Kategorie: Online-Datenschutz
27. September 2023
Im Datenschutzrecht sind die Aufbewahrung und Löschung personenbezogener Daten von entscheidender Bedeutung. Die DSGVO sieht vor, dass personenbezogene Daten gelöscht werden müssen, sobald sie für den ursprünglichen Zweck ihrer Erhebung nicht mehr benötigt werden und keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen. Dies ist eine wichtige Ausprägung des Grundsatzes der Datensparsamkeit.
Häufig beschweren sich Betroffene darüber, dass ihre Daten zu lange gespeichert werden. Doch in einigen Fällen monieren Betroffene auch die vorzeitige Löschung ihrer Daten. Ein aktueller Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BaWü) beleuchtet diesen zweiten Aspekt und stellt klar, dass betroffene Personen in diesem Fall keine Beschwerdebefugnis haben.
Der Sachverhalt
Der Tätigkeitsbericht des LfDI BaWü beschreibt einen Fall, in dem ein Bankkunde über mehrere Jahre hinweg mit seiner Bank über Vorgänge in Bezug auf sein Bankkonto stritt. Die Bank behauptete, der Kunde habe einem Angehörigen eine Kontovollmacht erteilt, was der Kunde bestritt. Der Kunde forderte von der Bank einen Nachweis dieser Vollmacht in Form eines entsprechenden Dokuments. Die Bank konnte diesen Nachweis jedoch nicht erbringen, da die relevanten Unterlagen aufgrund abgelaufener gesetzlicher Aufbewahrungsfristen vernichtet worden waren.
Die datenschutzrechtliche Relevanz
Der LfDI BaWü betont in seinem Bericht, dass Informationen zu Kontovollmachten als personenbezogene Daten anzusehen sind, da sie einen Bezug zum jeweiligen Kontoinhaber haben. Sowohl die Speicherung als auch die Löschung solcher Daten stellen somit eine Verarbeitung personenbezogener Daten gemäß Art. 4 Nr. 2 DSGVO dar und erfordern eine rechtliche Grundlage gemäß der DSGVO.
Die Bank konnte sich nicht auf Art. 17 DSGVO berufen, da sie nicht zur Löschung der Daten verpflichtet war. Als mögliche Rechtsgrundlage für eine freiwillige Löschung käme allenfalls das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht. Die Aufsichtsbehörde argumentiert jedoch, dass ein berechtigtes Interesse an der Löschung seitens der Bank verneint werden könne, solange die gesetzlichen Aufbewahrungsfristen für die relevanten Dokumente nicht abgelaufen seien. Folglich könne sich die Bank aufgrund von Art. 17 Abs. 3 lit. b DSGVO nicht auf eine datenschutzrechtliche Löschpflicht berufen.
Die Rechte betroffener Personen
Der LfDI BaWü hebt hervor, dass betroffene Personen gemäß Art. 77 Abs. 1 DSGVO das Recht haben, sich bei einer Aufsichtsbehörde zu beschweren, wenn sie der Meinung sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt. Allerdings gibt es eine wichtige Einschränkung, die aus Erwägungsgrund 141 S. 1 der DSGVO hervorgeht: Jede betroffene Person, die sich in ihren Rechten gemäß der DSGVO verletzt sieht, sollte die Möglichkeit haben, eine Beschwerde einzureichen.
Die Einschränkung: Gesetzliche Aufbewahrungspflichten
Der LfDI BaWü betont jedoch, dass die vorzeitige Löschung von Daten, die gesetzlichen Aufbewahrungspflichten unterliegen, nicht als Verletzung der Rechte betroffener Personen gemäß der DSGVO betrachtet wird. Die gesetzlichen Aufbewahrungspflichten haben einen klaren Schutzzweck und dienen der ordnungsgemäßen Buchführung sowie der Sicherstellung einer ordnungsgemäßen Besteuerung. Daher wird eine vorzeitige Löschung solcher Daten nicht als datenschutzrechtliche Verletzung angesehen.
