Kategorie: Internationaler Datenschutz
5. Juli 2021
Die Europäische Kommission hat am 28. Juni 2021 den Angemessenheitsbeschluss im Rahmen der Datenschutzgrundverordnung angenommen. Das Datenschutzniveau in Großbritannien wurde damit von der Kommission als angemessen für europäische Standards anerkannt und personenbezogene Daten können nun trotz Brexit ungehindert aus der Europäischen Union in das Vereinigte Königreich übermittelt werden.
Zur Begründung führte die Kommission aus, dass das Vereinigte Königkreich weiterhin auf den selben Regeln basiert, die galten als es noch Mitglied der EU war. Auch die Grundsätze, Rechte und Pflichten der DSGVO seien vollständig in das seit dem Brexit geltende Rechtssystem übernommen worden.
Im Vorfeld war der Angemessenheitsbeschluss häufig wegen des ungehinderten und unkontrollierten Zugriffs britischer Geheimdienste auf personenbezogene Daten in Kritik geraten. Zudem hatte der Europäische Gerichtshof für Menschenrechte (EGMR) im Mai erst ein Urteil erlassen, indem es die Massenüberwachung durch britische Geheimdienste als Verstoß gegen die Menschenrechte gewertet hatte. Auch dieser Kritik begegnete der Beschluss, indem er dem Vereinigten Königreich in Bezug auf den Zugriff auf personenbezogene Daten starke Garantien zusprach. Ein wichtiges Element des Beschlusses ist daher, dass insbesondere die Geheimdienste bei Datenerhebungen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan unterliegen. Ebenso, dass alle ergriffenen Maßnahmen notwendig und verhältnismäßig sein müssen.
Neu an dem Angemessenheitsbeschluss ist auch, dass dieser erstmals eine sog. Verfallsklausel (“sunset clause”) enthält, durch den die Geltungsdauer des Beschlusses auf vier Jahre begrenzt wird. Während dieser Zeit hat die Kommission angekündigt, dass Datenschutzniveau im Vereinigten Königreich ständig im Blick zu behalten und im Falle von Abweichungen entsprechend einzugreifen. Sollte nach Ablauf der vier Jahre weiterhin ein angemessenes Datenschutzniveu vorliegen, kann der Beschluss auch verlängert werden.
Durch den Angemessenheitsbeschluss hat die Europäische Kommission eine Rechtsgrundlage für Datenübermittlungen in das Vereinigte Königreich für die nächsten vier Jahre geschaffen. Sollte der Beschluss nicht zufrieden stimmen, sind Klagen gegen diesen – ähnlich wie dies mit dem Privacy-Shield im Schrems-II-Urteil geschah – möglich.
7. Juni 2021
Die EU-Kommission hat am 04.06.2021 neue Standardvertragsklauseln für den internationalen Datentransfer (auch “Standard Contractual Clauses” – kurz ‚SCC’) angenommen und veröffentlicht. Bei den SCC handelt es sich um Musterverträge, die eine geeignete Garantie nach Art. 46 DSGVO für den Transfer von personenbezogenen Daten in Drittstaaten darstellen können. Als Drittstaaten gelten solche, die sich außerhalb der EU/des europäischen Wirtschaftsraumes (EWR) befinden, z.B. die USA.
Hintergrund
Die neuen Klauseln wurden lange erwartet, da die jetzigen Standardvertragsklauseln über 10 Jahre alt sind und somit weder die Voraussetzungen hinsichtlich Drittstaatentransfers der DSGVO noch das bedeutende Schrems II-Urteil vom 16.07.2020 berücksichtigen konnten. So war der Drittstaatentransfer problematisch geworden und nicht erst in letzter Zeit von den Aufsichtsbehörden, auch in Deutschland, ins Visier von Untersuchungen genommen worden (wir berichteten).
Was hat sich geändert?
