Kategorie: EU-Datenschutzgrundverordnung

Die EU und ihre digitalen Ziele – Update

25. Januar 2023

Bereits 2021 hatte die Europäische Kommission eine Zielvorstellung für digitale Veränderungen in Europa präsentiert, die bis 2030 umgesetzt werden soll. Kurz gefasst sollen dadurch Kompetenzen, digitale Infrastruktur, Digitalisierung in Unternehmen und öffentlichen Diensten gestärkt werden.

Warum ist uns das besonders wichtig? Digitale Veränderungen beinhalten Chancen und Risiken – auch für den Datenschutz.

Die Ziele

Die Europäische Kommission hat ihre Ziele und Strategien im digitalen Kompass zusammengefasst. Ein zentrales Ziel sei unter anderem die digitale Souveränität Europas, die anhand folgender Kernpunkte erreicht werden sollen.

Eine digital befähigte Bevölkerung und hoch qualifizierte digitale Fachkräfte

Bis 2030 sollen etwa 20 Millionen Informations- und Kommunikationstechnologische Fachkräfte weitergebildet werden.

Sichere, leistungsfähige und tragfähige digitale Infrastrukturen

Alle europäischen Haushalte sollen Zugang zu einer Gigabit-Leitung und alle besiedelten Gebiete 5G erhalten. Der weltweit europäische Anteil am Halbleitermarkt soll verdoppelt und 10.000 klimaneutrale, hochsichere Randknoten in der EU errichtet werden.

Digitalisierung von Unternehmen

Die Digitaltechnik soll auf 75% der Unternehmen erhöht werden, indem sie Cloud-Computing, Big Data und künstliche Intelligenz in ihr Unternehmen integrieren

Digitalisierung öffentlicher Dienste

Ziel sei zum Beispiel, dass jeder europäischen Bürger Online-Zugang zu wesentlichen öffentlichen Diensten und ihren elektronischen Patientenakten bekommt

Folgen für den Datenschutz

Die Umsetzung der geplanten Ziele hat weitreichende Folge auf dem Gebiet des Datenschutzes. Es stellen sich diverse Herausforderungen für Verantwortliche.

Förderung von Datenschutzbeauftragten

Die Weiterentwicklung und Erhöhung digitaler Fachkräfte betrifft zum einen die Förderung von Datenschützern und deren Ausbildung. Zum anderen steigt der Bedarf an Sensibilisierung anderer Fachkräfte durch Datenschutzbeauftragte. Nimmt die Verbreitung digitaler Infrastruktur zu und erhöht sich der Stand der Digitaltechnik auf 75%, müssen sämtliche Bereiche ihre Kenntnisse im Datenschutz stärken, um der DSGVO gerecht werden zu können.

Der internationale Datentransfer

Digitale Infrastrukturen sind im Rahmen der digitalen Ziele und damit nicht zuletzt auch beim Datenschutz von Bedeutung. Insbesondere bei der Auftragsverarbeitung (Art. 28 DSGVO) wird auf Dienstleister zurückgegriffen, die Daten in der Cloud von Drittländern verarbeiten. Hier müssen die Bestimmungen des Art. 44 DSGVO beachtet werden, was häufig zu Herausforderungen in Verbindung mit Drittlandtransferprüfungen und Subdienstleistern führt. Im Zuge einer erweiterten digitalen Infrastruktur in der EU könnte eine Alternative zu Drittlandtransfers ausgebaut werden. Anfänge dafür sieht man z.B. an Projekten wie der EU Data Boundary von Microsoft.

Öffentliche und nicht-öffentliche Dienste

Die EU möchte auch die Digitalisierung der öffentlichen Dienste sowie den einfachen Zugang zu Patienten-/Bürgerakten, die sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten können, vorantreiben. An den Schnittstellen dieser Dienste wird eine große Menge von Daten zwischen öffentlichen Stellen und Privatpersonen aber auch nicht öffentlichen Stellen ausgetauscht werden. Vor allem an diesen Stellen herrscht ein hohes Risiko, welches mehr Aufwand wie unter Umständen eine Datenschutz-Folgenabschätzungen und damit das Einführen zusätzlicher Schutzmaßnahmen zur Folge haben kann.

Fazit

Im Ergebnis müssen, trotz der positiven Auswirkungen der Digitalisierung, dennoch die vielseitigen Risiken für den Datenschutz beachtet werden, damit die Digitalisierung Europas ein tatsächlicher Erfolg wird. Leider besteht bislang auf europäischer Ebene Uneinigkeit darüber, wie mit der Lösung dieser Probleme umgegangen werden soll und welche Schwerpunkte gesetzt werden müssen. Es bleibt abzuwarten, welche Gesetzgebungsvorhaben in Zukunft durchgesetzt werden, um das komplexe Zusammenspiel von Datenschutz und Bereichsregulierung zu ordnen.

