Kategorie: Online-Datenschutz

HmbBfDI über Meta Bezahl-Abo

9. November 2023

Der Europäische Datenschutzausschuss (EDSA) hat am 27.10.2023 in einem beispiellosen Schritt Maßnahmen verabschiedet, die auch den Social-Media-Konzern Meta betreffen. Um diesen Maßnahmen Rechnung zu tragen hat Meta, der Betreiber von Facebook und Instagram, bereits angekündigt ein Bezahl-Abo einzuführen. Aufgrund dieser Neuerung erhalten Nutzer die Möglichkeit eines werbefreien Zugang gegen Bezahlung einer Gebühr. Anschließend hat sich am 02.11.2023 der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über das Meta Bezahl-Abo geäußert (HmbBfDI).

Beschluss der Datenschutzkonferenz (DSK) zu Abo-Modellen auf Websites

Im Rahmen seiner Mitteilung über das Meta Bezahl-Abo verweist der HmbBfDI auf den Beschluss der Datenschutzkonferenz (DSK) zu Abo-Modellen auf Websites. Auf diesen Beschluss nahm Meta auch in seiner Ankündigung zum Abo-Modell Bezug. Der Beschluss verlangt unter anderem eine präzise Zustimmung, Transparenz und die Vermeidung irreführender Gestaltungsmittel. Nach Wertung des HmbBfDI sind diese Vorgaben auch bei dem kostenpflichtigen Abonnement von Meta umzusetzen.

Offene Fragen und laufender Dialog

Laut dem HmbBfDI bleibt die Frage, ob das zukünftige Modell diesen Anforderungen entspricht und eine datenschutzkonforme Lösung darstellt, vorerst unbeantwortet. Die deutschen Aufsichtsbehörden hätten bereits verschiedene Bedenken geäußert und würden nun eine nachvollziehbare rechtliche Prüfung durch die federführende Behörde in Irland erwarten. Derzeit befinde man sich im Dialog mit irischen Kollegen und anderen betroffenen nationalen Behörden, um diese wichtigen Fragen zu klären.

Fazit

Die jüngsten Entwicklungen zeigen, dass EU-Datenschutzbehörden die Rechte der Bürger schützen wollen. Weiterhin möchten sie sicherstellen, dass Digitalisierung im Einklang mit den Grundprinzipien der Privatsphäre erfolgt. Unternehmen, die in diesem Raum tätig sind, sollten sich auf strengere Datenschutzanforderungen einstellen und proaktiv Maßnahmen ergreifen, um den regulatorischen Anforderungen gerecht zu werden. Dies könnte auch eine Gelegenheit sein, den Schutz der Privatsphäre der Nutzer zu stärken und das Vertrauen in datenbasierte Dienste wiederherzustellen. Ob das Meta-Abo-Modell tatsächlich diesen Anforderungen genügt, bleibt abzuwarten. Schlussendlich wird die Umsetzung durch Meta eine genaue Prüfung durch die zuständigen Aufsichtsbehörden erfordern.

Kategorien: Allgemein · Social Media

Datenschutz und AdBlocker-Erkennung bei YouTube

8. November 2023

Die Nutzung von AdBlockern, insbesondere auf Plattformen wie YouTube, hat in den letzten Jahren erheblich zugenommen. Nutzer schätzen die Möglichkeit, lästige Werbung zu blockieren und sich auf den eigentlichen Content zu konzentrieren. Das kürzlich verstärkte Gegenvorgehen von YouTube mittels AdBlocker-Erkennung führt dazu, dass verschiedene Personen Datenschutz-Bedenken äußern. Datenschützer kritisieren das Verfahren und fordern eine Überprüfung und Stellungnahme durch die EU.

Die Herausforderung für YouTube

YouTube ist eine der weltweit größten Video-Plattformen, die ihre Einnahmen hauptsächlich durch Werbung generiert. Um Werbung zu umgehen, nutzen einige User sogenannte AdBlocker. Hierdurch wird Werbung unterdrückt. Die zunehmende Verwendung dieser Tools hat YouTube erhebliche Einnahmeverluste beschert. Deswegen hat die Plattform Maßnahmen ergriffen, um dieser Entwicklung entgegenzuwirken und ihr Geschäftsmodell zu sichern.

Im Rahmen von Tests wurden zunächst Nutzern von Werbeblockern mittels eines Warnhinweises erläutert, dass die Verwendung dieses Tools nicht rechtmäßig ist. Allerdings konnte dieser Hinweis ohne Konsequenzen einfach weggeklickt werden. Mittlerweile sperrt YouTube teilweise die entsprechenden User nach drei Hinweisen von der Benutzung der Website.

Datenschutzrechtliche Bedenken gegen YouTubes Vorgehen

Die von YouTube ergriffenen Maßnahmen zur AdBlocker-Erkennung werfen jedoch Bedenken im Hinblick auf den Datenschutz auf. Um die Gegenmaßen ergreifen zu können muss YouTube nämlich gewisse Informationen der AdBlocker-User speichern. Hieran ist problematisch, dass der Online-Dienst dazu auf auf dem Endgerät des Nutzers gespeicherte Daten zugreifen muss. Das könnte ein unberechtigtes Ausspähen von Nutzerdaten darstellen, was einem Verstoß gegen Datenschutzvorschriften gleichsteht. Die ePrivacy-Richtlinie der EU (2002/58/EG Art. 5 Abs. 3) verpflichtet nämlich die Websitebetreiber dazu, in einem solchen Fall vorher eine Einwilligung der Nutzer einzuholen. Dieses Erfordernis entfällt nur, wenn der Dienst sonst nicht genutzt werden könnte.