Neu an den jetzt präsentierten SCC ist vor allem der Aufbau. So sind die verschiedenen Varianten der Datentransfers nicht länger auf zwei verschiedene SCC-Muster verteilt, sondern sie finden sich in einem Dokument wieder. Insofern werden sie in vier verschiedene „Module“ gegliedert. Dies soll eine flexible Vertragsgestaltung ermöglichen. Dafür soll das entsprechende Modul gemäß dem Verhältnis der Parteien ausgewählt werden. Folgende Module sind in den neuen SCC enthalten:
Modul 1: Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen
Modul 2: Übermittlung von personenbezogenen Daten vom Verantwortlichen an den Auftragsverarbeiter
Modul 3: Übermittlung von personenbezogenen Daten zwischen zwei Auftragsverarbeitern
Modul 4: Übermittlung von personenbezogenen Daten vom Auftragsverarbeiter an den Verantwortlichen
Inhaltlich neu ist darüber hinaus insbesondere eine Pflicht zur Datentransfer-Folgenabschätzung. Dabei handelt es sich um die Pflicht, sich davon zu überzeugen, dass der entsprechende Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen.
Ebenfalls neu enthalten sind die Pflicht zur Abwehr von Regierungsanfragen, die den Anforderungen der Standardschutzklauseln widersprechen und das Informieren der zuständigen Aufsichtsbehörden über die Anfragen. Die Datentransfer-Folgenabschätzung muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.
Ausblick
Die veröffentlichten Dokumente sind die finalen Arbeitsdokumente. Mit der offiziellen Veröffentlichung der SCC wird in den nächsten Tagen im Amtsblatt der Europäischen Union zu rechnen sein. Ab diesem Zeitpunkt und innerhalb einer Frist von 18 Monaten müssen die bestehenden Verträge mit Partnern aus Drittstaaten, insbesondere bspw. Microsoft oder Amazon, um die neuen SCC ergänzt werden.
Aber auch bei Verwenden der neuen SCC bleibt eine Einzelfallprüfung des Datenschutzniveaus unumgänglich, denn die neuen Klauseln allein werden in der Regel nicht ausreichen, um den Anforderungen des EuGH aus dem oben genannten Urteil gerecht zu werden. Bei einer solchen Einzelfallprüfung müssen vor allem der Vertragstext und das tatsächliche Datenschutzniveau überprüft werden. Letzteres sollte durch einen Fragenkatalog an den Verarbeiter im Drittstaat geschehen.
Es ist demnach nicht damit getan, die neuen SCC einfach zu unterschreiben, sondern der Verantwortliche muss weitergehend tätig werden, um einen sicheren Datentransfer in Drittländer zu ermöglichen.
Bei der Umsetzung der Einzelfallprüfung oder bei anderen Rückfragen bieten wir Ihnen jederzeit gerne unsere Unterstützung an.
UPDATE vom 09.06.2021: Mittlerweile wurden die neuen SCC im Amtsblatt der Europäischen Union veröffentlicht und sind hier zu finden.
28. Mai 2021
Der Oberste Gerichtshof Irlands hat entschieden, dass die irische Datenschutzbehörde Data Protection Commission (DPC) das Untersuchungsverfahren gegen Facebook fortsetzen könne.
Bisherige Entwicklung
Zuvor entschied der Europäische Gerichtshof (EuGH) im letzten Jahr (wir berichteten), dass das europäische Datenschutzabkommen mit den Vereinigten Staaten, das sog. EU-US Privacy Shield, europarechtswidrig sei. Zulässig blieb nach Ansicht des Gerichts jedoch die Übermittlung von Daten in die USA auf Basis der Standardvertragsklauseln (SCC). Dies gelte jedoch nur, sofern die Unternehmen nicht den Überwachungsgesetzen wie FISA 702 unterstehen. Darüber hinaus seien teilweise auch zusätzliche Sicherungsmaßnahmen erforderlich, um einen angemessenen Schutz der personenbezogenen Daten garantieren zu können.
Entscheidung der DPC und des irischen High Courts
Der DPC unterliegt aufgrund des europäischen Hauptsitzes des Unternehmens in Irland die Aufsicht. Dort reagierte man auf das Urteil des EuGHs mit einer Untersuchung und vorläufigen Anordnung zum Stopp der Übermittlung personenbezogener Daten auf Basis von Standardvertragsklauseln. Im ersten Verfahren konnte sich Facebook zunächst erfolgreich gegen die Untersuchung und die damit verbundene Anordnung zur Wehr setzen.