Privacy by Design wird im Februar ISO-Standard

24. Januar 2023

Es gibt Neuigkeiten! Vierzehn Jahre nach der Einführung durch den kanadischen Datenschutzbeauftragten ist „Privacy by Design“ (PbD) im Begriff, ein internationaler Datenschutzstandard für den Schutz von Verbraucherprodukten und -dienstleistungen zu werden.

Doch was versteht man unter PbD? Hinter dem Begriff „Privacy by design“ verbirgt sich nichts Anderes als „Datenschutz durch Technikgestaltung“. Dahinter steckt der Gedanke, dass der Datenschutz bei Datenverarbeitungsvorgängen am besten eingehalten wird, wenn er bei deren Erarbeitung bereits technisch integriert ist. Das Konzept wurde 2009 vorgestellt und besteht aus einer Reihe von Grundsätzen, die die Berücksichtigung des Datenschutzes im gesamten Datenmanagementprozess einer Organisation fordern. Seitdem wurden sie von der Internationalen Versammlung der Datenschutzbeauftragten und -behörden angenommen und in die europäische Datenschutzgrundverordnung (DSGVO) aufgenommen.

Wer ist die ISO?

Die ISO ist ein Netzwerk von 167 nationalen Normungsgremien. Sie legt über 24.000 Normen fest, darunter die ISO 27001 für Informationssicherheits-Managementsysteme, deren Einhaltung Organisationen nach einer Prüfung durch Wirtschaftsprüfungsunternehmen wie Deloitte, KPMG und PwC zertifiziert werden kann.

Die Verabschiedung durch die ISO gibt der Operationalisierung des Konzepts „Privacy by Design Leben“, so Ann Cavoukian, die PbD-Erfinderin, „und hilft Organisationen, herauszufinden, wie sie es umsetzen können. Der Standard ist so konzipiert, dass er von einer ganzen Reihe von Unternehmen genutzt werden kann – von Start-ups über multinationale Unternehmen bis hin zu Organisationen jeder Größe. Bei jedem Produkt kann dieser Standard eingesetzt werden, weil er einfach zu übernehmen ist. Wir hoffen, dass der Datenschutz proaktiv in die Gestaltung der Abläufe [einer Organisation] eingebettet wird und die Datenschutzgesetze ergänzt.“

Was kommt auf uns zu?

In seiner ursprünglichen Fassung umfasst PbD sieben Grundsätze, darunter die, dass der Datenschutz die Standardeinstellung einer Organisation sein sollte, dass er in die Gestaltung von IT-Systemen und Geschäftspraktiken eingebettet ist und dass er Teil des gesamten Datenlebenszyklus ist.

Die endgültige ISO-Norm 31700 ist detaillierter und enthält 30 Anforderungen verteilt auf 32 Seiten. Sie enthält allgemeine Anleitungen zur Entwicklung von Funktionen, die es den Verbrauchern ermöglichen, ihre Datenschutzrechte durchzusetzen, zur Zuweisung relevanter Rollen und Befugnisse, zur Bereitstellung von Datenschutzinformationen für Verbraucher, zur Durchführung von Datenschutzrisikobewertungen, zur Festlegung und Dokumentation von Anforderungen an Datenschutzkontrollen, zur Gestaltung von Datenschutzkontrollen, zum Datenmanagement über den gesamten Lebenszyklus und zur Vorbereitung auf und zum Umgang mit Datenschutzverletzungen.

In der vorgeschlagenen Einleitung wird darauf hingewiesen, dass sich PbD auf verschiedene Methoden für die Entwicklung von Produkten, Prozessen, Systemen, Software und Dienstleistungen bezieht. Die vorgeschlagene Bibliographie, die dem Dokument beiliegt, verweist auf andere Normen mit detaillierteren Anforderungen an die Identifizierung personenbezogener Daten, Zugangskontrollen, die Zustimmung der Verbraucher, Corporate Governance und andere Themen.

Zusammen mit der Norm wird ein separates Dokument mögliche Anwendungsfälle skizzieren.

Ausblick

Cavoukian wiederholte das Argument, das sie schon seit Jahren vorbringt: Datenschutz kann ein Wettbewerbsvorteil für Unternehmen sein, die ihn annehmen. „Wir müssen uns von dem veralteten Entweder-Oder-Modell von Datenschutz und Geschäft verabschieden“, so ihr Standpunkt. „Das kann eine Win-Win-Situation sein. Es geht um Datenschutz und Geschäftsinteressen. You can do both.“

ISO 31700 wird allerdings zunächst kein Konformitätsstandard sein.