Fazit
Zusammenfassend bedeutet dies, dass betroffene Personen keine datenschutzrechtliche Beschwerdebefugnis gegen die Unterschreitung gesetzlicher Aufbewahrungspflichten haben. Dennoch ist es von entscheidender Bedeutung, sicherzustellen, dass gesetzliche Aufbewahrungspflichten eingehalten werden. Selbst wenn betroffene Personen keine Beschwerde einreichen können, ist die vorzeitige Löschung gesetzlich vorgeschriebener Daten unzulässig und kann von der zuständigen Aufsichtsbehörde gerügt werden. Die Einhaltung dieser Pflichten ist daher von großer Bedeutung, um rechtliche Konflikte zu vermeiden und den Datenschutz zu gewährleisten.
25. September 2023
Der Landesbeauftragte für den Datenschutz Niedersachsen hat gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden am 22. September 2023 praktische Tipps zur datenschutzkonformen Nutzung von Microsoft 365 sowie Empfehlungen für Anpassungen des Standardvertrags zur Auftragsdatenverarbeitung (DPA) von Microsoft veröffentlicht. Diese Handreichung soll Unternehmen und öffentlichen Stellen dabei helfen, Microsoft 365 datenschutzkonform einzusetzen und auf erforderliche Vertragsanpassungen hinzuwirken.
Die Hintergründe
Die Handreichung basiert in erster Linie auf den Festlegungen der Datenschutzkonferenz (DSK) aus dem November 2022 und ist ein positives Zeichen für diejenigen, die Microsoft 365 nutzen. Obwohl sie keine grundlegenden inhaltlichen Neubewertungen von Microsoft 365 durch die Datenschutzaufsichtsbehörden beinhaltet, liefert sie dennoch wichtige Empfehlungen für die Praxis.
Die DSK hatte zuvor einige Regelungen des DPA von Microsoft kritisiert, darunter:
- Festlegung von Art und Zweck der Verarbeitung, Art der personenbezogenen Daten: Die Datenschutzaufsichtsbehörden klären auf, wie diese Punkte im Vertrag angepasst werden können, um den Datenschutzanforderungen besser gerecht zu werden.
- Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für Microsofts Geschäftszwecke: Hier wird erläutert, wie die Verantwortlichkeiten klarer definiert werden können, insbesondere im Hinblick auf Geschäftstätigkeiten, die durch die Bereitstellung von Produkten und Services an Kunden veranlasst sind.
- Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen: Die Handreichung gibt Hinweise, wie die Weisungsbindung und die Offenlegung von Daten angepasst werden können, um den Datenschutzanforderungen zu entsprechen.
- Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO: Hier werden Empfehlungen zur Anpassung des Vertrags im Hinblick auf technische und organisatorische Maßnahmen gegeben.
- Löschen personenbezogener Daten: Die Handreichung beleuchtet, wie die Löschung personenbezogener Daten gemäß den Datenschutzbestimmungen effektiv umgesetzt werden kann.
- Information über Unterauftragsverarbeiter: Es wird erläutert, wie Unternehmen sicherstellen können, dass sie ausreichende Informationen über Unterauftragsverarbeiter erhalten.
Nicht behandelt: Internationale Datentransfers und extraterritoriale Geltung von US-Gesetzen
Wichtig zu beachten ist, dass die Handreichung sich nicht mit Fragen des internationalen Datentransfers oder des extraterritorialen Geltungsbereichs von US-Gesetzen befasst. Diese Themen bleiben somit außerhalb des Geltungsbereichs dieser Empfehlungen.
Fazit: Unterstützung für datenschutzkonforme Nutzung von Microsoft 365
Die gemeinsame Handreichung von insgesamt sieben Datenschutzaufsichtsbehörden betont die Bedeutung von Microsoft 365 im Geschäftsalltag und bietet Unternehmen und öffentlichen Stellen praktische Unterstützung. Angesichts der Kritik der DSK an Microsoft 365 und der Verunsicherung von Unternehmen ist dies ein positiver Schritt. Die Datenschutzaufsichtsbehörden erfüllen somit ihre Beratungsfunktion und unterstützen die Verantwortlichen bei der datenschutzkonformen Implementierung von Microsoft 365. Dies ist ein wichtiger Schritt in Richtung Datenschutz und Datenschutzkonformität in der digitalen Arbeitswelt.
11. September 2023
In einer Entscheidung vom 1. April 2022 beschäftigte sich die schwedische Datenschutzbehörde (IMY) mit der Beschwerde eines Kunden eines Online-Dienstes für den digitalen Vertrieb von Zeitungen und Zeitschriften. Die Entscheidung wirft ein Licht auf die Bedeutung des Datenschutzes in Bezug auf solche Dienste und könnte Auswirkungen auf ähnliche Geschäftsmodelle haben.