Beschwerde bei der irischen Aufsichtsbehörde

Deswegen meint Datenschützer Alexander Hanff, dass das von YouTube verwendete Javascript-Erkennungsverfahren einer Zustimmung bedarf. Dies hat ihn dazu veranlasst Beschwerde gegen YouTube bei der irischen Datenschutz-Kommission (DPC) einzulegen, wie das Magazin Wired berichtet. Er argumentiert, dass hierin eine unbefugte Einsichtnahme in personenbezogene Daten und damit in die Privatsphäre stattfindet. Selbst wenn in den Allgemeinen Geschäftsbedingungen von YouTube (AGB) ein AdBlocker-Verbot existieren würde, berechtige dies das Unternehmen nicht dazu, dieses Verbot mittels Datenschutzverletzungen durchzusetzen. Das sei auch der Grund, weshalb Cookie-Zustimmungsbanner separat hervorgehoben werden müssen. Gleiches müsse für die Zustimmung zur AdBlocker-Erkennung gelten, wenn YouTube den Datenschutz beachten wolle.

Aufforderung zur Stellungnahme durch die Europäische Kommission

Auch der EU-Abgeordnete Patrick Breyer von der Piratenpartei fordert am 06.11.2023, dass die Europäische Kommission sich das Verhalten genauer anschaut und eine schriftliche Stellungnahme abgibt. Neben den von Hanff angebrachten Argumenten fügt er hinzu, dass sich die Nutzer durch die Verwendung von AdBlockern auch gegen illegale Einsichtnahme in ihr Suchverhalten schützen würden. Von der Kommission verlangt er insbesondere die Klärung von zwei Punkten. Zum einen will er wissen, ob der Schutz der im Endgerät gespeicherten Daten auch die Information darüber erfasst, ob ein AdBlocker installiert ist. Andererseits möchte er wissen, ob das AdBlocker-Erkennungssystem zwangsläufig erforderlich ist für den Video-Dienst oder ob das Vorgehen mangels Zustimmung rechtswidrig ist.

Stellungnahme von YouTube

Auf Anfrage von Wired hat ein Vertreter von YouTube darauf hingewiesen, dass es sich bei der Verwendung von AdBlockern um eine Verletzung der AGB handelt. Selbstverständlich werde das Unternehmen vollständig und kooperativ alle Fragen der DPC beantworten. Allerdings weist der Sprecher auch darauf hin, dass das verwendete Verfahren nicht auf den Endgeräten der User durchgeführt wird. Vielmehr finde der Erkennungsprozess direkt innerhalb YouTubes statt.

Laut Wired ist nach aktuellem Stand der Technik allerdings ein solches Verfahren mit Server-seitiger AdBlocker-Erkennung bislang nicht bekannt. Im Übrigen erwähnen die AGB auch nicht explizit „AdBlocker“. Es existiert lediglich eine Regelung, die es verbietet „den Dienst […] zu deaktivieren, betrügerisch zu verwenden oder anderweitig zu beeinträchtigen“. Hieraus könnte ein AdBlocker-Verbot interpretiert werden. Ob das allerdings automatisch das Erkennungsverfahren rechtfertigt, ist wie oben von Hanff bereits erwähnt, jedenfalls fraglich.

Fazit

Die Frage nach der Rechtmäßigkeit dieser Maßnahmen ist von zentraler Bedeutung. Einerseits ist verständlich, dass YouTube ein Interesse daran hat, die Integrität seiner Plattform zu schützen und den Zugriff auf Inhalte einzuschränken, wenn keine Werbeeinnahmen generiert werden können. Andererseits ist sicherzustellen, dass ein solches Vorgehen im Einklang mit Datenschutzgesetzen und den Rechten der Nutzer steht. Jedenfalls ist davon auszugehen, dass YouTube transparent über seine Maßnahmen informieren muss. Es ist nun Aufgabe der Europäischen Kommission und der zuständigen Datenschutzbehörde den Fall zu prüfen und eine Stellungnahme abzugeben.

Debatte über VPN-Verbot

10. Oktober 2023

In Europa gewinnt die Diskussion über die Zukunft der Online-Anonymität an Bedeutung. Mit der zunehmenden Bedeutung von Virtual Private Networks (VPNs) rücken auch sie immer mehr in den Fokus. Sie sorgen für Anonymität im Internet. Wo staatlicher Datenschutz nicht effektiv funktioniert, können sie hilfreich sein. Ganz nach dem Grundsatz „offline Verbotenes soll auch online verboten sein“ wird aber immer häufiger ihre Legitimität in Frage gestellt. Konkret geht es aktuell in der französischen Nationalversammlung um einen Gesetzesentwurf zur Sicherung und Regulierung des digitalen Raums.