Datenschutzverstöße von Unternehmen: EuGH verhandelt

Am Dienstag, den 17. Januar 2023, fand vor dem Europäischen Gerichtshof die mündliche Verhandlung im Fall “Deutsche Wohnen” (C-807/21) statt. Das Unternehmen war von der Berliner Beauftragten für Datenschutz und Informationsfreiheit mit einem Bußgeld von 14,5 Millionen Euro wegen der unangemessenen Speicherung von Mieterdaten bestraft worden. Der EuGH wird sich nun mit der Frage beschäftigen, ob eine juristische Person in Deutschland nach EU-Recht direkt für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) bestraft werden kann, ohne dass eine Verletzung durch eine identifizierte natürliche Person festgestellt werden muss. Diese Anforderungen sind in der DSGVO nicht vorgesehen.

Der Europäische Gerichtshof hat in der mündlichen Verhandlung ein besonderes Interesse daran gezeigt, wie die Regelungen in Deutschland die europäische Harmonisierung beeinflussen. Da der Fall von großer Bedeutung ist, hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vor der Verhandlung mit einer rechtlichen Stellungnahme positioniert.

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Vorsitzende der Datenschutzkonferenz für das Jahr 2023: „Die Entscheidung in diesem Verfahren wird für Deutschland eine grundlegende Weichenstellung bedeuten. Sie wird daher von den deutschen Datenschutzaufsichtsbehörden mit Spannung erwartet.“

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Sanktionierung von Datenschutzverstößen durch Unternehmen ist in Deutschland gegenüber anderen EU-Mitgliedstaaten derzeit deutlich erschwert. Dies widerspricht dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und steht nicht im Einklang mit der DSGVO. Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen. Das Verfahren vor dem EuGH wird hoffentlich in dieser Frage die erforderliche Rechtssicherheit für Unternehmen und Aufsichtsbehörden schaffen.“

EuGH: Zivil- und verwaltungsrechtliche Rechtsbehelfe können nebeneinander und unabhängig voneinander eingelegt werden

17. Januar 2023

Mit Urteil vom 12. Januar 2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass die in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe nebeneinander und unabhängig voneinander eingelegt werden können (C-132/21).

Hintergrund

Grundlage der Entscheidung war die Vorlage des Hauptstädtischen Stuhlgerichts Budapests. Die betroffene Person „BE“ hatte zum einen gegen eine Entscheidung der Datenschutzaufsichtsbehörde vor dem vorlegenden Gericht geklagt, welches der Verwaltungsgerichtsbarkeit angehört. Zum anderen hatte er vor dem Zivilgericht Klage gegen den datenschutzrechtlichen Verantwortlichen erhoben, über dessen Verarbeitung er sich bei der Aufsichtsbehörde beschwert hatte.

Beide Rechtswege sind in der DSGVO vorgesehen. Gegen den Verantwortlichen können betroffene Personen nach Art. 79 DSGVO vorgehen. Gegen Entscheidungen der Aufsichtsbehörde gewährt ihnen Art. 78 DSGVO den Rechtsweg.

Das vorlegende Gericht störte sich daran, dass es „denselben Sachverhalt und dieselbe Behauptung eines Verstoßes gegen die Verordnung 2016/679 prüfen müsse, über die das Fővárosi Ítélőtábla (Hauptstädtisches Tafelgericht, Ungarn) bereits rechtskräftig entschieden habe.“ Daher wollte es wissen, „in welchem Verhältnis die von einem Zivilgericht vorgenommene Beurteilung der Rechtmäßigkeit einer Entscheidung des Verantwortlichen für die Verarbeitung personenbezogener Daten zu dem Verwaltungsverfahren steht“. Es sei nämlich möglich, dass widersprüchliche Entscheidungen erlassen würden.

Entscheidung des EuGH

Der EuGH betonte, dass die von der DSGVO vorgesehenen Rechtsbehelfe gleichwertig nebeneinander stehen. Die DSGVO sehe weder „weder eine vorrangige oder ausschließliche Zuständigkeit vor[sieht] noch einen Vorrang der Beurteilung der genannten Behörde oder des genannten Gerichts zum Vorliegen einer Verletzung der durch diese Verordnung verliehenen Rechte.“ Aus diesem Grund könnten die Rechtsbehelfe „nebeneinander und unabhängig voneinander eingelegt werden.“

Es obliege „den Mitgliedstaaten, im Einklang mit dem Grundsatz der Verfahrensautonomie die Modalitäten des Zusammenspiels dieser Rechtsbehelfe zu regeln“. Dabei sei die effektive Umsetzung der DSGVO zu berücksichtigen, um die Rechte betroffener Personen effektiv zu schützen und die DSGVO einheitlich anzuwenden.

Mehraufwand für Unternehmen bei Auskunftsanspruch

13. Januar 2023

Verantwortliche sind verpflichtet, betroffenen Personen auf Anfrage die Identität der Empfänger, gegenüber welchen personenbezogene Daten offengelegt wurden, mitzuteilen. Dies hat der Europäische Gerichtshof (EuGH) nun in einem Urteil (Urt. v. 12.01.2023 – Rs. C-154/21) entschieden.