Der irische High Court wies nun alle verfahrensrechtlichen Beschwerden von Facebook gegen eine vorläufige Entscheidung über den Datenverkehr ab, die das Unternehmen im August von der DPC erhalten hatte. Die Behauptungen von Facebook, dass die Datenschutzbehörde dem Unternehmen zu wenig Zeit für eine Reaktion gegeben habe oder einen Beschluss zu früh erlassen habe, wurde zurückgewiesen. Man weise jede Forderung von Facebook zurück, erklärte der Richter David Barniville.
Grundsätzlich zulässig bleibe jedoch nach Ansicht des Gerichts die Übermittlung von Daten in die USA für Unternehmen auf Basis der Standardvertragsklauseln. Vorausgesetzt die Unternehmen unterfallen nicht den oben erwähnten Massenüberwachungsgesetzen oder es werden zusätzliche Sicherungsmaßnahmen, wie bspw. die Verschlüsselung von Daten, gewährleistet.
Kläger Schrems zeigt sich zunächst zufrieden
Der österreichische Jurist Max Schrems, der die Klage gegen Facebook erhob und sich seit Jahren im Rechtsstreit mit Facebook befindet, äußerte sich wie folgt:
„Facebook hat auf allen Ebenen verloren. Das Verfahren hat das irische Verfahren am Ende nur wieder ein paar Monate blockiert. Nach acht Jahren ist die DPC nun verpflichtet, den EU-US-Datentransfer des Unternehmens zu stoppen, wahrscheinlich noch vor dem Sommer.“
Auch die DPC begrüßte die Gerichtsentscheidung. Man könne nun die Übermittlung personenbezogener Daten von Facebook-Nutzern aus der EU in die USA untersagen.
Ausblick
Die Beschlüsse der irischen Datenschutzbehörde müssten nun noch vom Europäischen Datenschutzausschuss (EDSA) genehmigt werden. Die dortige Einspruchsfrist beträgt vier Wochen. Anschließend müsste Facebook wohl die meisten Daten aus Europa lokal speichern. Nur so könnte ein Zugriff durch US-Sicherheitsbehörden kurzfristig verhindert werden.
So bleibt die Rechtsgrundlage für einen Datentransfer personenbezogener Daten in die Vereinigten Staaten weiterhin unklar und der Einsatz von US-Dienstleistern datenschutzrechtlich bedenklich. Es bleibt abzuwarten, welche Folgen die Entscheidung des irischen Gerichts nach sich ziehen wird.
25. Mai 2021
Am 25.05.2018 trat die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Ihr Ziel ist es, natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Doch diese positiven Aspekte haben auch Nachteile, besonders für kleine und mittlere Unternehmen.
Viel Bürokratie, wenig Kontrolle
Für viele, besonders kleinere, Unternehmen bedeutet die Umsetzung der DS-GVO viel Bürokratie. Es kommt auch immer häufiger vor, dass ehemalige Mitarbeiter Auskunft über ihre personenbezogenen Daten vom Unternehmen verlangen. Ein Anspruch, der kleinere Unternehmen vor große Herausforderungen stellt und nicht selten damit endet, dass das Unternehmen eine höhere Abfindung zahlt, um sich, ohne Auskunft, zu vergleichen.
Außerdem ist der Vollzug der DS-GVO schwierig. Jeder EU-Mitgliedstaat hat eigene Aufsichtsbehörden, in Deutschland gibt es 17 Landesbehörden und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Es ist leicht nachvollziehbar, dass die DS-GVO unterschiedlich interpretiert wird. Der Bundesdatenschutzbeauftragte Kelber spricht sich daher für eine engere Abstimmung der einzelnen Aufsichtsbehörden aus.
Einheitlichkeit in Europa
Dennoch dürfte das Fazit nach drei Jahren DS-GVO positiv ausfallen. Viele Menschen in Europa machen Gebrauch von ihren Betroffenenrechten. Die DS-GVO hat die Vereinheitlichung des Datenschutzes in Europa erreicht. Außerdem ist es ein Kernanliegen der DS-GVO, natürlichen Personen verschiedene Instrumente an die Hand zu geben, um sich auch gegen die großen Unternehmen und sozialen Netzwerke zur Wehr setzen zu können. Sie hat das Bewusstsein der Nutzer für Privatsphäre im Internet gestärkt. Damit hat sich die DS-GVO zu einem weltweiten Vorbild für den Datenschutz entwickelt.
Quo vadis, DS-GVO?
