Kategorie: EU-Datenschutzgrundverordnung
13. September 2023
Die Mozilla Foundation hat im Rahmen ihres Programms “Privacy not included” die Datenschutzbestimmungen von 25 Automobilherstellern in den USA unter die Lupe genommen. Das Ergebnis ist schockierend: Keine der untersuchten Automarken erfüllte die Standards des Datenschutzes. Die Datenschutzregelungen erlauben eine umfangreiche Datensammlung, die sogar über das hinausgeht, was bei Mobil-Apps, Smart-Home-Assistenzsystemen oder Smartphones erlaubt ist. Die Untersuchung deckte auch unklare Datenschutzbestimmungen auf und zeigte, dass den Verbrauchern kaum Möglichkeiten zum Widerspruch geboten werden.
Autos als Datenschleudern
Die Vorstellung vom Auto als einem privaten Raum, in dem die persönliche Privatsphäre geschützt ist, entspricht nicht mehr der Realität. Die heutigen Fahrzeuge sind regelrechte Datensammelmaschinen, die enorme Mengen an persönlichen Informationen sammeln, ohne ausreichende Schutzmaßnahmen zu bieten. Dies ist das Ergebnis der Untersuchung der Mozilla Foundation im Rahmen ihres “Privacy not included”-Programms.
Weitergabe persönlicher Daten an Dritte
Die Erkenntnis der Untersuchung ist, dass 84 Prozent der Autohersteller angeben, dass sie persönliche Daten sammeln dürfen, und mehr als drei Viertel von ihnen erlauben sich auch den Verkauf dieser Daten. Über die Hälfte der Datenschutzbestimmungen erlaubt die Weitergabe persönlicher Daten auf Anfrage von Ermittlungsbehörden. Bei einigen Unternehmen sind die Formulierungen so vage, dass jede Behördenanfrage beantwortet werden kann, unabhängig davon, ob sie legal oder illegal ist.
Umfang der gesammelten Daten
Die gesammelten Daten umfassen Informationen über die Fahrzeugnutzung, wie etwa Geschwindigkeit, Fahrtrouten und Fahrverhalten. Einige Autos zeichnen sogar die Umgebung mit Kameras auf. Doch die Datenschutzbestimmungen gehen noch weiter und erlauben die Erfassung sensibler Informationen wie “sexuelle Aktivität”, “religiöser Anschauungen” und sogar “genetischer Informationen”.
Verlust der Kontrolle über die eigenen Daten
Die Mehrheit der Autohersteller ermöglicht es den Verbrauchern nicht, ihre eigenen Daten zu löschen oder die Verwendung zu beschränken. Lediglich bei zwei der untersuchten Marken können die Kunden ihre Daten selbst verwalten. Die deutschen Datenschutzbestimmungen der Autohersteller wurden in der Studie nicht berücksichtigt, aber es ist anzunehmen, dass auch hier erhebliche Mengen an Daten in modernen Fahrzeugen gesammelt werden.
Forderungen nach mehr Datenschutz
In Deutschland gewinnt das Thema Datenschutz im Zusammenhang mit vernetztem Fahren an Bedeutung. Eine Umfrage des Verbraucherzentrale Bundesverbands (vzbv) ergab, dass fast drei Viertel der Befragten das Recht haben möchten, selbst zu entscheiden, welche Daten von Fahrzeugherstellern und anderen Unternehmen verarbeitet werden dürfen. Die Mehrheit der Befragten möchte zudem, dass eine unabhängige Stelle die Datenweitergabe überwacht.
2. August 2023
Am 4. Juli 2023 fällte der Europäische Gerichtshof (EuGH) sein Urteil bezüglich der Meta-Entscheidung des Bundeskartellamts. Der EuGH scheint eine bislang offene juristische Frage geklärt zu haben: Kann eine alternative rechtliche Grundlage für die Datenverarbeitung herangezogen werden, wenn die ursprünglich angegebene Grundlage unwirksam ist, etwa wenn eine Einwilligung rechtswidrig erfolgt ist?
Das Verfahren
Der Hintergrund des Verfahrens liegt in der Praxis von Meta Platforms Ireland und Facebook Deutschland (Meta), Daten seiner Nutzer nicht nur auf Facebook selbst, sondern auch über seine Tochterfirmen und über Schnittstellen auf anderen Webseiten zu sammeln und diese zu detaillierten Nutzerprofilen zu verknüpfen. Das Bundeskartellamt (BKartA) sah darin einen Missbrauch der marktbeherrschenden Stellung von Meta. Deswegen erließ das Bundeskartellamt erließ 2019 einen Beschluss gegen Meta, der Gegenstand des vorliegenden Gerichtsverfahrens war. In diesem Beschluss untersagte das Bundeskartellamt Meta, sich durch Zustimmung zu den Allgemeinen Nutzungsbedingungen zur Nutzung von Facebook auch die Erhebung und Verarbeitung von sogenannten “Off-Facebook-Daten” genehmigen zu lassen.
Off-Facebook-Daten
Bei den Off-Facebook-Daten handelt es sich um Informationen, die Meta außerhalb von Facebook, Instagram oder WhatsApp sammelt. Diese Daten werden durch das Werbenetzwerk von Meta auf zahlreichen Webseiten und Apps sowie den zum Meta-Konzern gehörenden Online-Diensten erfasst. Mithilfe dieser Off-Facebook-Daten kann Meta das Konsumverhalten, die Interessen, die Kaufkraft und die Lebenssituation der Nutzer in Profilen erfassen. Auf dieser Grundlage können gezielte und personalisierte Werbenachrichten an die Facebook-Nutzer gesendet werden.
BKartA rügt Metas Nutzungsbedingungen
Die Nutzungsbedingungen müssten vielmehr klarstellen, dass diese Daten nur mit ausdrücklicher Einwilligung verarbeitet und mit dem Facebook-Nutzerkonto verknüpft werden. Darüber hinaus dürfe die Einwilligung nicht zur Voraussetzung für die Nutzung des sozialen Netzwerkes gemacht werden. Das Bundeskartellamt war der Ansicht, dass durch diese Gestaltung der Nutzungsbedingungen, die nicht den Marktverhaltensregeln und Werten der DSGVO entspricht, Meta seine marktbeherrschende Stellung missbrauche. Kurz darauf, noch im Jahr 2019, änderte Meta seine eigenen Nutzungsbedingungen dahingehend, dass die Nutzer bei der Nutzung von Facebook-Produkten in die Verarbeitung von Off-Facebook-Daten einwilligen müssen, da ansonsten für die Services keine Kosten entstehen würden.
Gegen diesen Beschluss des Bundeskartellamts legte Meta gerichtlichen Widerspruch ein. Im Laufe dieses Verfahrens wandte sich das Oberlandesgericht (OLG) Düsseldorf in einem sogenannten Vorlageverfahren an den EuGH. Bei einem Vorlageverfahren entscheidet der EuGH nicht als höhere Instanz über den jeweiligen Rechtsstreit, sondern beantwortet spezifische Fragen zur Auslegung des Europäischen Rechts, wie beispielsweise der DSGVO.