Sachverhalt

Dem Urteil vorausgegangen war die Klage eines Österreichers, welcher gegenüber der Österreichischen Post sein Auskunftsrecht nach Art. 15 Abs. 1 lit. c DSGVO geltend machte. Auf die Anfrage, welchen Empfängern gegenüber die Post seine personenbezogenen Daten offengelegt habe, beschränkte sich die Österreichische Post zunächst auf die Auskunft, sie verwende personenbezogene Daten im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und stelle die Daten darüber hinaus Geschäftskunden für Marketingzwecke zur Verfügung. Darunter befanden sich unter anderem werbetreibende Händler, IT-Unternehmen, NGOs und Parteien.

Das Auskunftsrecht nach Art. 15 DSGVO

Gemäß Art. 15 DSGVO haben betroffene Personen das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so haben sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  • Die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Das Urteil eindeutig

Mit seiner Vorlagefrage wollte das vorlegende Gericht im Wesentlichen festgestellt wissen, ob Art. 15 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die konkrete Identität der Empfänger mitzuteilen.

Das Auskunftsrecht eines Betroffenen nach Art. 15 DSGVO gilt im Allgemeinen als sehr weitgehend, die Grenzen sind aus wissenschaftlicher Sicht noch nicht abschließend ausdiskutiert. Problematisch ist dabei, dass die in Art. 15 enthaltenen Begriffe „Empfänger“ und „Kategorien von Empfängern“ nebeneinander aufgeführt sind, ohne dass daraus geschlossen werden kann, dass zwischen ihnen ein Vorrangverhältnis besteht

Der EuGH urteilte nun, dass dem Betroffenen die konkrete Identität der Empfänger grundsätzlich mitzuteilen sei. Ausnahmen von dem Umfang der Auskunft können jedoch dann bestehen, wenn der Empfänger (noch) nicht identifiziert werden kann oder der Antrag offenkundig unbegründet beziehungsweise exzessiv ist. In diesen Fällen könne sich die Mitteilung auf die Kategorie der Empfänger beschränken.

„(…) Nach alledem ist auf die Vorlagefrage zu antworten, dass Art. 15 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen. (…)“

Bedeutung für die Praxis

In der Praxis stellt sich nun die Frage, wie Verantwortliche auf das Urteil reagieren sollten.

  • Nach Art. 12 Abs. 1 DSGVO können die Informationen schriftlich, auf elektronischem Wege oder, auf Verlangen der betroffenen Person, mündlich erteilt werden
  • Bei elektronischer Antragsstellung: Informationen gem. Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen
  • Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen (Frist kann in komplexen Fällen um zwei Monate verlängert werden)
  • Informationen sind grundsätzlich kostenlos zur Verfügung zu stellen
  • Neu ist, dass nun jeder einzelne Empfänger der Daten offengelegt werden muss, es sei denn, die betroffene Person entscheidet sich für eine bloße Offenlegung der Empfängerkategorien
  • Ausnahmen: Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO

Was für Strafen drohen Unternehmen, die der spezifischen Auskunftspflicht nicht nachkommen?

  • Bußgelder: DSGVO droht mit einer Geldbuße von bis zu 20 Millionen EUR oder bis zu 4 % des weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr (angewendet wird der Wert, der höher ist)
  • Materieller und immaterieller Schadensersatz (Art. 82 DSGVO): Das Arbeitsgericht Düsseldorf (ArbG Düsseldorf, Urteil vom 5. März 2020, Az. 9 Ca 6557/18) hatte beispielsweise einen Schadenersatz in Höhe von 5.000 Euro wegen verspäteter und unzureichender Auskunftserteilung zugesprochen

Ausblick

Ob dieses Urteil auch Auswirkungen auf die Gestaltung der Informationspflichten im Sinne von Art. 13 Abs. 1 lit. e DSGVO beziehungsweise Art. 14 Abs. 1 lit. e DSGVO haben wird, bleibt noch abzuwarten. Aufgrund der kurzen Reaktionszeit auf Auskunftsersuchen nach Art. 12 Abs. 3 DSGVO sollten Unternehmen aber in jedem Falle vorbereitet sein, die nun erforderlichen Informationen bereitzuhalten.

Rechtsanwalt Dr. Karsten Kinast, Geschäftsführer der KINAST Rechtsanwaltsgesellschaft mbH, hat diese Woche im ARD-Morgenmagazin ein kurzes Interview zu dem Urteil gegeben. Hier geht es zum Bericht des Morgenmagazins.

390 Millionen Euro Sanktionen für Meta

5. Januar 2023

Nur kurze Zeit nach dem letzten Millionenbußgeld hat die irische Datenschutzbehörde Data Protection Commission (DPC) erneut gegen den Meta-Konzern Sanktionen verhängt. Der Gesamtbetrag von 390 Millionen Euro setzt sich aus Bußgeldern gegen Facebook (210 Millionen Euro) und Instagram (180 Millionen Euro) zusammen.

Rechtsgrundlage Vertrag statt Einwilligung?