Wie praktisch jedes Gesetz hat auch die DS-GVO noch Luft nach oben. Die EU-Kommission hat im Sommer 2020 eine Prüfung in Aussicht gestellt, ob kleinere und mittlere Unternehmen von manchen Regelungen ausgenommen werden können. In diesem Zusammenhang könnte sich Ulrich Kelber vorstellen, einzelne Pflichten zu entbürokratisieren, zumindest in Fällen, in denen jedem klar sein müsse, dass eine Datenverarbeitung stattfinde. Außerdem möchte er Schwächen beim Scoring und Profiling ausbessern. Die Evaluierung der DS-GVO ist allerdings erst für 2024 angesetzt.
7. Mai 2021
Microsoft kündigte in einem Blogbeitrag vom 6. Mai 2021 an, ab Ende 2022 personenbezogene Daten europäischer Kunden nur noch innerhalb der EU zu verarbeiten und speichern. Dies gelte, so Microsoft, für alle zentralen Cloud-Dienste von Microsoft, d.h. Azure, Microsoft 365 und Dynamics 365. Microsoft verspricht mit seinem “EU Data Boundary for the Microsoft Cloud”, d.h. einer EU-Datengrenze für seine Cloud-Lösungen, zukünftig keine Daten seiner Kunden mehr aus der EU heraus transferieren zu müssen. Das Angebot richte sich an Kunden aus dem öffentlichen Sektor und Unternehmenskunden, so der Konzern.
Damit reagiert Microsoft erneut auf das vom Europäischen Gerichtshof (EuGH) im Juli letzten Jahres ergangene Schrems-II-Urteil, dass das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat. Nach Ansicht des EuGH haben die USA kein mit der EU vergleichbares Datenschutzniveau. Begründet wird dies insbesondere damit, dass US-Geheimdienste aufgrund des US Gesetzes “Cloud Act” einen umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben.
Geplant ist laut Microsoft in den kommenden Monaten in einen engen Austausch mit seinen Kunden aber auch den Aufsichtsbehörden zu gehen, um damit den Vorschriften zum Schutz der Daten gerecht zu werden. Ob dieses Vorhaben gelingen wird, bleibt abzuwarten. Unklar bleibt auch noch, ob dadurch die Unsicherheiten bei einem Datentransfer zwischen Europa und den USA beseitigt werden kann. Zunächst ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Dies könne laut dem österreichischen Datenschutzaktivist Max Schrems nur dadurch behoben werden, “wenn eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben, erreicht würde” – so Schrems gegenüber der Deutschen Presse-Agentur.
Microsoft verweist diesbezüglich auf seine Nutzer selbst. Diese könnten bereits jetzt durch die Verwendung von kundenverwalteten Schlüsseln, die Verschlüsselung ihrer Daten selbst konfigurieren und insbesondere kontrollieren und damit vor einem unzulässigen Zugriff durch staatliche Stellen schützen.
Die Aufsichtsbehörden haben sich zu dem Plan von Microsoft noch nicht geäußert. Vielmehr haben diese erst vor kurzem eine Task-Force eingerichtet, um den Risiken bei der Nutzung von Cloud-Diensten entgegenzuwirken.
5. Mai 2021
Das Bundesarbeitsgericht musste sich mit der Frage befassen, ob das Amt des Vorsitzenden eines Betriebsrats in Personalunion mit dem Amt des Datenschutzbeauftragten ausgeübt werden darf. Dafür soll nun per Vorabentscheidungsersuchen geklärt werden, ob die hohen Anforderungen, die das deutsche Recht an die Abberufung eines betrieblichen Datenschützers stellt, mit der europäischen Datenschutzgrundverordnung im Einklang stehen.
Vorausgegangen war eine Klage eines Betriebsratsvorsitzenden eines Unternehmens, welcher zusätzlich zum betrieblichen Datenschutzbeauftragten bestellt wurde. Nach Inkrafttreten der DSGVO im Jahr 2018 wurde der Kläger jedoch von dem beklagten Unternehmen in seiner Funktion als Datenschutzbeauftragter abberufen. Gründe dafür seien mögliche Interessenskollisionen zwischen der beiden von ihm ausgeübten Positionen, welche einen wichtigen Grund für die Abbestellung im Sinne des §§ 38 Abs. 2, 6 Abs. 4 BDSG i.V.m. § 626 BGB darstellen.