Die Vorlage an den EuGH
Der EuGH hat ausschließlich zu den spezifischen Fragen des vorlegenden Gerichts Stellung genommen, und die Antworten des EuGH sind für das OLG Düsseldorf bindend, wenn es seine eigene Entscheidung in der Sache trifft. Letztendlich liegt die endgültige Entscheidung in der Zuständigkeit des OLG Düsseldorf.
Das Urteil hat auch erhebliche Auswirkungen auf zukünftige Bewertungen im Bereich des Datenschutzes. Die Tatsache, dass ein soziales Netzwerk kostenlos ist, bedeutet nicht automatisch, dass die Daten des Nutzers ohne dessen Einwilligung zur Personalisierung von Werbung verarbeitet werden können. Daher kann das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO keine rechtliche Grundlage dafür sein. Jedoch hat der EuGH wiederholt betont, dass Marketing weiterhin auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, sofern die Nutzungsbedingungen von Meta transparent und für den Nutzer verständlich geändert werden. Somit wird auch in Zukunft Werbung ohne Einwilligung möglich sein.
Das Urteil scheint auch eine bisher ungeklärte Frage zu beantworten, nämlich ob alternative Rechtsgrundlagen aus Art. 6 Abs. 1 lit. b-f DSGVO überhaupt herangezogen werden können, wenn eine zuvor erteilte Einwilligung als rechtswidrig erachtet wird. Der EuGH betont jedoch, dass solche alternativen Rechtsgrundlagen in solchen Fällen eng auszulegen sind.
BfDI Professor Ulrich Kelber äußerte sich dazu wie folgt: “Ich bin erfreut darüber, dass der EuGH anerkennt, wie wichtig die Einhaltung von Datenschutzanforderungen für den Wettbewerb ist und dass Kartellbehörden befugt sind, die Vereinbarkeit des Verhaltens von Unternehmen mit dem Datenschutzrecht zu überprüfen. Mein Glückwunsch geht an das Bundeskartellamt für diesen Erfolg.”
Zusammenarbeit zwischen Datenschutz- und Kartellbehörden
Der EuGH klärte auch, dass Verstöße gegen die DSGVO vorrangig von Datenschutzaufsichtsbehörden festgestellt werden sollten. Das bedeutet, dass das Bundeskartellamt die zuständigen Datenschutzaufsichtsbehörden in datenschutzrechtliche Fragen einbeziehen muss, bevor es eigene Entscheidungen trifft.
Hierzu kommentierte der BfDI: “Kartell- und Datenschutzaufsichtsbehörden können datengetriebene Geschäftsmodelle nur erfolgreich regulieren, wenn sie eng zusammenarbeiten. Das bestätigt die Praxis in Deutschland, wo Bundeskartellamt und der Bundesdatenschutzbeauftragte entsprechend kooperieren. Gemeinsam mit unseren europäischen Kolleginnen und Kollegen werde ich die Entscheidung in der Task Force des Europäischen Datenschutzausschusses zum Zusammenspiel von Datenschutz, Wettbewerb und Verbraucherschutz auswerten und Best Practices für eine effiziente Zusammenarbeit festlegen, damit Bürgerinnen und Bürger besser vor rechtswidrigen und missbräuchlichen Datenverarbeitungen geschützt werden. Die Erfahrungen der Zusammenarbeit in Deutschland sind dafür eine gute Grundlage.”
Fazit
Zusammenfassend lässt sich festhalten, dass Onlinemarketing auch in Zukunft weiterhin möglich sein wird. Obwohl diese Entscheidung sich speziell auf den Einzelfall Meta konzentriert hat, enthält sie dennoch neue und wertvolle Erkenntnisse, die auch für die Bewertung anderer Social Media Dienste relevant sein könnten, die keine marktbeherrschende Position innehaben und weniger Daten sammeln oder andere Techniken verwenden.
12. Juli 2023
Am 10.7.2023 hat die EU-Kommission eine neue Entscheidung getroffen, um den sicheren Datenverkehr zwischen der EU und den USA zu gewährleisten. Mit dem Trans-Atlantic-Data-Privacy-Framework (TADPF) wird nun bereits der dritte Versuch unternommen, nach “Safe Harbor” und “Privacy Shield” transatlantische Datentransfers möglichst unkompliziert zu gestalten. Mit dieser Vereinbarung können nun Daten von Unternehmen wie Google, Microsoft, Meta, AWS und anderen sicher von der EU in die USA übermittelt werden.
Der Hintergrund des TADPF liegt in der Unwirksamkeit der vorherigen Regelungen Safe-Harbour und Privacy-Shield, die vom Europäischen Gerichtshof (EuGH) 2015 bzw. 2020 für ungültig erklärt wurden. Seit dem 10.07.2023 gilt nun der lang erwartete neue Angemessenheitsbeschluss gemäß der Datenschutzgrundverordnung (DSGVO) zwischen der EU und den USA. Dieser Beschluss wurde getroffen, um eine sichere Übermittlung von Daten zwischen der EU und den USA zu gewährleisten. Das Trans-Atlantic Data Privacy Framework ist ein Abkommen, das zwischen den 27 Mitgliedsstaaten der Europäischen Union und den Vereinigten Staaten geschlossen wurde.
Das Data Privacy Framework
Das TADPF ist ein Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DSGVO. Gemäß diesem Beschluss gelten die USA erneut als sicherer Drittstaat in Bezug auf den Datenschutz. Dadurch sind für Datenexporte an Empfänger in den USA keine zusätzlichen Legitimationsinstrumente mehr erforderlich. Allerdings hat das TADPF im Vergleich zu anderen Angemessenheitsbeschlüssen nur begrenzte Wirkung. Ähnlich wie beim vorherigen Privacy Shield gilt die privilegierte Wirkung des TADPF nur für Datenempfänger, die sich einem Selbstzertifizierungsmechanismus unterziehen und sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten. Unternehmen, die gemäß den Kriterien des TADPF zertifiziert sind, werden voraussichtlich auf der Website www.dataprivacyframework.gov aufgeführt sein.
Was ist ein Angemessenheitsbeschluss?
Ein Angemessenheitsbeschluss gemäß der DSGVO, speziell Art. 45 Abs. 3 DSGVO, ist im Grunde genommen eine Entscheidung der Europäischen Kommission, die besagt, dass ein Drittland (ein Land außerhalb der EU/EWR) ein angemessenes Schutzniveau für personenbezogene Daten bietet. Dieser Beschluss bestätigt, dass das betreffende Drittland Datenschutzstandards eingeführt hat, die mit den Standards der EU vergleichbar sind und den Schutz personenbezogener Daten in ähnlicher Weise gewährleisten. Infolgedessen dürfen personenbezogene Daten ohne zusätzliche Schutzmaßnahmen in dieses Drittland übertragen werden.