Einschränkungen für VPNs gefordert

Abgeordnete des liberalen und des Mitte-Rechts-Lagers stellten Anträge, nach denen der Einsatz von VPNs zur Verschleierung von Online-Spuren eingeschränkt oder ihr Download aus App Stores verboten werden sollte. Es wurde angebracht, dass VPNs die Verfolgung von Straftaten in den sozialen Medien erschweren. Eine Variante, in der der Nutzer online (nur) Pseudonymität innehat, würde eher den Umständen außerhalb des Internets entsprechen. Kritische Stimmen warnten hingegen vor einem solchen Vorgehen und verwiesen insbesondere auf hohe technische Hürden bei der Umsetzung und einen Verstoß gegen die EU-Grundrechtecharta.

VPN-Einschränkungen weltweit

In Russland sind VPN-Dienste, die nicht mit den russischen Behörden kooperieren, seit 2017 illegal. Das russische Regime ging laut Angaben des britischen Geheimdienstes zuletzt verstärkt gegen ihre Nutzung vor. Hierdurch will der Staat inländische Informationen vollständig kontrollieren. Ebenso brauchen VPN-Dienstleiter in China eine staatliche Genehmigung. In Nordkorea und Turkmenistan ist z. B. die Verwendung von VPNs sogar gänzlich untersagt.

Eine Betrachtung der Länder mit VPN-Verboten oder -Einschränkungen zeigt, welche einschneidenden Folgen die Einschränkung von VPNs mit sich bringen kann.

Fazit

Die Debatte über das Ende der Online-Anonymität nimmt auch in Europa an Fahrt auf. Die Frage nach dem richtigen Maß an Anonymität im Internet bleibt ein umstrittenes Thema, bei dem unterschiedliche Interessen aufeinanderprallen. Von einem VPN-Verbot sind wir zumindest noch weit entfernt. Trotzdem sollten insbesondere die weiteren Entwicklungen in Frankreich aufmerksam verfolgt werden. Klar ist, dass die Verwendung von VPNs nicht zwangsläufig mit dem Begehen von Straftaten verbunden ist, sondern auch lediglich dem allgemeinen Schutz der Privatsphäre dienen kann. Ein Verbot oder selbst eine Einschränkung ist deswegen höchst bedenklich.

Datenschutz bei Zyklusapps

3. Oktober 2023

Der Verbraucherzentrale Bundesverband e.V. (vzbv) teste, wie Anbieter von Zyklus-Apps mit Betroffenenanfragen nach Art. 15 DSGVO umgehen. Im Ergebnis besteht für die App-Anbieter bei Beantwortung von Auskunftsersuchen Nachholbedarf.

Die Verwendung von Zyklus-Apps

Mit Hilfe von Zyklus-Apps können die Nutzerinnen persönliche Informationen über den Start ihrer Periode, gesundheitlichen Begleiterscheinungen oder beispielsweise zu einem Kinderwunsch dokumentieren. Dabei handelt es sich regelmäßig um Gesundheitsdaten im Sinne des Art. 9 DSGVO, d.h. um besondere Kategorien personenbezogener Daten, die einem besonderem Schutz unterliegen.

Im Rahmen eines Tests untersuchte nun der vzbv, wie zwölf Zyklus-Apps mit dem Recht auf Auskunft der Betroffenen umgehen. Nach Art. 15 DSGVO haben die betroffenen Nutzerinnen die Möglichkeit zu erfahren, ob die App-Anbieter ihre personenbezogenen Daten verarbeiten und wenn ja, welche Datenkategorien verarbeitet werden, zu welchen Zwecken, wem die Daten ggf. übermittelt werden, wie lange die Daten gespeichert werden und ob die Verarbeitung mittels einer automatisierten Entscheidungsfindung erfolgt.  Dabei dient das Recht auf Auskunft u.a. dazu, den betroffenen Nutzern eine Informationsgrundlage zu bieten. Anschließend können sie weitere Rechte, wie das Recht auf Berichtigung oder Löschung nach Art. 16 und 17 DSGVO ausüben.

Ergebnisse der Untersuchung

Zur datenschutzrechtlichen Untersuchung der Apps sollten drei Verbraucherinnen alles zwölf Apps verwenden. Im Anschluss stellte der vzbv im Namen jeder Verbraucherin eine Auskunftsanfrage. Zum Abgleich stellte anschließend die Stiftung Warentest die gleichen Fragen offen an die App-Anbieter.

Im Ergebnis erkennbar sei, laut vzbv dass die App-Anbieter einen großer Teil der Auskunftsanfragen, d.h. 31 von 36 innerhalb der gesetzlichen Frist von einem Monat beantwortet hätten. Zu der Frage, ob eine Datenverarbeitung erfolge, hätten die App-Anbieter in 21 von 31 Fällen geantwortet.

Negativ aufgefallen seien vier Anbieter, deren Auskünfte den eigenen Datenschutzerklärungen widersprochen hätten. Dabei habe ein Anbieter auf die Auskunftsanfrage geantwortet, dass er keine Gesundheitsdaten verarbeite. Nach der eigenen Datenschutzerklärung sei dies aber gerade der Fall.