Anstoß für die Untersuchung der DPC gaben die Beschwerden eines Österreichers und eines Belgiers am 25. Mai 2018, dem Tag des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO). Nach einer Änderung der Nutzungsbedingungen sollten die personenbezogenen Nutzerdaten nicht mehr auf Basis einer Einwilligung, sondern auf vertraglicher Basis verarbeitet werden. Dazu zählte auch die Nutzung für personalisierte Werbung.

Meta argumentierte, dass mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag mit dem Nutzer zustande gekommen sei. Die Verarbeitung der Nutzerdaten im Zusammenhang mit der Bereitstellung ihrer Facebook- und Instagram-Dienste sei für die Erfüllung dieses Vertrags, einschließlich der Bereitstellung personalisierter Dienste und verhaltensorientierter Werbung, erforderlich, sodass diese Verarbeitungen gemäß Artikel 6 Abs. 1 lit. b DSGVO (die „vertragliche“ Rechtsgrundlage für die Verarbeitung) rechtmäßig gewesen seien.

Dagegen vertraten die Beschwerdeführer die Meinung, dass Meta sich weiterhin auf die Einwilligung als Rechtsgrundlage berufe. Indem Meta den Zugang zu seinen Diensten von der Zustimmung der Nutzer zu den aktualisierten Nutzungsbedingungen abhängig mache, zwinge es sie faktisch dazu, der Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbung und andere personalisierte Dienste zuzustimmen.

Jahrelange Entscheidungsfindung

In einem Beschlussentwurf vom Oktober 2021 hatte die DPC eine Geldbuße zwischen 28 und 36 Millionen Euro für angemessen erachtet. Meta habe demnach gegen seine Transparenzpflichten verstoßen, indem Nutzer nicht ausreichend über die Verarbeitungsprozesse informiert worden seien. Metas Vorgehen hinsichtlich der Rechtsgrundlage sei jedoch zulässig gewesen.

Die im Rahmen des Kooperations- und Kohärenzverfahrens beteiligten Datenschutzbehörden waren mit der Entscheidung der DPC nicht einverstanden, sodass schließlich der Europäische Datenschutzausschuss (EDSA) beteiligt wurde. Dieser widersprach der Rechtsauffassung der DPC. Er befand, dass Meta im Rahmen der personalisierten und verhaltensbezogenen Werbung nicht auf einen Vertrag als Rechtsgrundlage zurückgreifen könne.

Laut der Datenschutzorganisation noyb habe die DPC während des Verfahrens mit Meta eng zusammengearbeitet. Meta habe sogar argumentiert, dass die DPC das Vorgehen abgesegnet habe.

Wie geht es nun weiter?

Neben dem Bußgeld hat die DPC Meta dazu verpflichtet, innerhalb von drei Monaten nachzuweisen, dass die Verarbeitungstätigkeiten entsprechend der Vorgaben angepasst wurden. Wie diese Umsetzung aussehen soll, ist noch unklar. Voraussichtlich wird Meta gerichtlich dagegen vorgehen.

Darüber hinaus hat die DPC angekündigt, gegen den EDSA zu klagen. Dieser hatte ihr aufgetragen, eine weitere Untersuchung gegen Facebook und Instagram hinsichtlich der Verarbeitung besonderer Kategorien personenbezogener Daten einzuleiten. Der EDSB habe keine allgemeine Aufsichtsfunktion, die mit der der nationalen Gerichte in Bezug auf nationale unabhängige Behörden vergleichbar sei. Es stehe dem EDSB nicht frei, eine Behörde anzuweisen, unbefristete und spekulative Untersuchungen durchzuführen.

Hat man einen Auskunftsanspruch gegen Auftragsverarbeiter?

2. Januar 2023

Die dänische Aufsichtsbehörde hat am 20.5.2022 einen Fall zu der Frage, ob ein Auskunftsanspruch durch einen Auftragsverarbeiter erfüllt werden muss, entschieden.

Über den Sachverhalt

Der Betroffene hatte auf eBay einen Artikel bei dem Unternehmen Asus gekauft und im Rahmen des Kaufs seine E-Mail-Adresse angegeben. Danach erhielt er eine E-Mail von noreply.invitations@trustpilot.com, in der der Asus Online Shop als Absender angegeben war und in der er gebeten wurde, das Kauferlebnis bei Asus auf Trustpilot zu bewerten. Der Betroffene kontaktierte daraufhin Trustpilot von einer anderen E-Mail-Adresse und bat um Auskunft über eventuell verarbeitete personenbezogene Daten. Trustpilot antwortete und teilte mit, dass kein aktiver Nutzer für die E-Mail gefunden werden konnte und daher keine Daten über den Betroffenen verarbeitet wurden. Der Betroffene erhielt danach erneut eine E-Mail von Trustpilot im Namen des Asus Online Shops. Der Shop bat ihn darin, den Einkauf bei Asus zu bewerten. Der Betroffene beschwerte sich deswegen bei der bayerischen Behörde (BayLDA). Das BayLDA leitete die Beschwerde an die Berliner und diese an die dänische Aufsichtsbehörde weiter.