Safe-Harbour und Privacy-Shield waren ebenfalls solche Angemessenheitsbeschlüsse. Wie bekannt ist, wurden beide von dem Europäischen Gerichtshof (EuGH) für ungültig erklärt. Einer der Hauptgründe dafür war, dass die USA kein Datenschutzniveau bieten konnten, das mit dem EU-Standard vergleichbar war. Insbesondere die nahezu uneingeschränkte Zugriffsmöglichkeit von US-Behörden, insbesondere der National Security Agency (NSA), auf personenbezogene Daten von EU-Bürgern spielte dabei eine Rolle. Dies galt sogar dann, wenn Unternehmen ihren Sitz in den USA hatten, aber ihre Dienstleistungen in der EU erbrachten.
Hintergrund: Executive Order vom 07.10.2022
Um die Zugriffsmöglichkeiten der NSA auf personenbezogene Daten von EU-Bürgern einzuschränken, unterzeichnete US-Präsident Biden bereits am 07.10.2022 die “Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“. Diese Maßnahme sollte sicherstellen, dass zumindest der Grundsatz der Verhältnismäßigkeit gewahrt bleibt. Vor jedem Zugriff auf Daten von EU-Bürgern müssen die US-Geheimdienste nun überprüfen, ob der Zugriff auf die Daten verhältnismäßig ist. Darüber hinaus wurde ein Beschwerdeverfahren für EU-Bürger in den USA eingerichtet. EU-Bürger können sich daher beim Civil Liberties Protection Officer der US-Geheimdienste beschweren. Sollte eine solche Beschwerde nicht erfolgreich sein, haben EU-Bürger die Möglichkeit, vor einem neu geschaffenen Gericht, dem Civil Liberties Protection Officer, Klage zu erheben.
Diese Executive Order hat im Wesentlichen dazu geführt, dass die EU das TADPF beschlossen hat.
Sichere Datenübermittlung zwischen EU und USA wieder möglich?
Solange der Europäische Gerichtshof (EuGH) das TADPF nicht erneut für ungültig erklärt, können sich EU-Unternehmen darauf verlassen, dass Unternehmen, die gemäß dem TADPF zertifiziert sind, die Datenschutzstandards einhalten. Im Gegensatz zu den Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, die vor der Einführung des TADPF hauptsächlich als Rechtsgrundlage für die Übermittlung personenbezogener Daten zwischen der EU und den USA verwendet wurden, soll beim TADPF die verpflichtende eigene Prüfung des Standards bei den jeweiligen US-Unternehmen entfallen.
26. Juni 2023
Im Mai 2023 verabschiedete die Europäische Union die Richtlinie (EU) 2023/970 zur Verbesserung der Lohntransparenz. Diese Richtlinie tritt im Juni in Kraft und legt fest, dass die Mitgliedstaaten bis zum 7. Juni 2026 die Lohntransparenz-Richtlinie umsetzen müssen. Das Hauptziel dieser Richtlinie ist es, geschlechtsspezifische Diskriminierung bei der Gehaltszahlung aufzudecken und dagegen vorzugehen. Die Richtlinie strebt ausdrücklich danach, den Grundsatz des gleichen Entgelts für Männer und Frauen bei gleicher oder gleichwertiger Arbeit durch die Förderung von Entgelttransparenz und Durchsetzungsmechanismen zu stärken.
Der Anwendungsbereich der Richtlinie
Gemäß Artikel 2 Absatz 1 gilt sie für alle Arbeitgeber sowohl im öffentlichen als auch im privaten Sektor. Dies bedeutet, dass sie nicht nur für Privatunternehmen, sondern auch für Behörden, Gerichte und Kirchen gilt. Zusätzlich können auch andere Personengruppen, sofern sie bestimmte Kriterien erfüllen, unter den Geltungsbereich dieser Richtlinie fallen. Zu diesen Gruppen gehören beispielsweise Hausangestellte, Arbeitnehmer in geschützten Beschäftigungsverhältnissen, Auszubildende oder Praktikanten (siehe Erwägungsgrund 18).
Fragen zum bisherigen Gehalt nicht erlaubt
Die Richtlinie erfasst auch “Stellenbewerber” gemäß Erwägungsgrund 19 und Artikel 2 Absatz 3 und legt Arbeitgebern ausdrücklich Beschränkungen bei der Datenverarbeitung auf. Artikel 5 der Richtlinie, der sich mit “Entgelttransparenz vor der Beschäftigung” befasst, verbietet es Arbeitgebern, Informationen über das aktuelle Gehalt oder die bisherige Gehaltsentwicklung eines Stellenbewerbers einzuholen. Zusätzlich ergibt sich aus Erwägungsgrund 33, dass sie nicht proaktiv versuchen dürfen, Informationen aus anderen Quellen zu erhalten.
Dies hat Auswirkungen auf den Bewerbungsprozess. Während es bereits datenschutzrechtlich problematisch war, nach dem bisherigen Gehalt zu fragen, wird nun deutlich, dass der europäische Gesetzgeber davon ausgeht, dass es keine Rechtsgrundlage für eine entsprechende Frage oder einen Anruf beim früheren Arbeitgeber gibt. Da nationale arbeitsrechtliche Vorschriften die Datenschutz-Grundverordnung (DSGVO) nur konkretisieren dürfen, kann der nationale Gesetzgeber bei der Umsetzung davon nicht abweichen.
Das Auskunftsrecht der Beschäftigten
Gemäß Artikel 7 („Auskunftsrecht“) haben Beschäftigte das Recht, Informationen über ihr individuelles Gehalt sowie über die durchschnittlichen Gehälter zu verlangen und schriftlich zu erhalten. Diese Informationen müssen nach Geschlecht und für Gruppen von Arbeitnehmern, die die gleiche oder gleichwertige Arbeit wie die anfragende Person verrichten, aufgeschlüsselt werden. Diese Auskünfte können auch über die Arbeitnehmervertretungen angefordert werden.
Es ist wichtig zu beachten, dass es sich dabei um personenbezogene oder personenbeziehbare Daten handeln kann, die datenschutzrechtlich zu betrachten sind. Obwohl der Name nicht angegeben werden darf, besteht dennoch die Möglichkeit, dass bei einer relativ kleinen Vergleichsgruppe, die zusätzlich nach dem Merkmal “Geschlecht” gekennzeichnet ist, Rückschlüsse auf einzelne Personen und deren Gehalt gezogen werden können.
Datenübermittlung an die nationalen Behörden
Gemäß Artikel 9 der Richtlinie sind Arbeitgeber verpflichtet, auf Anfrage Informationen über das Geschlechtergefälle beim Entgelt an die Beschäftigten und an eine nationale Arbeitsaufsichtsbehörde bereitzustellen. Diese Informationen beziehen sich auf Daten zum geschlechtsspezifischen Entgeltgefälle sowie auf variable Bestandteile der Vergütung wie Boni. Die Berichterstattungsfrequenz hängt von der Anzahl der Beschäftigten ab. Zum Beispiel müssen Arbeitgeber mit 150 bis 249 Mitarbeitenden erstmals bis zum 7. Juni 2027 entsprechende Informationen vorlegen und anschließend alle drei Jahre (siehe Artikel 9 Absatz 3).