Hinzukäme, dass die App-Anbieter über die bloße Datenverarbeitung hinausgehende Fragen nur lückenhaft beantwortet hätten. Insbesondere die Fragen zu den Zwecken der Datenverarbeitung seien nur unzureichend beantwortet worden. Zu den Verarbeitungszwecken hätten die App- entweder keine, falsche oder unvollständige Antworten gegeben.

Fazit

Der durchgeführte Test erfolgte im Rahmen einer Untersuchung der Stiftung Warentest zu Zyklus-Apps. Die Anfragen zeigen, dass alle Nutzer achtsam mit der Abgabe personenbezogener Daten umgehen sollten.  Dabei zeigt sich auch, dass die Wahrung von Betroffenen Rechten ein wichtiger Bestandteil des Datenschutzes sind.

OLG Hamm verweigert Schadensersatz aufgrund unzureichender Konkretisierung des Schadens

2. Oktober 2023

Das Oberlandesgericht Hamm hat einer Nutzerin trotz eines Datenschutzverstoßes von Facebook nach dem Diebstahl ihrer Daten Schadensersatz verweigert. Die Begründung des Gerichts lautet, dass die Klägerin ihren Schaden nicht ausreichend konkretisiert habe. In diesem Artikel werden die Hintergründe des Falls und die rechtliche Argumentation des Gerichts näher erläutert.

Der Fall und die Hintergründe

Der Fall, der vor dem Oberlandesgericht Hamm verhandelt wurde, betrifft das bekannte Datenleck bei Facebook, bei dem Daten von etwa 500 Millionen Nutzern gestohlen wurden. Im April 2021 tauchten diese gestohlenen Daten, darunter Namen und Telefonnummern, im Darknet auf. Dies führte zu zahlreichen Klagen auf Schadensersatz gegen den Facebook-Mutterkonzern “Meta”.

Die gestohlenen Daten wurden von sogenannten “Scrapern” über einen längeren Zeitraum gesammelt, indem sie die Suchfunktion “Freunde suchen” nutzten. Selbst wenn Nutzer die Anzeige ihrer Telefonnummer bei Facebook deaktiviert hatten, war es den “Scrapern” möglich, Nutzer anhand ihrer Telefonnummer zu identifizieren. Obwohl Facebook Anpassungen an dieser Funktion vornahm, konnten die “Scrapern” weiterhin Daten abrufen. Erst im Oktober 2018 deaktivierte Facebook die Funktion.

Die Klage der betroffenen Nutzerin

Die Klage, die vor dem OLG Hamm verhandelt wurde, wurde von einer Nutzerin eingereicht, deren Daten von den “Scrapern” gestohlen wurden und im Darknet veröffentlicht wurden. Die Nutzerin warf der Betreiberin der Facebook-Plattform “Meta” einen Verstoß gegen Datenschutzvorschriften vor und forderte eine Entschädigung in Höhe von mindestens 1.000 Euro für immaterielle Schäden.

Die Datenschutzverstöße von Meta

Das OLG Hamm erkannte an, dass Meta als das für die Datenverarbeitung verantwortliche Unternehmen gegen verschiedene Bestimmungen der DSGVO verstoßen hatte. Unter anderem konnte Meta nicht nachweisen, dass die Weitergabe der Mobilfunktelefonnummer der Klägerin im Rahmen der Such- oder Kontaktimportfunktion datenschutzrechtlich gerechtfertigt war. Die Verarbeitung der Mobilfunknummer war nach Ansicht des Gerichts nicht zwingend erforderlich und verstieß gegen den Grundsatz der Datensparsamkeit.

Das OLG argumentierte auch, dass für die Verarbeitung der Mobilfunknummer eine Einwilligung der Nutzer gemäß Art. 6 Abs.1 und Art. 7 DSGVO erforderlich war. Obwohl die Klägerin formal eine Einwilligung erteilt hatte, wurde diese Einwilligung als unwirksam angesehen. Facebook hatte ein “Opt-Out-Verfahren” verwendet, bei dem die Klägerin die Einwilligung aktiv hätte ablehnen müssen. Dies wurde als unzulässig betrachtet, insbesondere da die Informationen von Facebook über die Such- und Kontaktimportfunktion als unzureichend und entgegen Art. 5 Abs. 1a DSGVO intransparent angesehen wurden.

Pflichtverletzung von Meta

Darüber hinaus stellte das OLG fest, dass Meta trotz Kenntnis von den “Scrapern” keine angemessenen Maßnahmen zur Verhinderung weiterer unbefugter Datenabgriffe ergriffen hatte. Dies stellte eine Pflichtverletzung dar, da Meta gemäß Art. 32 DSGVO verpflichtet war, die Sicherheit der Datenverarbeitung entsprechend dem Stand der Technik zu gewährleisten.

Die rechtliche Grundlage für Schadensersatz

Gemäß Art. 82 DSGVO hat jede Person, der aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Dies umfasst ausdrücklich auch Ansprüche auf Ersatz immaterieller Schäden. Allerdings trägt der Anspruchsteller die Darlegungslast für entstandene Schäden und muss auch immaterielle Schäden hinreichend konkretisieren.