Die Entscheidung der Behörde

Als die für Trustpilot zuständige Datenschutzbehörde hat sie also darüber entscheiden müssen, ob Trutspilot nach Art. 15 DSGVO verpflichtet war, die Auskunft zu erteilen.

In der Begründung der dänischen Behörde geht hervor, dass allein der für die Verarbeitung Verantwortliche nach Art. 15 DSGVO zur Auskunft an den Betroffenen verpflichtet.

Da gemäß den Artikeln 12 und 15 nicht der Auftragsverarbeiter, sondern der Verantwortliche verantwortlich ist, einen Antrag auf Auskunft zu bearbeiten und zu beantworten, ist die dänische Datenschutzbehörde der Ansicht, dass Trustpilot nicht gegen diese Bestimmungen verstoßen hat.“

Unterstützungspflicht des Auftragsverarbeiter

Jedoch ist Trustpilot nach Art. 28 Abs. 3 lit. e DSGVO verpflichtet, den Verantwortlichen bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannte Rechte der betroffenen Person zu unterstützen.

Außerdem hat der Betroffene im Rahmen seiner Anfrage auch seinen Namen und seine postalische Adresse angegeben hatte. Deswegen kritisierte die dänische Datenschutzbehörde, dass Trustpilot keine einheitliche Vorgehensweise bei der Suche nach relevanten Informationen, einschließlich des Namens und der Adresse, die der Betroffene im Zusammenhang mit seiner Anfrage übermittelt hat, umgesetzt hat. Trustpilot war offenbar nicht in der Lage, nach dem Namen und der Adresse zu suchen und einen Vergleich durchzuführen. Dadurch hätte Trustpilot die Möglichkeit gehabt, die betroffene Person zu identifizieren und, als Auftragsverarbeiter, den Verantwortlichen in dem vereinbarten Umfang bei der Verarbeitung zu unterstützen. Die dänische Behörde hat dies jedoch nur als Hinweis an Trustpilot gegeben und das Verfahren eingestellt.

Fazit

In der Begründung empfiehlt die Aufsichtsbehörde, dass Trustpilot zusätzliche Daten (Name und Adresse) als Auftragsverarbeiter erhalten soll, die für die eigene Leistung nicht unbedingt erforderlich sind, aber für Betroffenenanfragen relevant sein könnten. Diese Empfehlung mag aus Sicht der Erleichterung von Betroffenenanfragen zwar sinnvoll sein, doch ist der Verantwortliche (für den Trustpilot als Auftragsverarbeiter auch bei Betroffenenanfragen unterstützen muss) laut Art. 11 DSGVO nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, nur um Betroffenenrechte zu erfüllen. Zu beachten ist, dass die erforderlichen Daten (Name und Adresse) bereits beim Verantwortlichen vorliegen. Eine mögliche Alternative könnte sein, dass Trustpilot die Anfrage des Betroffenen (inklusive der unbekannten E-Mail-Adresse) direkt an den Verantwortlichen weiterleitet.

Irische Datenschutzbehörde leitet Untersuchung gegen Twitter ein

27. Dezember 2022

Die irische Datenschutzbehörde Data Protection Commissioner (DPC) hat nach eigenen Angaben Untersuchungen gegen Twitter eingeleitet. Hintergrund ist ein Datenleck des Social Media-Konzerns, bei dem mehrere gesammelte Datensätze mit personenbezogenen Daten von Twitter-Nutzern im Internet zur Verfügung gestellt worden waren. Es sollen dabei weltweit ca. 5,4 Millionen Nutzer betroffen gewesen sein.

Twitter-IDs, E-Mail-Adressen und Telefonnummern betroffen

Das Datenleck war im Januar 2022 bekannt und dann innerhalb von fünf Tagen von Twitter geschlossen worden. In den Datensätzen sollen Twitter-IDs, E-Mail-Adressen sowie Telefonnummern den betroffenen Personen zugeordnet worden sein. Diese Datensätze wurden in Hacking-Plattformen zum Kauf angeboten.

Womöglich ist die Zahl an Betroffenen sogar noch größer als geschätzt. Laut dem israelischen Sicherheitsforscher Alon Gral sollen sogar Daten von 400 Millionen Twitter-Konten aus einem Datenleck – möglicherweise aus demselben Leck – Elon Musk direkt zum Kauf angeboten worden sein. Daraus angebotene Probedatensätze enthielten die Daten prominenter Personen.