Neben der Arbeitsaufsichtsbehörde müssen geschlechtsspezifische Entgeltfälle nach Arbeitnehmergruppen, Grundlohn und variablen Bestandteilen auch an eine noch zu schaffende Überwachungsstelle gemäß Artikel 29 der Richtlinie übermittelt werden. Diese Überwachungsstelle soll die Informationen unverzüglich und in einer einfach zugänglichen und benutzerfreundlichen Form veröffentlichen (siehe Artikel 29 Absatz 3c). Wenn in diesen Informationen auch personenbezogene Daten enthalten sind, bildet dieser Artikel die Rechtsgrundlage für die Übermittlung an die Behörden.
Arbeitnehmervertretungen
Zusätzlich sieht Artikel 10 („Gemeinsame Entgeltbewertung“) vor, dass der Arbeitgeber in Zusammenarbeit mit Arbeitnehmervertretungen wie Betriebs- oder Personalräten eine Bewertung des Entgelts durchführt, wenn konkrete Hinweise auf geschlechterdiskriminierende Bezahlung vorliegen, und entsprechende Gegenmaßnahmen ergreift. Dies bedeutet, dass der Arbeitgeber das Recht und die Pflicht hat, den Arbeitnehmervertretungen relevante Daten zur Verfügung zu stellen.
Beschränktes Auskunftsrecht möglich
Gemäß Artikel 12 („Datenschutz“) der Richtlinie gibt es eine Einschränkung des Auskunftsrechts aufgrund der DSGVO. Gemäß Artikel 12 dürfen die personenbezogenen Daten, einschließlich Pseudonymen, die in den Datensätzen enthalten sind, nicht für andere Zwecke verwendet werden.
Eine wichtige Einschränkung für den Anspruch eines einzelnen Arbeitnehmers gemäß Artikel 7 ergibt sich aus Artikel 12. In der nationalen Umsetzung können die Mitgliedstaaten beschließen, dass “nur die Arbeitnehmervertreter, die Arbeitsaufsichtsbehörde oder die Gleichbehandlungsstelle Zugang zu den betreffenden Informationen haben”, falls die Offenlegung von Informationen zur direkten oder indirekten Offenlegung des Gehalts eines identifizierbaren Arbeitnehmers führen würde. Wenn dies entsprechend in Deutschland umgesetzt wird, kann die entsprechende Auskunft gegenüber dem einzelnen Beschäftigten verweigert werden. Nur Arbeitnehmervertretungen hätten Zugang zu den Daten, um gemeinsam mit dem Arbeitgeber gemäß Artikel 10 eine Bewertung des Entgelts vorzunehmen.
21. Juni 2023
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gab das Anhörungsschreiben frei, das an das US-amerikanische Unternehmen OpenAI gerichtet war. In dem Schreiben wird ein Fragenkatalog aufgeführt, bei dem lediglich die Namen der Ansprechpartner anonymisiert wurden. Im April 2023 haben die deutschen Landesdatenschutzbehörden ein Verwaltungsverfahren gegen das Unternehmen OpenAI eingeleitet. OpenAI hatte im November 2022 den KI-Chatbot ChatGPT der Öffentlichkeit vorgestellt. Die Datenschutzbehörden möchten prüfen, ob die Algorithmen der KI-Software den Anforderungen der europäischen Datenschutzregeln gemäß der Datenschutzgrundverordnung (DSGVO) entsprechen.
Die Fragen des ULD an OpenAI
Über 40 rechtsrelevante Fragen wurden im Rahmen der Anhörung gestellt. Diese Fragen beziehen sich auf ChatGPT und die zugehörigen Sprachmodelle GPT bis GPT-4. Die Behörden gehen davon aus, dass ChatGPT personenbezogene Daten automatisiert verarbeitet, um Antworten zu generieren. Um diese Annahme zu überprüfen, wurde OpenAI gebeten, rund 40 Fragen zu beantworten. Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen erklärt, dass der Fragebogen die wesentlichen Datenschutzfragen umfasst. Dabei geht es um Grundsätze der Datenverarbeitung, Rechtmäßigkeit, die Rechte der betroffenen Personen sowie die Gestaltung im Bereich Datenschutz und Sicherheit.
Die Datenschützer möchten beispielsweise wissen, wie OpenAI die Richtigkeit der verwendeten Daten sicherstellen wird, insbesondere wenn Betroffene Berichtigungen oder Löschungen fordern. Auch interessiert sie, aus welchen Quellen die verarbeiteten Daten stammen, die zur Schulung der Sprachmodelle verwendet werden. OpenAI wird gebeten, die entsprechenden Rechtsgrundlagen zu erläutern. Es ist unklar, ob das Unternehmen erhobene personenbezogene Daten vor dem KI-Training pseudonymisiert, anonymisiert oder anderweitig aufbereitet.
Zusätzlich soll OpenAI klären, ob eine Profilbildung der Nutzerinnen und Nutzer durch Tracking erfolgt. Falls dies der Fall ist, wird das Unternehmen gebeten, den Zweck der Profilbildung zu erläutern: Dient sie Werbezwecken oder dem Training von Methoden des maschinellen Lernens? Kann man Nutzungsdaten auch wieder löschen? In der Datenschutzerklärung von OpenAI wird erwähnt, dass Nutzungsdaten erhoben werden und es ist die Rede von “verschiedenen Online-Analytics-Produkten”. Hier soll genauer erläutert werden, was damit gemeint ist.
Des Weiteren wird OpenAI aufgefordert, eine Datenschutzfolgenabschätzung vorzulegen. Falls eine solche Abschätzung nicht durchgeführt wurde, soll das Unternehmen dies begründen. Es bestehen auch offene Fragen zum besonderen Schutz von Kindern und Jugendlichen, zum Datentransfer und schließlich zur möglichen Nutzung durch andere Dienste oder Unternehmen.
OpenAI möchte längere Frist
OpenAI hat seine Kooperationsbereitschaft gezeigt und zugesagt, die Fragen des ULD zu beantworten. Die sechswöchige Frist zur Beantwortung endete am 7. Juni 2023. Allerdings hat OpenAI bereits erfolgreich eine Verlängerung der Frist beantragt. Das ULD gab bekannt, dass der aktuelle Stand des Verfahrens auf der Webseite zu ChatGPT dokumentiert werden soll. Die Veröffentlichung der Antworten von OpenAI L.L.C. erfolgt möglicherweise nicht unmittelbar, da sie sensible Informationen wie Betriebsgeheimnisse enthalten könnten, erklärt Hansen. Sie betont, dass es sich um ein laufendes, nicht öffentliches Verfahren handelt.
Da OpenAI keine Niederlassung in der Europäischen Union hat, sind die europäischen Datenschutzaufsichtsbehörden in ihren jeweiligen Mitgliedstaaten für das Unternehmen zuständig. Im Gegensatz dazu haben Google und Microsoft eine zentrale Niederlassung in Irland, weshalb die irische Datenschutzaufsicht für sie zuständig ist. In Bezug auf die Durchsetzung der DSGVO zeigte sich die irische Aufsichtsbehörde in den vergangenen Jahren mehrfach sehr zögerlich.