Ablehnung der Klage

Das OLG Hamm entschied, dass die Klägerin nicht ausreichend konkret dargelegt hatte, welche individuellen persönlichen oder psychologischen Beeinträchtigungen durch das “Scraping” in ihrem Fall verursacht wurden. Das allgemeine Gefühl eines Kontrollverlusts, Hilflosigkeit oder Beobachtetwerdens nach der Veröffentlichung ihrer Daten im Darknet wurde als nicht ausreichend angesehen, um eine Entschädigungspflicht auszulösen. Selbst ein allgemeines Angstgefühl und Erschrockenheit reichten nicht aus, insbesondere da der Datenmissbrauch nicht als so schwerwiegend betrachtet wurde, dass er einen immateriellen Schaden ohne weiteres nach sich zieht.

Fazit

Insgesamt wurde die Klage auf Schadensersatz aufgrund mangelnder Konkretisierung des immateriellen Schadens abgewiesen. Trotz festgestellter Datenschutzverstöße seitens Meta konnte die Klägerin nicht nachweisen, dass sie individuell und konkret durch den Vorfall geschädigt wurde. Dieser Fall betont die Bedeutung der klaren und konkreten Darlegung von Schäden bei Datenschutzverstößen, insbesondere bei Ansprüchen auf immaterielle Schäden.

Aufbewahrungspflichten: Keine Beschwerdebefugnis bei Unterschreitung

27. September 2023

Im Datenschutzrecht sind die Aufbewahrung und Löschung personenbezogener Daten von entscheidender Bedeutung. Die DSGVO sieht vor, dass personenbezogene Daten gelöscht werden müssen, sobald sie für den ursprünglichen Zweck ihrer Erhebung nicht mehr benötigt werden und keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen. Dies ist eine wichtige Ausprägung des Grundsatzes der Datensparsamkeit.

Häufig beschweren sich Betroffene darüber, dass ihre Daten zu lange gespeichert werden. Doch in einigen Fällen monieren Betroffene auch die vorzeitige Löschung ihrer Daten. Ein aktueller Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BaWü) beleuchtet diesen zweiten Aspekt und stellt klar, dass betroffene Personen in diesem Fall keine Beschwerdebefugnis haben.

Der Sachverhalt

Der Tätigkeitsbericht des LfDI BaWü beschreibt einen Fall, in dem ein Bankkunde über mehrere Jahre hinweg mit seiner Bank über Vorgänge in Bezug auf sein Bankkonto stritt. Die Bank behauptete, der Kunde habe einem Angehörigen eine Kontovollmacht erteilt, was der Kunde bestritt. Der Kunde forderte von der Bank einen Nachweis dieser Vollmacht in Form eines entsprechenden Dokuments. Die Bank konnte diesen Nachweis jedoch nicht erbringen, da die relevanten Unterlagen aufgrund abgelaufener gesetzlicher Aufbewahrungsfristen vernichtet worden waren.

Die datenschutzrechtliche Relevanz

Der LfDI BaWü betont in seinem Bericht, dass Informationen zu Kontovollmachten als personenbezogene Daten anzusehen sind, da sie einen Bezug zum jeweiligen Kontoinhaber haben. Sowohl die Speicherung als auch die Löschung solcher Daten stellen somit eine Verarbeitung personenbezogener Daten gemäß Art. 4 Nr. 2 DSGVO dar und erfordern eine rechtliche Grundlage gemäß der DSGVO.

Die Bank konnte sich nicht auf Art. 17 DSGVO berufen, da sie nicht zur Löschung der Daten verpflichtet war. Als mögliche Rechtsgrundlage für eine freiwillige Löschung käme allenfalls das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht. Die Aufsichtsbehörde argumentiert jedoch, dass ein berechtigtes Interesse an der Löschung seitens der Bank verneint werden könne, solange die gesetzlichen Aufbewahrungsfristen für die relevanten Dokumente nicht abgelaufen seien. Folglich könne sich die Bank aufgrund von Art. 17 Abs. 3 lit. b DSGVO nicht auf eine datenschutzrechtliche Löschpflicht berufen.

Die Rechte betroffener Personen

Der LfDI BaWü hebt hervor, dass betroffene Personen gemäß Art. 77 Abs. 1 DSGVO das Recht haben, sich bei einer Aufsichtsbehörde zu beschweren, wenn sie der Meinung sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt. Allerdings gibt es eine wichtige Einschränkung, die aus Erwägungsgrund 141 S. 1 der DSGVO hervorgeht: Jede betroffene Person, die sich in ihren Rechten gemäß der DSGVO verletzt sieht, sollte die Möglichkeit haben, eine Beschwerde einzureichen.

Die Einschränkung: Gesetzliche Aufbewahrungspflichten

Der LfDI BaWü betont jedoch, dass die vorzeitige Löschung von Daten, die gesetzlichen Aufbewahrungspflichten unterliegen, nicht als Verletzung der Rechte betroffener Personen gemäß der DSGVO betrachtet wird. Die gesetzlichen Aufbewahrungspflichten haben einen klaren Schutzzweck und dienen der ordnungsgemäßen Buchführung sowie der Sicherstellung einer ordnungsgemäßen Besteuerung. Daher wird eine vorzeitige Löschung solcher Daten nicht als datenschutzrechtliche Verletzung angesehen.