Der Sachverhalt
Ein Kunde meldete sich bei dem Online-Dienst an und lehnte gleichzeitig ab, in Zukunft E-Mails von dem Unternehmen zu erhalten. Trotz dieser Ablehnung erhielt er mehrere E-Mails von dem Unternehmen. Nachdem er sich an den Kundendienst des Unternehmens gewandt hatte, wurde der Versand von E-Mails eingestellt. Das Unternehmen argumentierte, dass es einen Unterschied zwischen E-Mails gibt, die auf einem Vertrag beruhen, und Marketing-E-Mails, die auf einem berechtigten Interesse basieren. Die E-Mails, die der Kunde erhielt, sollten dazu dienen, den Nutzer über den Dienst zu informieren und hatten den Vertrag als Rechtsgrundlage. Das Unternehmen behauptete, dass die persönlichen Daten nicht zu Marketingzwecken verarbeitet wurden.
Die Entscheidung der IMY
Die IMY hatte zu prüfen, ob die Verarbeitung der persönlichen Daten auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden konnte. Dies erfordert, dass die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Die IMY stellte fest, dass einige der E-Mails Informationen darüber enthielten, wie der Kunde den Dienst personalisieren und personalisierte Empfehlungen basierend auf seinem Leseverhalten erhalten könne. Das Unternehmen informierte auch darüber, dass es personalisierte Inhalte anbietet. Die IMY argumentierte jedoch, dass ein durchschnittlicher Nutzer dies nicht als notwendigen Bestandteil des Dienstes verstehen würde.
Ein weiteres Argument der IMY war, dass das Unternehmen die Möglichkeit bietet, sich von solchen E-Mails abzumelden. Dies legte nahe, dass die Verarbeitung der persönlichen Daten nicht zur Vertragserfüllung notwendig war.
Die IMY verlangte, dass der für die Verarbeitung Verantwortliche nachweist, dass die Verarbeitung tatsächlich erforderlich ist, um den Hauptzweck des Vertrags zu erfüllen. Die IMY argumentierte, dass die E-Mails, die der Kunde erhielt, nicht notwendig waren, um den Hauptzweck des Vertrags zu erfüllen, nämlich das Lesen digitaler Zeitungen und Zeitschriften.
Fazit und Auswirkungen
Diese Entscheidung der IMY könnte Auswirkungen auf ähnliche Geschäftsmodelle haben, wenn andere Datenschutzbehörden eine ähnlich strenge Auslegung des Erforderlichkeitsmerkmals in Art. 6 Abs. 1 lit. b DSGVO verfolgen. Unternehmen, die personalisierte Dienste anbieten und die Verarbeitung auf dieser Grundlage begründen möchten, sollten sicherstellen, dass ihre Begründung konsistent ist und die Betroffenenrechte angemessen berücksichtigt werden.
Die Entscheidung zeigt auch, wie wichtig es ist, Datenschutzrichtlinien und -praktiken sorgfältig zu prüfen und sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen. Datenschutz ist ein wesentlicher Aspekt des Vertrauens zwischen Unternehmen und Kunden, und Unternehmen sollten sicherstellen, dass sie die Privatsphäre ihrer Kunden respektieren und schützen.
6. September 2023
Die Datenschutzorganisation Noyb und ihr Gründer Max Schrems haben ihre Kräfte mobilisiert und Beschwerden gegen einen US-amerikanischen Fitness-Tracker-Hersteller eingereicht. Die Beschwerden wurden bei den nationalen Datenschutzbehörden in Österreich, den Niederlanden und Italien eingereicht. Das Hauptanliegen der Beschwerden besteht darin, dass der Hersteller angeblich sensible Gesundheitsdaten seiner Nutzer ohne ausreichende rechtliche Grundlage in die ganze Welt transferiert, ohne die Betroffenen angemessen zu informieren oder um ihre Zustimmung zu bitten.