Zusammenarbeit im Bereich der KI-Regulierung nötig
Die Datenschutzbehörde in Italien hob Ende April ein zuvor verhängtes Verbot gegen ChatGPT auf, das seit Ende März in Kraft war. OpenAI hatte der Behörde Maßnahmen vorgelegt, mit denen eine verbesserte Datenschutzpraxis gewährleistet werden sollte. Dennoch plant der italienische Datenschutzbeauftragte, seine Ermittlungen fortzusetzen.
“Angesichts der großen Bedeutung führen nun mehrere Landesdatenschutzbehörden Prüfungen des ChatGPT-Dienstes durch”, erklärt Hansen. Das ULD folgt dabei dem Landesverwaltungsgesetz Schleswig-Holstein, während in den anderen Bundesländern ähnliche Regelungen gelten. Die Datenschutzexpertin weist den Vorwurf zurück, dass keine einheitliche Stimme vorhanden sei. Im Gegenteil, über die Datenschutzkonferenz von Bund und Ländern und ihre Taskforce KI wurden die Fragen abgestimmt. “Wir handeln zwar getrennt und basierend auf unserem eigenen Verwaltungsrecht, sind uns jedoch in der Sache einig”, betont sie. Dies verringere auch den Aufwand für OpenAI.
Dennoch beschränkt sich die Anhörung nicht nur auf diese Maßnahme. “Im Bereich KI benötigen wir nicht nur den Schulterschluss mit den europäischen Datenschutzaufsichtsbehörden, sondern es wird auch notwendig sein, uns mit Aufsichtsbehörden und Experten in anderen Rechtsbereichen wie Jugendschutz, Antidiskriminierung, Informationssicherheit, Medienaufsicht, Urheberrecht oder Kartellrecht auszutauschen”, betont Marit Hansen.
23. Mai 2023
Meta, der Mutterkonzern von Facebook, hat erneut eine Rekordstrafe in Höhe von 1,2 Milliarden Euro aufgrund eines Verstoßes gegen die europäische Datenschutzgrundverordnung (DSGVO) erhalten. Die irische Datenschutzbehörde DPC verkündete diese Strafe in Dublin. Das Verfahren betrifft die Beteiligung von Facebook an der Massenüberwachung durch angloamerikanische Geheimdienste, die vor zehn Jahren von Edward Snowden, einem US-Whistleblower, aufgedeckt wurde. Max Schrems, ein Datenschutz-Aktivist aus Österreich, reichte damals eine Beschwerde gegen Facebook ein.
Verfahren kann sich in die Länge ziehen
Das von der DPC verhängte Bußgeld übertrifft die bisherige Rekordstrafe von 746 Millionen Euro, die gegen Amazon.com in Luxemburg verhängt wurde. Zudem ist Meta nun dazu verpflichtet, jede weitere Übermittlung europäischer personenbezogener Daten in die Vereinigten Staaten zu unterbinden, da das Unternehmen weiterhin den US-Überwachungsgesetzen unterliegt.
Meta hat bisher keine Stellungnahme zu der Rekordstrafe abgegeben. Experten gehen jedoch davon aus, dass der US-Konzern gegen die Entscheidung rechtliche Schritte einlegen wird. Die Gerichtsverfahren können sich jedoch über einen längeren Zeitraum erstrecken. In der Zwischenzeit könnte ein neuer Datenpakt zwischen der Europäischen Union und den USA in Kraft treten, um den transatlantischen Datenverkehr neu zu regeln. Meta hatte zuvor mehrfach damit gedroht, sich vollständig aus der EU zurückzuziehen, falls ein dauerhafter transatlantischer Datentransfer nicht möglich sein sollte.
Irische Datenschutzbehörde ging nicht gegen Meta vor
Schrems betonte, dass das verhängte Bußgeld deutlich höher hätte ausfallen können: “Die Höchststrafe liegt bei über vier Milliarden Euro. Und Meta hat über einen Zeitraum von zehn Jahren wissentlich gegen die DSGVO verstoßen, um Gewinne zu erzielen.” Schrems erklärte weiter, dass Meta nun wahrscheinlich seine Systeme grundlegend umstrukturieren müsse, wenn sich die US-Überwachungsgesetze nicht ändern.
Die irische Datenschutzbehörde DPC hatte sich jahrelang geweigert, gegen Facebook in dieser Angelegenheit vorzugehen. Schließlich wurde die DPC durch den Europäischen Datenschutzausschuss (EDSA) dazu verpflichtet, eine Strafe gegen das soziale Netzwerk zu verhängen. Der aktuelle Beschluss betrifft ausschließlich Facebook und nicht andere Dienste wie Instagram oder WhatsApp, die zum Meta-Konzern gehören. Bereits im Januar hatte die DPC Meta jedoch zu einer Strafe in Höhe von 390 Millionen Euro verurteilt, weil Facebook- und Instagram-Nutzer gezwungen wurden, personalisierter Werbung zuzustimmen.
Seit Inkrafttreten der Datenschutzgrundverordnung vor fünf Jahren wurden für Meta insgesamt Bußgelder in Höhe von vier Milliarden Euro verhängt. Meta ist nun sechsmal in der Liste der zehn höchsten Bußgelder vertreten, was zu einer Gesamtstrafe von 2,5 Milliarden Euro führt.
Übrigens: Das höchste Bußgeld in Deutschland betrug 35 Millionen Euro und wurde im Jahr 2020 von der Modekette H&M wegen einer unzureichenden Rechtsgrundlage für die Datenverarbeitung in ihrem Onlineshop gezahlt.
15. Mai 2023
Der langjährige Rechtsstreit um eine Geldstrafe gegen die Deutsche Wohnen SE, die von der Berliner Aufsichtsbehörde (BlnBDI) verhängt wurde, steht erneut im Fokus des Datenschutzrechts. Nachdem das Kammergericht Berlin (KG) vorläufig den Europäischen Gerichtshof (EuGH) angerufen hatte und die Parteien in einer mündlichen Verhandlung vor dem EuGH angehört wurden, äußerte sich Ende April auch Generalstaatsanwalt Campos Sánchez-Bordona zu dem Fall. In seinen Schlussanträgen bestätigte der Generalanwalt zwar, dass Bußgelder gemäß der Datenschutz-Grundverordnung (DSGVO) grundsätzlich direkt gegen Unternehmen verhängt werden können, lehnte jedoch die Frage ab, ob diese auch unabhängig von einem Verschulden erlassen werden können. Damit wurde der Forderung nach einer Haftung ohne Verschulden, auch bekannt als “strict liability”, eine Absage erteilt. Eine endgültige Entscheidung des EuGH zur Klärung dieser Fragen steht noch aus und wird mit Spannung in naher Zukunft erwartet.
Rechtlicher Hintergrund
Im Oktober 2019 verhängte die Berliner Aufsichtsbehörde gegen den Immobilienkonzern Deutsche Wohnen SE eine Geldstrafe in Höhe von 14,5 Millionen Euro aufgrund von Datenschutzverstößen gegen die DSGVO. Der Vorwurf der BlnBDI lautete, dass der Immobilienkonzern personenbezogene Mieterdaten unrechtmäßig lange aufbewahrt und keine angemessenen Maßnahmen zur Löschung ergriffen hatte.