Fazit

Zusammenfassend bedeutet dies, dass betroffene Personen keine datenschutzrechtliche Beschwerdebefugnis gegen die Unterschreitung gesetzlicher Aufbewahrungspflichten haben. Dennoch ist es von entscheidender Bedeutung, sicherzustellen, dass gesetzliche Aufbewahrungspflichten eingehalten werden. Selbst wenn betroffene Personen keine Beschwerde einreichen können, ist die vorzeitige Löschung gesetzlich vorgeschriebener Daten unzulässig und kann von der zuständigen Aufsichtsbehörde gerügt werden. Die Einhaltung dieser Pflichten ist daher von großer Bedeutung, um rechtliche Konflikte zu vermeiden und den Datenschutz zu gewährleisten.

Datenschutzaufsicht Niedersachsen: Neue Handreichung zum Datenschutz bei Microsoft 365

25. September 2023

Der Landesbeauftragte für den Datenschutz Niedersachsen hat gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden am 22. September 2023 praktische Tipps zur datenschutzkonformen Nutzung von Microsoft 365 sowie Empfehlungen für Anpassungen des Standardvertrags zur Auftragsdatenverarbeitung (DPA) von Microsoft veröffentlicht. Diese Handreichung soll Unternehmen und öffentlichen Stellen dabei helfen, Microsoft 365 datenschutzkonform einzusetzen und auf erforderliche Vertragsanpassungen hinzuwirken.

Die Hintergründe

Die Handreichung basiert in erster Linie auf den Festlegungen der Datenschutzkonferenz (DSK) aus dem November 2022 und ist ein positives Zeichen für diejenigen, die Microsoft 365 nutzen. Obwohl sie keine grundlegenden inhaltlichen Neubewertungen von Microsoft 365 durch die Datenschutzaufsichtsbehörden beinhaltet, liefert sie dennoch wichtige Empfehlungen für die Praxis.

Die DSK hatte zuvor einige Regelungen des DPA von Microsoft kritisiert, darunter:

  1. Festlegung von Art und Zweck der Verarbeitung, Art der personenbezogenen Daten: Die Datenschutzaufsichtsbehörden klären auf, wie diese Punkte im Vertrag angepasst werden können, um den Datenschutzanforderungen besser gerecht zu werden.
  2. Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für Microsofts Geschäftszwecke: Hier wird erläutert, wie die Verantwortlichkeiten klarer definiert werden können, insbesondere im Hinblick auf Geschäftstätigkeiten, die durch die Bereitstellung von Produkten und Services an Kunden veranlasst sind.
  3. Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen: Die Handreichung gibt Hinweise, wie die Weisungsbindung und die Offenlegung von Daten angepasst werden können, um den Datenschutzanforderungen zu entsprechen.
  4. Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO: Hier werden Empfehlungen zur Anpassung des Vertrags im Hinblick auf technische und organisatorische Maßnahmen gegeben.
  5. Löschen personenbezogener Daten: Die Handreichung beleuchtet, wie die Löschung personenbezogener Daten gemäß den Datenschutzbestimmungen effektiv umgesetzt werden kann.
  6. Information über Unterauftragsverarbeiter: Es wird erläutert, wie Unternehmen sicherstellen können, dass sie ausreichende Informationen über Unterauftragsverarbeiter erhalten.

Nicht behandelt: Internationale Datentransfers und extraterritoriale Geltung von US-Gesetzen

Wichtig zu beachten ist, dass die Handreichung sich nicht mit Fragen des internationalen Datentransfers oder des extraterritorialen Geltungsbereichs von US-Gesetzen befasst. Diese Themen bleiben somit außerhalb des Geltungsbereichs dieser Empfehlungen.

Fazit: Unterstützung für datenschutzkonforme Nutzung von Microsoft 365

Die gemeinsame Handreichung von insgesamt sieben Datenschutzaufsichtsbehörden betont die Bedeutung von Microsoft 365 im Geschäftsalltag und bietet Unternehmen und öffentlichen Stellen praktische Unterstützung. Angesichts der Kritik der DSK an Microsoft 365 und der Verunsicherung von Unternehmen ist dies ein positiver Schritt. Die Datenschutzaufsichtsbehörden erfüllen somit ihre Beratungsfunktion und unterstützen die Verantwortlichen bei der datenschutzkonformen Implementierung von Microsoft 365. Dies ist ein wichtiger Schritt in Richtung Datenschutz und Datenschutzkonformität in der digitalen Arbeitswelt.

Schwedische Datenschutzbehörde stärkt Datenschutz in Bezug auf digitale Zeitungsabonnements

11. September 2023

In einer Entscheidung vom 1. April 2022 beschäftigte sich die schwedische Datenschutzbehörde (IMY) mit der Beschwerde eines Kunden eines Online-Dienstes für den digitalen Vertrieb von Zeitungen und Zeitschriften. Die Entscheidung wirft ein Licht auf die Bedeutung des Datenschutzes in Bezug auf solche Dienste und könnte Auswirkungen auf ähnliche Geschäftsmodelle haben.