Verstoß gegen die DSGVO
Die Datenschutzorganisation Noyb behauptet, dass der Hersteller die Nutzer seiner App dazu zwingt, der Übertragung ihrer Daten in die USA und andere Länder mit unterschiedlichen Datenschutzbestimmungen als die EU zuzustimmen. Dies geschieht angeblich, ohne klare Informationen über die möglichen Konsequenzen oder die spezifischen Zielorte bereitzustellen. Diese Art der Zustimmung wird als “nicht frei, informiert oder spezifisch” angesehen und verstößt eindeutig gegen die Anforderungen der DSGVO.
Umfang der Datenweitergabe
Die von dem Hersteller weitergegebenen Daten, wie in den Datenschutzrichtlinien des Unternehmens angegeben, umfassen nicht nur grundlegende Informationen wie E-Mail-Adresse, Geburtsdatum und Geschlecht, sondern auch äußerst persönliche Gesundheitsdaten. Dies umfasst Aufzeichnungen über Essgewohnheiten, Gewicht, Schlafmuster, Wasserkonsum, weibliche Gesundheit und vieles mehr. Der Hersteller behält sich sogar das Recht vor, diese Informationen an nicht genannte Dritte weiterzugeben. Für die Nutzer ist es nahezu unmöglich zu erfahren, welche ihrer Daten betroffen sind.
Mangelnde Transparenz und Einwilligung
Noyb kritisiert auch die mangelnde Transparenz seitens des Herstellers und betont, dass die Nutzer keine klaren Informationen darüber erhalten, welche Daten wohin übertragen werden. Diese Praxis verhindert effektiv die Möglichkeit für die Nutzer, eine informierte Einwilligung zu geben. Darüber hinaus weist Noyb darauf hin, dass der Hersteller den Nutzern nur die Möglichkeit bietet, ihre Einwilligung zu widerrufen, indem sie ihr Konto löschen. Dies bedeutet, dass Nutzer, die diese Option wählen, alle zuvor aufgezeichneten Trainings- und Gesundheitsdaten verlieren.
Forderung nach mehr Kontrolle und Datenschutz
Die Datenschutzaktivisten bei Noyb betonen, dass die Nutzung der Fitbit-App auch ohne verpflichtende Datentransfers möglich sein sollte. Sie kritisiert den “take it or leave it”-Ansatz und die Tatsache, dass Nutzer ihre Daten nicht kontrollieren können, ohne das Produkt unbrauchbar zu machen. Die Datenschutzaktivisten argumentieren, dass Nutzer die Kontrolle über ihre eigenen Daten behalten sollten, ohne auf die Nutzung des Produkts verzichten zu müssen.
Potenzielle Geldstrafen
Abschließend weist Noyb darauf hin, dass die zuständigen Datenschutzbehörden, basierend auf dem Umsatz der Muttergesellschaft, Geldstrafen von bis zu 11,28 Milliarden Euro verhängen könnten. Dies zeigt, wie ernst die Datenschutzverletzungen genommen werden und welches finanzielle Risiko für Unternehmen besteht, die gegen die Datenschutzbestimmungen verstoßen.
Die Beschwerden gegen den Hersteller markieren einen weiteren Schritt in Richtung strengerer Durchsetzung der Datenschutzgesetze und unterstreichen die Bedeutung der Einhaltung der DSGVO-Vorschriften für Unternehmen, die personenbezogene Daten verarbeiten. Unternehmen sollten diese Entwicklungen aufmerksam verfolgen und sicherstellen, dass ihre Datenschutzpraktiken den gesetzlichen Anforderungen entsprechen.
28. August 2023
Seit bereits fünf Jahren steht Meta wegen der praktizierten Datenverarbeitung auf dem Prüfstand. Nun kündigte das Unternehmen, dass mehrere Social-Media-Plattformen betreibt, an, dass es künftig personenbezogene Daten der Nutzer zu Werbezwecken auf der Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO verarbeiten werde. Bisher erfolgte die Datenverarbeitung zu diesem Zweck auf der Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO.
Hintergründe
Laut Meta selbst sei Grund für die Änderung der Rechtsgrundlage, die zur Verarbeitung personenbezogener Daten herangezogen werde, dass die irische Aufsichtsbehörde die DSGVO verändert auslege. Diese ist im Gefüge der europäischen Aufsichtsbehörde zuständig für Meta. Aufgrund der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) habe, so Meta die irische Aufsichtsbehörde die Auslegung der DSGVO verändert. Außerdem wolle Meta damit auf die bevorstehenden Änderungen, die durch Digital Markets Act eintreten werden, begegnen.