In einem Vorabentscheid soll der EuGH nun ergründen, ob diese hohen Anforderungen des deutschen Rechts mit dem Unionsrecht im Einklang stehen. Dieses schreibt in Art. 38 der DSGVO lediglich vor, dass eine Abbestellung nur dann nicht erfolgen darf, wenn sie wegen der Aufgabenerfüllung des Datenschutzbeauftragten vorgenommen wird.
Sollte der Gerichtshof die Anforderungen des BDSG an eine Abberufung für unionsrechtskonform erachten, ergibt sich die Folgefrage, ob die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in einem Betrieb in Personalunion ausgeübt werden dürfen oder ob dies zu einem Interessenkonflikt iSv Art. 38 Abs. 6 Satz 2 DSGVO führt. In einem früheren Urteil wurde vom BAG in Erfurt eine solche Personalunion als vereinbar erklärt. Das Urteil wurde jedoch im Jahr 2011 – und damit vor dem Inkrafttreten der DSGVO – verkündet.
8. April 2021
Die Europäische Kommission verfolgt das Thema Cybersecurity mit hoher Priorität. In diesem Zuge wurde im Dezember 2020 ein Vorschlag für eine neue Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) vorgelegt. Diese soll die bestehende Richtlinie ablösen.
Die Erneuerung der NIS-Richtlinie stellt eine Reaktion auf vergangene Sicherheitsvorfälle öffentlicher und privater Einrichtungen auf dem Gebiet der Cybersicherheit dar. Der Vorschlag beinhaltet eine neue Cybersicherheitsstrategie, welche die Resilienz und Reaktion innerhalb der EU verbessern soll. Auch umfasst ist einen Vorschlag für eine Richtlinie über die Abwehr von Angriffen durch Betreiber wesentlicher Dienste, die physische Bedrohungen von diesen Betreibern abwenden soll.
Praktische Auswirkung wird der Entwurf auch für Unternehmen des Gesundheitssektors entfalten. Der Vorschlag sieht in diesem Bereich deutlich verschärfte Pflichten vor. So sollen Unternehmen des Gesundheitssektors technische und organisatorische Maßnahmen ergreifen, die dem Stand der Technik entsprechen und damit ein angemessenes Sicherheitsniveau für die IT-Systeme gewährleisten. Dazu definiert der Entwurf einige Mindestanforderungen an das Risikomanagement, in dem etwa Datenverschlüsselung, Risikobewertungen und eine besondere Berücksichtigung der Lieferkette vorgesehen sind. Durch die Einführung solcher Mindeststandards könnten in Zukunft Vorfälle, wie der durch einen Hackerangriff verursachten Todesfall im Universitätsklinikum Düsseldorf, vermieden werden.
Mit der Erneuerung der NIS-Richtlinie reagiert die EU mithin auch auf die wachsende digitale Verantwortung, welche sich insbesondere in der COVID-19-Pandemie drastisch erhöht hat.
1. April 2021
EU-Justizkommissar Didier Reynders und der Vorsitzende der Kommission für den Schutz personenbezogener Daten Yoon Jong In haben den erfolgreichen Abschluss der Angemessenheitsgespräche bekannt gegeben. Die Gespräche begannen bereits 2017. Beim Thema Datenschutz herrsche ein hohes Maß an Übereinstimmung zwischen der EU und der Republik Korea. Beide Seiten einigten sich auf einige zusätzliche Garantien, um das Schutzniveau in Südkorea noch einmal zu stärken. Zuvor wurden im südkoreanischen Datenschutzgesetz entscheidende Änderungen beschlossen, u.a. eine Stärkung der Ermittlungs- und Durchsetzungsbefugnisse der PIPC, der unabhängigen Datenschutzbehörde der Republik Korea.
Bis es zum freien Datenfluss kommen kann, muss die EU-Kommission das Verfahren zur Annahme ihrer Angemessenheitsfeststellung einleiten. In diesem Verfahren muss der Europäische Datenschutzausschuss eine Stellungnahme abgeben und ein Ausschuss, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt, zustimmen. Anschließend stellt sie die Angemessenheit fest.