Austausch zwischen DPC und Twitter

Auch wenn Twitter die genauen Zahlen der Betroffenen nicht bestätigt hat, hat das Unternehmen den Vorfall der DPC gemeldet, welche die für Twitter zuständige Datenschutzbehörde ist.  In der nachfolgenden Korrespondenz ergab sich für die DPC der Eindruck, dass eine oder mehrere Bestimmungen der Datenschutzgrundverordnung (DSGVO) verletzt worden sein könnten. Bereits im November hatte die Vorsitzende der DPC, Helen Dixon, im Interview mit POLITICO Bedenken hinsichtlich Twitters Datenschutzpraxis ausgedrückt.

DPC als Aufsichtsbehörde der Tech-Giganten

Die DPC ist neben Twitter auch für Tech-Giganten wie Google und Facebook zuständig. Diese haben ihre Niederlassungen in Irland und unterfallen damit regelmäßig dem Zuständigkeitsbereich der irischen Datenschutzaufsicht. Aus diesem Grund hat die DPC Twitter 2021 eine Geldbuße von 450.000 Euro auferlegt. Zuletzt war eine massive Geldbuße gegen Meta erfolgt.

Wenn sich der Vorwurf im Untersuchungsverfahren bestätigt, ist angesichts der hohen Sanktionsmöglichkeiten seitens der DPC erneut ein empfindliches Bußgeld zu erwarten. Die DSGVO ermöglicht in Art. 83 Sanktionen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Google ändert Cookie-Banner nach Klage der Verbraucherzentrale NRW

22. Dezember 2022

Wie die Verbraucherzentrale NRW berichtet, hat Google im Klageverfahren vor dem Landgericht Berlin eine Unterlassungserklärung abgegeben und seine Cookie-Banner angepasst. Daraufhin wurde das Verfahren für erledigt erklärt und damit beendet.

Klage der Verbraucherzentrale NRW wegen „Dark Patterns“

Die Klage hatte die Verbraucherzentrale NRW im April 2022 erhoben. Darin warf sie Google vor, Nutzerinnen und Nutzer mithilfe sogenannter „Dark Patterns“ dazu zu bewegen, zu mehr Cookies eine Einwilligung zu erteilen als beabsichtigt. Solche Dark Patterns sind darauf ausgelegt, Personen zu Handlungen zu verleiten, die ihren eigenen Interessen entgegenlaufen. Cookies sind kleine Textdateien, die der Webbrowser auf dem Gerät bei einem Webseitenbesuch speichert. Sie ermöglichen es (Dritt-)Anbietern, das Nutzungsverhalten beim Surfen im Internet nachzuverfolgen.

Die Cookie-Banner auf den Webseiten der Suchmaschine von Google waren in einer Weise gestaltet, die es Besucherinnen und Besuchern erheblich schwieriger machte, die Verarbeitung von Cookies abzulehnen als in diese einzuwilligen. Für die Zustimmung genügte ein einziger Klick. Dagegen musste zur Ablehnung auf eine zweite Ebene des Banners gewechselt werden. Um sämtliche nicht technisch erforderlichen Cookies abzulehnen, mussten mindestens drei verschiedene Kategorien von Cookies einzeln abgelehnt werden.

Laut Verbraucherzentrale NRW sei dieses Vorgehen ein Trick, um die Einwilligung zu „erschleichen, um an möglichst viele persönliche Informationen zu gelangen, diese zu sammeln und zu verarbeiten“. Das Ablehnen von Cookies müsse genauso leicht sein wie das Akzeptieren.

Das neue Cookie-Banner von Google setzt diese Vorgabe nun auch um. Es stehen zwei Schaltflächen nebeneinander, mit denen entweder alle Cookies akzeptiert oder abgelehnt werden können.

Der Kampf gegen undurchsichtige Cookie-Banner

Wohl die meisten Internetnutzerinnen und -nutzer sind genervt von der Flut an Cookie-Bannern im Internet. Sie sind das erste, womit sie auf jeder neuen Webseite konfrontiert werden. Grund dafür ist vor allem, dass eine Einwilligung nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), welches auf der europäischen ePrivacy-Richtlinie beruht, für alle nicht technisch unbedingt erforderlichen Cookies benötigt wird. Dabei sind die Webseitenbetreiber in der Gestaltung keineswegs frei. So hat der Europäische Gerichtshof 2019 entschieden, dass bestimmte Informationen darin enthalten sein müssen: Der Verantwortliche muss erkennbar sein, die Verarbeitungszwecke und Dauer müssen angegeben werden und auch die Weitergabe der Daten muss klar kommuniziert werden. Darüber hinaus gelten für die Einwilligung die Anforderungen der Datenschutzgrundverordnung (DSGVO). Eine Einwilligung muss freiwillig, bestimmt, informiert und unmissverständlich sein (vgl. Art. 4 Nr. 11 DSGVO). Außerdem müssen die Freiwilligkeit der Einwilligung und ihre jederzeitige Widerrufbarkeit kommuniziert werden.

