäftlichen oder privaten Vorgängen überprüft und auswertet.

Trotz dieses Verbots nutzte der Arbeitnehmer das Laptop in ehrheblichem zeitlichen Umfang für private Angelegenheiten während seiner Arbeitszeit. So schrieb er diverse private E-Mails, surfte innerhalb eines Arbeitstages auf 205 Websites zu privaten Zwecken oder rief das E-Mail-Konto seiner privaten Firma insgesamt 559 Mal während seiner Arbeitszeit auf. Nachdem der Arbeitgeber dies bemerkte, kündigte er dem Arbeitnehmer fristlos aus wichtigtem Grund gem. § 626 Abs. 1 BGB, da er darin einen Arbeitszeitbetrug sah. Der Arbeitnehmer erhob dagegen Kündigungsschutzklage vor dem Arbeitsgericht, das die Klage abwies. Auch die Berufung des Arbeitsnehmers vor dem LAG Köln hatte keinen Erfolg.

Das LAG Köln sah in dem Verhalten des Arbeitnehmers ebenfalls eine Pflichtverletzung und mithin einen Arbeitszeitbetrug des Arbeitnehmers, der eine fristlose Kündigung des Arbeitgebers rechtfertigte. Insbesondere war für das Gericht offensichtlich, dass der Arbeitnehmer, entgegen seiner Behauptung, zwischen den einzelnen Website-Aufrufen innerhalb eines Zeitraums von weniger als ein bis zwei Minuten, keine Arbeitsleistung erbringen konnte.

Verstoß gegen Datenschutzvorschriften

Auch einen Verstoß gegen Datenschutzvorschriften verneinte das Gericht. Der Arbeitnehmer hatte “massive Verstoße gegen den Datenschutz” gerügt.

Der Arbeitgeber konnte die Internetaktivität des Arbeitnehmers durch eine Auswertung der Browser-Verläufe sowie des Browser-Caches nachweisen. Vor diesem Hintergrund musste das Gericht prüfen, ob die Inhalte der E-Mails auf dem dienstlichen Laptop sowie die Einträge in den Log-Dateien des Internet-Browsers einem prozessualen Verwertungsverbot unterliegen, da sie z.B. rechtswidrig erlangt worden sind.

Dies verneinte das Gericht. Dazu stellte es fest, dass es sich bei den in den Log-Dateien der Internet-Browser auf dem Laptop des Arbeitnehmers erfolgenden Protokollierungen sowie bei denen im E-Mail-Programm gespeicherten E-Mails zwar um personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO handelt, die ohne eine rechtswirksame Einwilligung des Arbeitnehmers im Rahmen der Protokollierung der Internetzugriffsdaten verarbeitet wurden gem. Art. 4 Nr. 2 DSGVO. Eine Rechtsgrundlage für eine wirksame Verarbeitung der personenbezogenen Daten des Arbeitnehmers sah das Gericht aber in § 26 Abs. 1 BDSG. Danach dürfen Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Dieses Erfordernis bejahte das Gericht. Seine Begründung stützte es darauf, dass die Protokollierung der Verlaufsdaten sowie die Speicherung der E-Mails im Rahmen der Durchführung des Arbeitsverhältnisses erforderlich waren, um die Einhaltung des Verbots der privaten Nutzung des Internets und der E-Mails überprüfen zu können, d.h. zu Zwecken der Missbrauchskontrolle.

Zusammenfassung

Bei einem Verstoß gegen das Verbot der privaten Internetnutzung können Log-Dateien des Arbeitnehmers zum Nachweis des Missbrauchs verarbeitet werden. Voraussetzung dafür ist aber, dass die datenschutzrechtlichen Vorgaben von dem Arbeitgeber berücksichtigt werden und eine solche Verarbeitung nicht heimlich erfolgen sollte. Bei einem solchen Vorgang sollte daher zwingend eine entsprechende arbeits- sowie datenschutzrechtliche Expertise eingeholt werden.

Dringlichkeitsverfahren gegen Facebook eröffnet

15. April 2021

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBdFI) hat sich in der Causa neue WhatsApp-Nutzungsbedingungen für einen drastischen Schritt entschieden. In einer Pressmitteilung gibt die Behörde bekannt, ein Dringlichkeitsverfahren gem. Art. 66 DSGVO gegen die Facebook Ireland Ltd. eröffnet zu haben.