Im Juli dieses Jahres hatte der EuGH zu der Frage entschieden, ob Meta eine alternative rechtliche Grundlage anwenden könne, wenn die Rechtsgrundlage, die zur Datenverarbeitung gedacht war, nicht wirksam sei (wir berichteten). Aus Sicht des Gerichtshofes war es demnach rechtmäßig, dass das Bundeskartellamt (BKA) Meta das Speichern personenbezogener Daten ohne Zustimmung der Nutzer untersagt habe. Dabei stellte der Gerichtshof auch klar, dass eine alternative Verwendung einer Rechtsgrundlage nur unter engen Voraussetzungen möglich sei. Meta müsse seine Nutzer jedenfalls vor der Datenverarbeitung über die einschlägige Rechtsgrundlage informieren.
Aufgrund der neuen Rechtspraxis des US-Konzern dürften diese Rechtsfragen vorerst geklärt sein. Dabei bestehen bereits seit Jahren Bedenken gegen den Umgang des Unternehmens mit den personenbezogenen Daten von Nutzer. Die österreichische NGO None of your business (noyb) betonte in einem Artikel, dass die Tragweite der Entscheidung von Meta hinsichtlich der veränderten Rechtsgrundlage noch abzuwarten sei. Aus Sicht der Organisation bereite insbesondere die von Meta gewählte Formulierung, nach der nur für „bestimmte Daten für verhaltensbezogene Werbung“ eine Einwilligung eingeholt werden, Grund zur Annahme, dass weiterhin Lücken bei der Datenverarbeitung bestehen werden.
Fazit
Wie sich die Datenschutzpraxis des omnipräsenten US-Konzern Meta künftig ändern wird, bleibt insgesamt abzuwarten. Besonderes Augenmerk ist dabei auf die Frage zu legen, ob und wie Meta künftig personenbezogene Daten der Nutzer sammelt und ggf. weiterverwendet.
21. August 2023
Vergangene Woche erschienen vermehrt Berichte, derer zufolge eine Cyberattacke auf die Online-Plattform LinkedIn verübt wurde. Demnach konnten die Nutzer des Portals nicht mehr auf ihre Accounts zugreifen.
Hintergründe
Es seien zwei verschiedene Angriffsmethoden auf LinkedIn erkennbar gewesen. Teilweise habe LinkedIn selbst die Konten seiner Nutzer gesperrt. Grund hierfür seien verdächtige Handlungen auf den Konten der betroffenen Nutzer gewesen. Dabei hätten die Hacker versuch die Zwei-Faktor-Authentifizierung, mit der die Konten der Nutzer gesichert werde, zu entschlüsseln. Alle betroffenen Personen seien im Anschluss durch LinkedIn über die vorübergehende Sperrung des Kontos informiert worden.
Hinzu käme eine zweite Form des Hackerangriffs. Bei diesem drängen die Angreifer in die Konten der betroffenen Nutzer ein und änderten dort die zur Verfügung gestellte E-Mail-Adresse. Die Folge dieses Vorgehens sei, dass die betroffenen Personen keine Möglichkeit hätten auf ihr Konto zuzugreifen. Teilweise hätten die Angreifer Lösegeld zur Widerherstellung der Konten verlangt.
Die Folgen für die Konten
Derzeit bleibt eine Stellungnahme von LinkedIn selbst noch aus. Die Motivation der Hacker kann sich demnach auch lediglich erahnen lassen. Teilweise könnte es dazu kommen, dass die betroffenen Konten genutzt werden würde, um über diese Kontakt zu anderen Nutzern aufzunehmen und so schädliche Handlungen vorzunehmen. Zusätzlich biete der Zugang zu einem LinkedIn Konto immer auch Zugang zu sensiblen Unterhaltungen im LinkedIn Profil der betroffenen Personen.
Fazit
Sofern man selbst von einem Angriff betroffen sein sollte, sollte man sich zunächst an den Support von LinkedIn wenden. Insbesondere E-Mails von LinkedIn, in denen die Nutzer darüber informiert werden, dass dem bestehenden Konto eine neue E-Mail-Adresse hinzugefügt worden sei, können ein ersten Anzeichens eines Cyberangriffs sein.