Infolge von Klagen und Beschwerden von den Verbraucherzentralen und Datenschutzorganisationen wurden bereits auf zahlreichen Webseiten die Cookie-Banner geändert. Um den Umgang mit Cookies zu erleichtern, arbeitet die Bundesregierung derzeit an einer Rechtsverordnung zur zentralen Einwilligungsverwaltung. Damit könnten Nutzerinnen und Nutzer in ihrem Browser ihre Cookie-Präferenzen einmalig angeben, anstatt dies auf jeder einzelnen Webseite zu tun.

Der Entwurf der EU-Kommission zur geplanten Chatkontrolle

19. Dezember 2022

In letzter Zeit haben Chatkontrollen immer mehr an Bedeutung gewonnen. Dabei handelt es sich um Maßnahmen, die dazu dienen, die Kommunikation in Online-Chats zu überwachen und gegebenenfalls zu beschränken. Diese Kontrollen werden oft von Unternehmen und Regierungen eingesetzt, um die Sicherheit und Integrität von Online-Communities zu gewährleisten.

Allerdings gibt es auch Bedenken hinsichtlich der Implikationen von Chatkontrollen. Kritiker argumentieren, dass solche Maßnahmen die Meinungsfreiheit einschränken und dazu führen können, dass wichtige Diskussionen und Debatten unterdrückt werden. Es besteht die Gefahr, dass Chatkontrollen zu Unrecht angewendet werden und somit zu falschen Entscheidungen führen.

Der Entwurf der EU-Kommission zur Neuregelung der „Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“, auch bekannt als CSA-Verordnung steht massiv unter Druck.

Der Grund: Der Entwurf zur neuen CSA-Verordnung macht keine genauen Vorgaben dazu, mit welchen konkreten Technologien die geplanten Maßnahmen umgesetzt werden sollen. Dafür sollen die Plattform-Betreiber verantwortlich sein. Gleichzeitig wird solchen Tech-Konzernen das Recht eingeräumt, hochgradig grundrechtseinschränkende Technologien zu entwickeln und zu verwenden. Um aber das Ziel der neuen CSA-Verordnung zu erreichen, also die Erstellung und die Verbreitung von Kindesmissbrauchsdarstellungen aktiv zu bekämpfen, sollen bestehende und erfolgreiche Strukturen des Kinderschutzes und deren Ausbau gefördert werden.

Ist Tech-Solutionismus die Lösung?

Der Tech‑Solutionismus besagt, dass Probleme durch neue Technologien gelöst werden können. Zugleich hat die Einführung komplexer neuer technischer Systeme meist die Entstehung von neuen Problemen zur Folge. Insbesondere die im Entwurf genannten algorithmischen Entscheidungssysteme sind nicht näher spezifiziert. Die tatsächliche Erkennung, so sieht es der Bericht vor, bleibt „technologieneutral“.

Zudem ist das automatisierte Melden von Inhalten ein viel komplexeres Problem, was sich an andere Anwendungsfälle bereits heute schon zeigen lässt. Die Algorithmen schlagen ohne inhaltliche Grundlage überdurchschnittlich häufig bei der Kommunikation unterrepräsentierter Gruppen an. Damit setzt so ein Entscheidungssystem die gesellschaftliche Diskriminierung fort, wobei aufgrund ihrer scheinbaren Objektivität die Entscheidung weniger angreifbar macht. Technische Lösungen können wohl nur so neutral sein, wie die Gruppe, die sie schafft, und die Daten, auf denen sie basiert.

Verschlüsselte Kommunikation aufbrechen

Die CSA-Verordnung sieht vor, digitale Kommunikationswege, wie Messenger, Chats auf Spieleplattformen, in Lern-Apps oder Ähnlichem, zu überprüfen. Genauso sollen Anwendungen, die die Kommunikation zwischen den Gesprächsteilnehmenden verschlüsseln, überwacht werden. Damit ist eine wirklich Ende-zu-Ende-verschlüsselte Kommunikation nicht mehr möglich. Eine ständige und dauerhafte Prüfung widerspricht aber dem Prinzip der Verschlüsselung: Entweder funktioniert sie und ist daher von keiner Instanz aufgebrochen werden oder sie ist kaputt.

Das “Datenschutzgrundrecht”

Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme schützt unsere persönlichen Daten und unsere privaten Kommunikationen, die digital gespeichert oder verarbeitet werden. Bei präventiven Eingriffen in diesen Schutzbereich sind insbesondere dem Staat hohe Hürden gesetzt: Solche Eingriffe sind immer nur anlassbezogen zulässig. Der Entwurf der CSA führt aber dazu, dass solche geschützten Bereiche aufgrund kontinuierlicher maschineller und menschlicher Überwachung nicht mehr existieren können. Insbesondere Journalisten, Whistleblower und Anwälten sind besonders auf intakte Verschlüsselung ihrer Kommunikation angewiesen. Die Überwachung durch Chatkontrollen würden ihre Arbeit nahezu aushebeln.

 

1 5 6 7 8 9 39