Im Rahmen eines Einspruchsverfahrens erklärte das zuständige Berliner Landgericht den Bescheid zugunsten der Deutschen Wohnen SE für ungültig. Das Gericht war der Ansicht, dass nach deutschem Ordnungswidrigkeitenrecht juristische Personen nur dann direkt sanktioniert werden können, wenn den Unternehmensverantwortlichen ein konkretes Fehlverhalten nach dem gesetzlichen “Rechtsträgerprinzip” gemäß § 30 OWiG nachgewiesen werden kann. Da ein solches Fehlverhalten seitens der Aufsichtsbehörde nicht nachgewiesen werden konnte, hob das Gericht den Bescheid auf. Die zuständige BlnBDI und die Staatsanwaltschaft legten gemeinsam Beschwerde beim Kammergericht Berlin gegen die Einstellung des Verfahrens ein. Die Kammer setzte das Verfahren vorerst aus und legte dem Europäischen Gerichtshof (EuGH) zwei Fragen zur Vorabentscheidung vor.
Vorabentscheidungsverfahren beim EuGH
Im Gegensatz zum erstinstanzlichen Landgericht Berlin hat sich das Kammergericht Berlin an den Europäischen Gerichtshof gewandt und ein Vorabentscheidungsersuchen gestellt, um zwei zentrale Fragen zur Auslegung von Art. 83 Abs. 4-6 DSGVO zu klären. Das Kammergericht Berlin wollte vom EuGH im Wesentlichen wissen:
Ob Geldbußen gemäß der DSGVO direkt gegen rechtswidrig handelnde Unternehmen verhängt werden können.
Ob ein Unternehmen den Verstoß, der von einem Mitarbeiter begangen wurde, schuldhaft begangen haben muss oder ob für eine Bestrafung bereits eine objektive Pflichtverletzung ausreicht (sogenannte “strict liability”).
Unternehmen als Adressaten von Sanktionen?
Nach Ansicht des Generalanwalts können Unternehmen direkte Adressaten von Geldbußen sein. Dies sei nicht nur in mehreren Bestimmungen der DSGVO vorgesehen, sondern nach Aussage des Generalanwalts auch ein Schlüsselmechanismus zur Gewährleistung der Wirksamkeit der DSGVO. Der Generalanwalt argumentierte, dass dies aus dem Wortlaut einzelner Normen der DSGVO hervorgehe. Insbesondere Artikel 4, 58 und 83 der DSGVO lassen darauf schließen, dass Sanktionen, insbesondere Geldbußen, direkt gegen juristische Personen verhängt werden können. Die Frage, ob das deutsche Ordnungswidrigkeitengesetz, insbesondere § 30 OWiG, die Anforderungen der DSGVO in dieser Hinsicht ausreichend berücksichtigt, wurde vom Generalanwalt nicht abschließend beantwortet. Er verwies auf das Landgericht Berlin, das diese Frage noch ausreichend klären müsse.
Sanktionen und schuldhaftes Handeln
Dies ist nur der Fall, wenn der Sanktionierung vorsätzliches oder fahrlässiges Handeln eines Mitarbeitenden des Unternehmens vorausgegangen ist. Ein rechtswidriges Verhalten eines einzelnen Beschäftigten genügt bereits, um gegen das Unternehmen eine entsprechende Geldbuße zu verhängen. Der Generalanwalt ist der Ansicht, dass ein konkreter Nachweis einer Aufsichtspflichtverletzung erforderlich ist, damit das schuldhafte Handeln eines Mitarbeitenden, der nicht zur Führungsriege gehört, den Leitungsorganen zugerechnet und somit sanktioniert werden kann.
Der Generalanwalt erklärt dies wie folgt:
“Es handelt sich schließlich um natürliche Personen, die zwar nicht selbst Vertreter einer juristischen Person sind, aber unter der Aufsicht derjenigen handeln, die Vertreter der juristischen Person sind und die eine unzureichende Überwachung oder Kontrolle über die zuerst genannten Personen ausgeübt haben. Letzten Endes führt die Zurechenbarkeit zu der juristischen Person selbst, soweit der Verstoß des Mitarbeiters, der unter der Aufsicht ihrer Leitungsorgane handelt, auf einen Mangel des Kontroll- und Überwachungssystems zurückgeht, für den die Leitungsorgane unmittelbar verantwortlich sind.”
Damit beantwortet der Generalanwalt auch die Frage, ob bereits eine objektive Pflichtverletzung ausreicht, um eine Geldbuße zu verhängen. Diese Frage verneint der Generalanwalt und erklärt, dass Aufsichtsbehörden keine verschuldensunabhängigen Geldbußen gegen Unternehmen verhängen können, da einer Geldbuße stets ein zuzurechnendes Verschulden vorausgehen muss. Dies bedeutet, dass Aufsichtsbehörden zumindest im Rahmen des Bußgeldverfahrens ein Verschulden feststellen müssen.
Der Generalanwalt führt dazu aus:
“Was die in der DSGVO vorgesehenen Verpflichtungen betrifft, einschließlich derjenigen, von denen die Verarbeitung von Daten (Artikel 5 DSGVO) und deren Rechtmäßigkeit (Artikel 6 DSGVO) abhängt, erfordert die Beurteilung, ob diese Verpflichtungen erfüllt wurden, einen komplexen Bewertungs- und Beurteilungsprozess, der über die bloße Feststellung eines formalen Verstoßes hinausgeht.”
Falls die Richter dem Votum des Generalanwalts folgen, würde dies bedeuten, dass Bußgelder zukünftig nicht mehr nach dem Prinzip der “strict liability” verschuldensunabhängig verhängt werden können. Die Richter sind zwar nicht an die Empfehlungen des Generalanwalts gebunden, folgen seiner Rechtsauffassung aber in der Regel. Der Zeitpunkt für eine Entscheidung ist derzeit noch nicht bekannt.
Aussage der Berliner Aufsichtsbehörde
Zwischenzeitlich äußerte sich auch die neue Datenschutz- und Informationsfreiheitsbeauftragte Meike Kamp auf ihrem eigenen Mastodon-Account und unterstützte die Ansichten des Generalanwalts. Aus ihren Aussagen geht hervor, dass ein Urteil, das die Schlussanträge des Generalanwalts aufgreift, in Deutschland endlich einheitliche Standards für die Verhängung von Sanktionen bei rechtswidrigem Verhalten schaffen würde, wie es in der übrigen EU bereits der Fall ist. Dies würde dem Ziel einer einheitlichen Durchsetzung des europäischen Rechts gerecht werden und die Bußgeldverfahren der deutschen Aufsichtsbehörden erheblich vereinfachen.
Fazit
Bereits jetzt zeichnet sich ab, obwohl das Urteil des EuGH noch aussteht, dass dies erhebliche Auswirkungen auf die Praxis der Bußgeldverhängung durch deutsche Aufsichtsbehörden haben wird. Die Schlussanträge des Generalanwalts geben eine erste Richtung vor, wie die Richter am EuGH in naher Zukunft entscheiden könnten, und erhöhen bereits jetzt die Spannung, insbesondere in der Datenschutzberatung.