Der Sachverhalt

Ein Kunde meldete sich bei dem Online-Dienst an und lehnte gleichzeitig ab, in Zukunft E-Mails von dem Unternehmen zu erhalten. Trotz dieser Ablehnung erhielt er mehrere E-Mails von dem Unternehmen. Nachdem er sich an den Kundendienst des Unternehmens gewandt hatte, wurde der Versand von E-Mails eingestellt. Das Unternehmen argumentierte, dass es einen Unterschied zwischen E-Mails gibt, die auf einem Vertrag beruhen, und Marketing-E-Mails, die auf einem berechtigten Interesse basieren. Die E-Mails, die der Kunde erhielt, sollten dazu dienen, den Nutzer über den Dienst zu informieren und hatten den Vertrag als Rechtsgrundlage. Das Unternehmen behauptete, dass die persönlichen Daten nicht zu Marketingzwecken verarbeitet wurden.

Die Entscheidung der IMY

Die IMY hatte zu prüfen, ob die Verarbeitung der persönlichen Daten auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden konnte. Dies erfordert, dass die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Die IMY stellte fest, dass einige der E-Mails Informationen darüber enthielten, wie der Kunde den Dienst personalisieren und personalisierte Empfehlungen basierend auf seinem Leseverhalten erhalten könne. Das Unternehmen informierte auch darüber, dass es personalisierte Inhalte anbietet. Die IMY argumentierte jedoch, dass ein durchschnittlicher Nutzer dies nicht als notwendigen Bestandteil des Dienstes verstehen würde.

Ein weiteres Argument der IMY war, dass das Unternehmen die Möglichkeit bietet, sich von solchen E-Mails abzumelden. Dies legte nahe, dass die Verarbeitung der persönlichen Daten nicht zur Vertragserfüllung notwendig war.

Die IMY verlangte, dass der für die Verarbeitung Verantwortliche nachweist, dass die Verarbeitung tatsächlich erforderlich ist, um den Hauptzweck des Vertrags zu erfüllen. Die IMY argumentierte, dass die E-Mails, die der Kunde erhielt, nicht notwendig waren, um den Hauptzweck des Vertrags zu erfüllen, nämlich das Lesen digitaler Zeitungen und Zeitschriften.

Fazit und Auswirkungen

Diese Entscheidung der IMY könnte Auswirkungen auf ähnliche Geschäftsmodelle haben, wenn andere Datenschutzbehörden eine ähnlich strenge Auslegung des Erforderlichkeitsmerkmals in Art. 6 Abs. 1 lit. b DSGVO verfolgen. Unternehmen, die personalisierte Dienste anbieten und die Verarbeitung auf dieser Grundlage begründen möchten, sollten sicherstellen, dass ihre Begründung konsistent ist und die Betroffenenrechte angemessen berücksichtigt werden.

Die Entscheidung zeigt auch, wie wichtig es ist, Datenschutzrichtlinien und -praktiken sorgfältig zu prüfen und sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen. Datenschutz ist ein wesentlicher Aspekt des Vertrauens zwischen Unternehmen und Kunden, und Unternehmen sollten sicherstellen, dass sie die Privatsphäre ihrer Kunden respektieren und schützen.

Smartwatch-Hersteller im Visier der Datenschutzaktivisten: Beschwerden wegen illegaler Datenweitergabe

6. September 2023

Die Datenschutzorganisation Noyb und ihr Gründer Max Schrems haben ihre Kräfte mobilisiert und Beschwerden gegen einen US-amerikanischen Fitness-Tracker-Hersteller eingereicht. Die Beschwerden wurden bei den nationalen Datenschutzbehörden in Österreich, den Niederlanden und Italien eingereicht. Das Hauptanliegen der Beschwerden besteht darin, dass der Hersteller angeblich sensible Gesundheitsdaten seiner Nutzer ohne ausreichende rechtliche Grundlage in die ganze Welt transferiert, ohne die Betroffenen angemessen zu informieren oder um ihre Zustimmung zu bitten.

Verstoß gegen die DSGVO

Die Datenschutzorganisation Noyb behauptet, dass der Hersteller die Nutzer seiner App dazu zwingt, der Übertragung ihrer Daten in die USA und andere Länder mit unterschiedlichen Datenschutzbestimmungen als die EU zuzustimmen. Dies geschieht angeblich, ohne klare Informationen über die möglichen Konsequenzen oder die spezifischen Zielorte bereitzustellen. Diese Art der Zustimmung wird als “nicht frei, informiert oder spezifisch” angesehen und verstößt eindeutig gegen die Anforderungen der DSGVO.

Umfang der Datenweitergabe

Die von dem Hersteller weitergegebenen Daten, wie in den Datenschutzrichtlinien des Unternehmens angegeben, umfassen nicht nur grundlegende Informationen wie E-Mail-Adresse, Geburtsdatum und Geschlecht, sondern auch äußerst persönliche Gesundheitsdaten. Dies umfasst Aufzeichnungen über Essgewohnheiten, Gewicht, Schlafmuster, Wasserkonsum, weibliche Gesundheit und vieles mehr. Der Hersteller behält sich sogar das Recht vor, diese Informationen an nicht genannte Dritte weiterzugeben. Für die Nutzer ist es nahezu unmöglich zu erfahren, welche ihrer Daten betroffen sind.