Was ist ein Dringlichkeitsverfahren?

Ein Dringlichkeitsverfahren gem. Art. 66 DSGVO bietet einer Aufsichtsbehörde die Möglichkeit, Vorkehrungen für Eilfälle zu schaffen, wenn dringender Handlungsbedarf zum Schutz der Rechte und Freiheiten von betroffenen Personen besteht. Eine Aufsichtsbehörde kann in diesen Fällen hinreichend begründete Maßnahmen mit einer festgelegten Dauer in ihrem Hoheitsgebiet erlassen.

Das Dringlichkeitsverfahren in Hamburg

Die Hamburger Datenschutzbehörde hat sich nun, mit Blick auf die Aktualisierung der Nutzungsbedingungen und der Datenschutzrichtlinie von WhatsApp, für dieses Verfahren entschieden. Da Facebook seine deutsche Niederlassung in Hamburg hat, ist auch die Hamburger Behörde zuständig und kann ein Verfahren gegen Facebook eröffnen, um die Rechte und Freiheiten deutscher Nutzer zu schützen.

Konkret führt Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, zu dem Verfahren gegen Facebook aus: “WhatsApp wird in Deutschland mittlerweile von fast 60 Millionen Menschen genutzt und ist die mit Abstand meistgenutzte Social Media-Anwendung noch vor Facebook. Umso wichtiger ist es, darauf zu achten, dass die hohe Zahl der Nutzer, die den Dienst für viele Menschen attraktiv macht, nicht zu einer missbräuchlichen Ausnutzung der Datenmacht führt. Leider ist es bislang zu keiner uns bekannten aufsichtsbehördlichen Überprüfung der tatsächlichen Verarbeitungsvorgänge zwischen WhatsApp und Facebook gekommen. Derzeit besteht Grund zu der Annahme, dass die Bestimmungen zum Teilen der Daten zwischen WhatsApp und Facebook mangels Freiwilligkeit und Informiertheit der Einwilligung unzulässig durchgesetzt werden sollen. Um gegebenenfalls einen rechtswidrigen massenhaften Datenaustausch zu verhindern und einen unzulässigen Einwilligungsdruck auf Millionen von Menschen zu beenden, ist nun ein förmliches Verwaltungsverfahren zum Schutz Betroffener eingeleitet worden.“

Über den Fortgang des Verfahrens werden wir Sie weiterhin im Datenschutzticker informieren.

Schrems reicht Beschwerde gegen Google ein – Werbe-IDs auf Android Smartphones

14. April 2021

Der Wiener Datenschutzaktivist Max Schrems hat bei der französischen Datenschutzbehörde CNIL eine Beschwerde gegen Google eingereicht. Die österreichische Datenschutzorganisation noyb („none of your business“), dessen Vorsitzender Schrems ist, bestätigte den Schritt und führte die Gründe für die Entscheidung auf ihrer eigenen Website auf.

Konkret wendet sich noyb mit seiner Beschwerde gegen Googles AAID (Android Advertising Identifier). Dabei wirft noyb Google vor, ein unrechtmäßiges Tracking auf Android-Smtartphones zu verfolgen, bei dem der semi-permanente Device Identifier AAID es durch eine versteckte, eindeutige Werbe-ID, Google und allen Apps auf dem Smartphone ermöglicht, Informationen über das Online- und Offlineverhalten der Nutzer zu kombinieren. Die Datenschutz-Aktivisten sehen darin eine gezielte Verfolgung der Nutzer, die gem. der DSGVO einer Einwilligung bedürfe. Eine solche holt Google allerdings nicht ein.

Dass Google hier möglicherweise nicht mit offenen Karten spielt, leuchtet ein, denn mithilfe von AAID lassen sich gezielt Konsumpräferenzen hochrechnen und dadurch personalisierte Werbung schalten. Für die Benutzer der Smartphones gibt es keine Option diese Art von Tracking zu umgehen oder gar auszuschalten, das Tracking bleibt beim Benutzen des Smartphones stets aktiv.

Man darf gespannt sein, welche Entscheidung die französische Datenschutzbehörde in Sachen Google treffen wird. Die Tragweite der Entscheidung darf jedenfalls nicht unterschätzt werden. Wir werden Sie in jedem Fall mit dem Datenschutzticker auf dem Laufenden halten.

1 2 3 4 5 18