Wenn die Richter des EuGH tatsächlich den Schlussanträgen des Generalanwalts in ihrem Urteil folgen, hätte dies nicht nur erhebliche Auswirkungen auf zukünftige Bußgeldverfahren, sondern auch unmittelbar auf Unternehmen. Obwohl den deutschen Aufsichtsbehörden die Möglichkeit genommen würde, Bußgelder verschuldensunabhängig zu verhängen, dürfte dies in der Praxis nur begrenzt Erleichterung bringen, da zumindest das Vorliegen fahrlässigen Verschuldens seitens der Beschäftigten in den meisten Fällen vermutet werden kann. Der einzige tatsächliche Unterschied besteht darin, dass die Aufsichtsbehörden im Rahmen des Verfahrens zur Überprüfung des Verschuldens einen zusätzlichen Aufwand betreiben müssten.
4. Mai 2023
Der Europäische Gerichtshof (EuGH) urteilte am 04.05.2023 über eine wichtige Grundsatzfrage zum Schadensersatzanspruch (Rechtssache C-300/21). Dabei ging es insbesondere um die Frage, unter welchen Umständen es bei Verstößen gegen den Datenschutz zu Schadensersatzforderungen kommen kann.
Vorgeschichte
Im Jahr 2017 hatte die Österreichische Post begonnen, Informationen über die politischen Präferenzen der österreichischen Bevölkerung zu sammeln. Mithilfe eines Algorithmus wurden aus verschiedenen sozialen und demografischen Merkmalen “Zielgruppenadressen” definiert, die dann an verschiedene Organisationen verkauft wurden, um ihnen gezielte Werbung zu ermöglichen. Dabei wurden Kundendaten wie Name, Geschlecht und Alter mit verschiedenen Wahl-Statistiken kombiniert, um herauszufinden, welcher politischen Partei ihre Kunden nahestanden. Mehr als zwei Millionen Österreicher waren von diesem Vorfall betroffen.
Der Kläger, der nicht der Verarbeitung seiner personenbezogenen Daten zugestimmt hatte, fühlte sich beleidigt, als die Österreichische Post aufgrund ihrer Datenverarbeitung eine hohe Affinität zu einer bestimmten politischen Partei bei ihm feststellte. Er reichte Klage gegen die Österreichische Post ein, um die Verarbeitung seiner Daten zu stoppen und eine Entschädigung für den immateriellen Schaden zu erhalten, den er erlitten hatte. Das Landesgericht für Zivilrechtssachen Wien gab ihm in Bezug auf die Verarbeitung seiner Daten Recht, lehnte jedoch sein Schadenersatzbegehren ab.
Das Oberlandesgericht Wien bestätigte das erstinstanzliche Urteil und verwies auf die Vorschriften der DSGVO in Bezug auf die zivilrechtliche Haftung. Es stellte fest, dass ein Verstoß gegen die Vorschriften zum Schutz personenbezogener Daten nicht automatisch zu einem immateriellen Schaden führe und nur dann einen Schadenersatzanspruch begründete, wenn ein solcher Schaden eine “Erheblichkeitsschwelle” erreiche. In diesem Fall sah das Gericht keine Erheblichkeitsschwelle überschritten.
Vorlage an den EuGH
Der Oberste Gerichtshof Österreichs bestätigte die Entscheidung des Landesgerichts in Bezug auf die Unterlassungsverpflichtung der Österreichischen Post, gab jedoch dem Schadenersatzbegehren des Klägers vorerst nicht statt. Das Verfahren wurde ausgesetzt und der Gerichtshof bat nun den EuGH um Klärung der folgenden Fragen:
- Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
- Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
- Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Schadenersatzanspruch setzt Verstoß, Schaden und Kausalzusammenhang voraus
Der EuGH stellte klar, dass die Begriffe der DSGVO für die Anwendung der Verordnung als autonome Begriffe des Unionsrechts anzusehen seien, die in allen Mitgliedstaaten einheitlich auszulegen sind. Der Wortlaut von Art. 82 Abs. 1 DSGVO zeige, dass das Vorliegen eines Schadens eine der Voraussetzungen für den Schadenersatzanspruch sei, zusammen mit einem Verstoß gegen die DSGVO und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Eine Auslegung, dass jeder Verstoß gegen die DSGVO automatisch den Schadenersatzanspruch eröffnet, würde dem Wortlaut von Art. 82 Abs. 1 DSGVO widersprechen. Dies werde auch durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfüge, sowie durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO.
Modalitäten müssen Äquivalenz- und Effektivitätsgrundsatz entsprechen
Das Urteil kommt zu dem Ergebnis, dass es mangels einschlägiger Unionsregeln nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats sei, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen. Dies setze allerdings voraus, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz). Darüber hinaus dürften sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz). Es sei somit Sache des vorlegenden Gerichts, festzustellen, ob die im österreichischen Recht vorgesehenen Modalitäten für die gerichtliche Festsetzung des Schadenersatzes, der aufgrund des in Art. 82 DSGVO verankerten Schadenersatzanspruchs geschuldet werde, die Ausübung der durch das Unionsrecht und insbesondere durch diese Verordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren. Im Übrigen sei eine auf Artikel DSGVO gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen, wenn sie es ermögliche, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen.
Keine Erheblichkeitsschwelle für immaterielle Schäden
Das Gericht bejaht die Frage, ob nationale Regelungen oder Praktiken, die den Ersatz eines immateriellen Schadens von einer bestimmten Erheblichkeit abhängig machen, mit Art. 82 Abs. 1 DSGVO unvereinbar sind. Die DSGVO definiere den Begriff “Schaden” nicht und lege keine Erheblichkeitsschwelle fest. Die Definition des Begriffs “Schaden” sollte den Zielen der DSGVO in vollem Umfang entsprechen. Eine Erheblichkeitsschwelle würde die Kohärenz der DSGVO beeinträchtigen, da sie je nach Beurteilung durch die Gerichte unterschiedlich hoch ausfallen könnte. Allerdings sei eine betroffene Person weiterhin verpflichtet, nachzuweisen, dass sie einen immateriellen Schaden erlitten habe.
Fazit
Das Urteil aus Luxemburg hat mehrere wichtige Aspekte der Datenschutz-Grundverordnung (DSGVO) beleuchtet. Zunächst betont das Gericht, dass das Recht auf Entschädigung gemäß der DSGVO drei kumulative Bedingungen unterliegt: Verstoß gegen die DSGVO, materieller oder immaterieller Schaden infolge dieses Verstoßes und ein kausaler Zusammenhang zwischen dem Schaden und dem Verstoß. Daher führt ein bloßer Verstoß gegen die DSGVO nicht automatisch zu einem Entschädigungsanspruch. Diese Interpretation entspricht der Formulierung und den Erwägungsgründen der DSGVO.
Zweitens hat das Gericht klargestellt, dass keine Anforderung besteht, dass der erlittene immaterielle Schaden einen bestimmten Schweregrad erreichen muss, um ein Recht auf Entschädigung zu begründen. Dies bedeutet, dass jeder Art von immateriellem Schaden, unabhängig von seiner Schwere, potenziell zu einer Entschädigung führen kann, wenn die anderen beiden Bedingungen erfüllt sind.