Mangelnde Transparenz und Einwilligung

Noyb kritisiert auch die mangelnde Transparenz seitens des Herstellers und betont, dass die Nutzer keine klaren Informationen darüber erhalten, welche Daten wohin übertragen werden. Diese Praxis verhindert effektiv die Möglichkeit für die Nutzer, eine informierte Einwilligung zu geben. Darüber hinaus weist Noyb darauf hin, dass der Hersteller den Nutzern nur die Möglichkeit bietet, ihre Einwilligung zu widerrufen, indem sie ihr Konto löschen. Dies bedeutet, dass Nutzer, die diese Option wählen, alle zuvor aufgezeichneten Trainings- und Gesundheitsdaten verlieren.

Forderung nach mehr Kontrolle und Datenschutz

Die Datenschutzaktivisten bei Noyb betonen, dass die Nutzung der Fitbit-App auch ohne verpflichtende Datentransfers möglich sein sollte. Sie kritisiert den “take it or leave it”-Ansatz und die Tatsache, dass Nutzer ihre Daten nicht kontrollieren können, ohne das Produkt unbrauchbar zu machen. Die Datenschutzaktivisten argumentieren, dass Nutzer die Kontrolle über ihre eigenen Daten behalten sollten, ohne auf die Nutzung des Produkts verzichten zu müssen.

Potenzielle Geldstrafen

Abschließend weist Noyb darauf hin, dass die zuständigen Datenschutzbehörden, basierend auf dem Umsatz der Muttergesellschaft, Geldstrafen von bis zu 11,28 Milliarden Euro verhängen könnten. Dies zeigt, wie ernst die Datenschutzverletzungen genommen werden und welches finanzielle Risiko für Unternehmen besteht, die gegen die Datenschutzbestimmungen verstoßen.

Die Beschwerden gegen den Hersteller markieren einen weiteren Schritt in Richtung strengerer Durchsetzung der Datenschutzgesetze und unterstreichen die Bedeutung der Einhaltung der DSGVO-Vorschriften für Unternehmen, die personenbezogene Daten verarbeiten. Unternehmen sollten diese Entwicklungen aufmerksam verfolgen und sicherstellen, dass ihre Datenschutzpraktiken den gesetzlichen Anforderungen entsprechen.

Meta will künftig mit Einwilligung arbeiten

28. August 2023

Seit bereits fünf Jahren steht Meta wegen der praktizierten Datenverarbeitung auf dem Prüfstand. Nun kündigte das Unternehmen, dass mehrere Social-Media-Plattformen betreibt, an, dass es künftig personenbezogene Daten der Nutzer zu Werbezwecken auf der Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO verarbeiten werde. Bisher erfolgte die Datenverarbeitung zu diesem Zweck auf der Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO.

Hintergründe

Laut Meta selbst sei Grund für die Änderung der Rechtsgrundlage, die zur Verarbeitung personenbezogener Daten herangezogen werde, dass die irische Aufsichtsbehörde die DSGVO verändert auslege. Diese ist im Gefüge der europäischen Aufsichtsbehörde zuständig für Meta. Aufgrund der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) habe, so Meta die irische Aufsichtsbehörde die Auslegung der DSGVO verändert. Außerdem wolle Meta damit auf die bevorstehenden Änderungen, die durch Digital Markets Act eintreten werden, begegnen.

Im Juli dieses Jahres hatte der EuGH zu der Frage entschieden, ob Meta eine alternative rechtliche Grundlage anwenden könne, wenn die Rechtsgrundlage, die zur Datenverarbeitung gedacht war, nicht wirksam sei (wir berichteten). Aus Sicht des Gerichtshofes war es demnach rechtmäßig, dass das Bundeskartellamt (BKA) Meta das Speichern personenbezogener Daten ohne Zustimmung der Nutzer untersagt habe. Dabei stellte der Gerichtshof auch klar, dass eine alternative Verwendung einer Rechtsgrundlage nur unter engen Voraussetzungen möglich sei. Meta müsse seine Nutzer jedenfalls vor der Datenverarbeitung über die einschlägige Rechtsgrundlage informieren.

Aufgrund der neuen Rechtspraxis des US-Konzern dürften diese Rechtsfragen vorerst geklärt sein. Dabei bestehen bereits seit Jahren Bedenken gegen den Umgang des Unternehmens mit den personenbezogenen Daten von Nutzer. Die österreichische NGO None of your business (noyb) betonte in einem Artikel, dass die Tragweite der Entscheidung von Meta hinsichtlich der veränderten Rechtsgrundlage noch abzuwarten sei. Aus Sicht der Organisation bereite insbesondere die von Meta gewählte Formulierung, nach der nur für „bestimmte Daten für verhaltensbezogene Werbung“ eine Einwilligung eingeholt werden, Grund zur Annahme, dass weiterhin Lücken bei der Datenverarbeitung bestehen werden.

Fazit

Wie sich die Datenschutzpraxis des omnipräsenten US-Konzern Meta künftig ändern wird, bleibt insgesamt abzuwarten. Besonderes Augenmerk ist dabei auf die Frage zu legen, ob und wie Meta künftig personenbezogene Daten der Nutzer sammelt und ggf. weiterverwendet.

1 2 3 4 5 90