Die EU-Kommission kann gemäß Art. 45 Abs. 3 DSGVO beschließen, dass ein Drittland ein “angemessenes Schutzniveau” bietet, also der Schutz personenbezogener Daten im Wesentlichen mit dem in der EU vergleichbar ist. Auf Grundlage dieser Angemessenheitsbeschlüsse dürfen personenbezogene Daten aus der EU in das Drittland übermittelt werden, ohne das weitere Schutzmaßnahmen ergriffen werden müssen. Südkorea wird das 13. Land sein, in das personenbezogene Daten auf der Grundlage eines Angemessenheitsbeschlusses übermittelt werden dürfen.
29. März 2021
Die österreichische Datenschutzorganisation noyb hat Beschwerde gegen die Kreditauskunftei CRIF und den Adressverlag AZ Direct Österreich eingereicht. Der Vorwurf: Millionenfache Weitergabe personenbezogener Daten ohne rechtliche Grundlage.
Ein Betroffener hatte ein Auskunftsbegehren nach Art. 15 DSGVO an CRIF gestellt. Diese hatte neben Personenstammdaten auch veraltete Wohnadressen des Betroffenen gespeichert. Als Quelle für die erhobenen Daten hatte CRIF ausschließlich den Adressverlag AZ Direct Österreich angegeben, einer Tochterfirma der Bertelsmann Stiftung.
Die österreichische Datenschutzorganisation noyb legte Beschwerde gegen beide Unternehmen ein. Noyb wirft ihnen vor ohne rechtliche Grundlage personenbezogene Daten ausgetauscht zu haben. Außerdem fehle es an der Wahrnehmung der Informationspflichten seitens CRIF und AZ Direct. Der Informationsaustausch soll ohne Einwilligungen der Betroffenen stattgefunden haben. Auch fehle es laut noyb an einer etwaigen Zweckbindung der Datenweitergabe. Die im Gewerberegister als Adressverlag eingetragene AZ Direct GmbH dürfe als solche personenbezogene Daten lediglich zu Direktmarketingzwecken weitergeben. CRIF soll die Daten entgegen dieser rechtlichen Regelung zu Zwecken der Bonitätsprüfungen genutzt haben. Damit verstoßen CRIF und AZ Direct laut noyb gegen das datenschutzrechtliche Prinzip der Zweckbindung.
Der Fall soll laut noyb keinen Einzelfall darstellen. Schätzungsweise seien über Jahre Millionen von Datensätzen gesammelt worden. Sollte sich noyb mit der Beschwerde gegen CRIF und AZ Direct durchsetzen, drohen beiden Bußgelder in Millionenhöhe.
23. März 2021
Google sammelt auch im Inkognito-Modus des Chrome-Browsers Daten zu Internetaktivitäten, obwohl im Inkognito-Modus weitreichende Privatsphäre versprochen werde. Einige Google-User wollten im Wege einer Sammelklage dagegen vorgehen. Google stellte einen Antrag auf Einstellung des Verfahrens. Dieser wurde nun von der zuständigen Bundesrichterin Lucy Koh abgelehnt, wie Bloomberg berichtete.
Damit können sich die Prozessparteien auf das Haupterfahren vorbereiten. Im Einzelnen geht es darum, dass Google über eigene Webseiten und unzählige Webseiten Dritter Daten für Nutzerprofile auch dann sammelt, wenn die User den Inkognito-Modus aktiviert haben. Google vertritt dabei den Standpunkt, dass das aus dem Inkognito-Startbildschirm sowie den Datenschutzbedingungen klar hervorgehe. Demzufolge hätten die Nutzer also eingewilligt.
Richterin Koh ist nicht überzeugt: Google habe entgegen der eigenen Behauptung nicht dargelegt, dass die User der Datensammlung zugestimmt haben. Die Hinweise im Eröffnungsbildschirm des Chrome-Browsers seien irreführend.
Googles Vorbringen, die Vorwürfe seien verjährt, lässt die Richterin ebenfalls nicht gelten. Jedes Erheben von Daten sei ein eigenes Vergehen und lasse eine neue Verjährungsfrist beginnen. Ob das Verfahren wie von den Klägern gewünscht als Sammelklage für alle einschlägig Betroffenen geführt werden kann, ist noch offen. Eine Anhörung dazu ist auf den 22. Januar 2022 datiert. Das Verfahren lautet Brown et al v. Google et al und ist am US-Bundesbezirksgericht für das nördliche Kaliforniern unter dem Az. 5:20-cv-03664 anhängig.