Die Entscheidung des Gerichts ist bedeutend, da sie bestätigt, dass das Recht auf Entschädigung für immaterielle Schäden infolge rechtswidriger Datenverarbeitung eine wichtige Sicherung der Datenschutzrechte von Einzelpersonen darstellt. Es erkennt auch die breite Auffassung zum “Schaden” an, die von der EU-Gesetzgebung übernommen wurde, zu der jegliche Art von Schaden gehört, den eine Person erleidet. Das Gericht betonte jedoch auch, dass die DSGVO keine spezifischen Regeln zur Bewertung von Schäden enthält und es den Rechtsordnungen der einzelnen Mitgliedstaaten überlassen bleibt, den Umfang der in diesem Zusammenhang zu leistenden Entschädigung festzulegen. Solange die Grundsätze der Gleichwertigkeit und Wirksamkeit eingehalten werden, sind die Mitgliedstaaten frei, die detaillierten Regeln für Maßnahmen zur Sicherung der Rechte festzulegen, die Einzelpersonen aus der DSGVO ableiten, und insbesondere die Kriterien zur Bestimmung des Umfangs der in diesem Zusammenhang zu zahlenden Entschädigung.
Insgesamt unterstreicht dieser Gerichtsbeschluss die Bedeutung des Schutzes der Datenschutzrechte von Einzelpersonen und der Gewährleistung wirksamer Abhilfemaßnahmen für jeglichen Schaden, der als Folge rechtswidriger Verarbeitung personenbezogener Daten erlitten wurde. Er hebt auch die Notwendigkeit hervor, dass die Mitgliedstaaten klare und wirksame Mechanismen zur Bestimmung von Entschädigungen in Fällen von immateriellen Schäden infolge von DSGVO-Verstößen schaffen.
3. Mai 2023
Der European Data Protection Board (EDPB) veröffentlichte einen neuen Leitfaden, dessen Inhalt die Umsetzung datenschutzrechtlicher Vorgaben in kleinen und mittleren Unternehmen ist. Neben allgemeinen Grundlagen zum Datenschutz, geht es u.a. auch um Themen wie der Umgang mit Betroffenenrechten und einem Datenschutzvorfall.
Videos, praktische Beispiele und Infographiken
Nach der Empfehlung 2003/361/EG ist ein kleines oder mittleres Unternehmen nach der Mitarbeiteranzahl und dem Jahresumsatz zu bestimmen. Demnach handelt es sich um kleines Unternehmen, dass eine Beschäftigtenanzahl von bis zu 49 Mitarbeitern hat und einem Jahresumsatz von bis zu 10 Millionen Euro erwirtschaftet. Für ein mittleres Unternehmen bedarf es einer Mitarbeiteranzahl von bis zu 249 Personen und einem Jahresumsatz bis zu 50 Millionen Euro.
Aus Sicht des EBPB sei es erforderlich kleine und mittlere Unternehmen über die Funktion der Datenschutz-Grundverordnung (DSGVO) zu informieren. Die EDPB vermittelt ihren Leitfaden nicht einem bloßen Informationstext, sondern verwendet ebenso Videos, praktische Beispiele und Infographiken. Der Leitfaden ist eingeteilt in unterschiedliche Themenkomplexen, die mit einfach zu verstehenden Informationen beginnen und darüber hinaus komplexere Anwendungsbereiche der DSGVO aufgreifen.
Um die praktische Umsetzung zu garantieren, sind in dem Leitfaden auch Checklisten und Fragebögen enthalten. Demnach kann jedes Unternehmen mit Hilfe mehrerer Fragen herausfinden, ob es Datenschutz-Folgeabschätzung (DSFA) durchführen muss. Außerdem kann das betreffende Unternehmen über eine Checkliste prüfen, ob es ausreichende Sicherheitsstandards zum Schutz personenbezogener Daten getroffen hat.
Fazit
Der neue Leitfaden des EDPB behandelt grundsätzlich keine neuen Themen rund um die DSGVO. Allerdings ist er optisch sehr ansprechend gestaltet und kann seinem Publikum, unabhängig von dessen Kenntnisstand komplexe Inhalte vereinfacht erklären.
Am 26. April 2023 erließ das Gericht der Europäischen Union sein Urteil in der Rechtssache T-557/20, SRB gegen EDSB. Das Gericht stellte dabei fest, dass pseudonymisierte Daten, die an einen Datenempfänger übermittelt werden, nicht als personenbezogene Daten gelten, wenn der Datenempfänger nicht über die Mittel zur Re-Identifizierung der betroffenen Personen verfügt. Das Gericht stellte auch klar, dass die Meinungen einer Person nicht als personenbezogene Daten angesehen werden können; vielmehr ist eine Einzelfallprüfung erforderlich.
Hintergrund
Der einheitliche Abwicklungsausschuss (Single Resolution Board – SRB) verwendete ein elektronisches Formular, mit dem interessierte Parteien ihre Meinung äußern konnten, und gab die eingegangenen Antworten an ein Beratungsunternehmen weiter. Bevor die Antworten weitergegeben wurden, ersetzte der SRB den Namen jedes Befragten durch einen Code. Nach einer Reihe von Beschwerden entschied der Europäische Datenschutzbeauftragte (EDSB), dass der SRB pseudonymisierte personenbezogene Daten an das Beratungsunternehmen weitergegeben hatte, ohne die betroffenen Personen über diese Weitergabe zu informieren. Der SRB vertrat die Auffassung, dass diese Information nicht notwendig war, da die übermittelten Daten anonymisiert waren und folglich nicht als personenbezogene Daten für den Datenempfänger angesehen werden konnten.
Pseudonyme oder anonyme Daten?
Das Gericht betonte, dass im Einklang mit der Entscheidung des Gerichtshofs in der Rechtssache Breyer bei der Feststellung, ob pseudonymisierte Informationen, die an einen Datenempfänger übermittelt werden, personenbezogene Daten darstellen, die Perspektive des Datenempfängers zu berücksichtigen ist. Verfügt der Datenempfänger über keine zusätzlichen Informationen, die es ihm ermöglichen, die betroffenen Personen zu reidentifizieren, und hat er keine rechtlichen Möglichkeiten, auf solche Informationen zuzugreifen, können die übermittelten Daten als anonymisiert und somit nicht als personenbezogene Daten betrachtet werden. Die Tatsache, dass der Datenübermittler über die Mittel zur Re-Identifizierung der betroffenen Personen verfügt, ist irrelevant und bedeutet nicht, dass die übermittelten Daten automatisch auch personenbezogene Daten für den Empfänger sind.
Stellungnahme des Gerichts
Das Gericht stellte ferner fest, dass persönliche Ansichten oder Meinungen zwar personenbezogene Daten darstellen können, dies aber nicht vorausgesetzt werden kann. Stattdessen ist eine Einzelfallbewertung erforderlich, “die auf der Prüfung der Frage beruht, ob eine Ansicht aufgrund ihres Inhalts, ihres Zwecks oder ihrer Wirkung mit einer bestimmten Person verbunden ist”.
Pages: 1 2 3 4 5 6 7 ... 34 35 