Grundsätzlich gilt es ein langes, aufwändiges und somit sicheres Passwort zu wählen. Außerdem empfiehlt es sich die Zwei-Faktor-Authentifizierung für das Benutzerkonto. Aus Sicht der Verantwortlichen ist zu empfehlen ausreichende Technischen und Organisatorischen Maßnahmen zu wählen, um gegen Cyberattacken präventiv vorzugehen und ihnen adäquat zu begegnen.
2. August 2023
Am 4. Juli 2023 fällte der Europäische Gerichtshof (EuGH) sein Urteil bezüglich der Meta-Entscheidung des Bundeskartellamts. Der EuGH scheint eine bislang offene juristische Frage geklärt zu haben: Kann eine alternative rechtliche Grundlage für die Datenverarbeitung herangezogen werden, wenn die ursprünglich angegebene Grundlage unwirksam ist, etwa wenn eine Einwilligung rechtswidrig erfolgt ist?
Das Verfahren
Der Hintergrund des Verfahrens liegt in der Praxis von Meta Platforms Ireland und Facebook Deutschland (Meta), Daten seiner Nutzer nicht nur auf Facebook selbst, sondern auch über seine Tochterfirmen und über Schnittstellen auf anderen Webseiten zu sammeln und diese zu detaillierten Nutzerprofilen zu verknüpfen. Das Bundeskartellamt (BKartA) sah darin einen Missbrauch der marktbeherrschenden Stellung von Meta. Deswegen erließ das Bundeskartellamt erließ 2019 einen Beschluss gegen Meta, der Gegenstand des vorliegenden Gerichtsverfahrens war. In diesem Beschluss untersagte das Bundeskartellamt Meta, sich durch Zustimmung zu den Allgemeinen Nutzungsbedingungen zur Nutzung von Facebook auch die Erhebung und Verarbeitung von sogenannten “Off-Facebook-Daten” genehmigen zu lassen.
Off-Facebook-Daten
Bei den Off-Facebook-Daten handelt es sich um Informationen, die Meta außerhalb von Facebook, Instagram oder WhatsApp sammelt. Diese Daten werden durch das Werbenetzwerk von Meta auf zahlreichen Webseiten und Apps sowie den zum Meta-Konzern gehörenden Online-Diensten erfasst. Mithilfe dieser Off-Facebook-Daten kann Meta das Konsumverhalten, die Interessen, die Kaufkraft und die Lebenssituation der Nutzer in Profilen erfassen. Auf dieser Grundlage können gezielte und personalisierte Werbenachrichten an die Facebook-Nutzer gesendet werden.
BKartA rügt Metas Nutzungsbedingungen
Die Nutzungsbedingungen müssten vielmehr klarstellen, dass diese Daten nur mit ausdrücklicher Einwilligung verarbeitet und mit dem Facebook-Nutzerkonto verknüpft werden. Darüber hinaus dürfe die Einwilligung nicht zur Voraussetzung für die Nutzung des sozialen Netzwerkes gemacht werden. Das Bundeskartellamt war der Ansicht, dass durch diese Gestaltung der Nutzungsbedingungen, die nicht den Marktverhaltensregeln und Werten der DSGVO entspricht, Meta seine marktbeherrschende Stellung missbrauche. Kurz darauf, noch im Jahr 2019, änderte Meta seine eigenen Nutzungsbedingungen dahingehend, dass die Nutzer bei der Nutzung von Facebook-Produkten in die Verarbeitung von Off-Facebook-Daten einwilligen müssen, da ansonsten für die Services keine Kosten entstehen würden.
Gegen diesen Beschluss des Bundeskartellamts legte Meta gerichtlichen Widerspruch ein. Im Laufe dieses Verfahrens wandte sich das Oberlandesgericht (OLG) Düsseldorf in einem sogenannten Vorlageverfahren an den EuGH. Bei einem Vorlageverfahren entscheidet der EuGH nicht als höhere Instanz über den jeweiligen Rechtsstreit, sondern beantwortet spezifische Fragen zur Auslegung des Europäischen Rechts, wie beispielsweise der DSGVO.
Die Vorlage an den EuGH
Der EuGH hat ausschließlich zu den spezifischen Fragen des vorlegenden Gerichts Stellung genommen, und die Antworten des EuGH sind für das OLG Düsseldorf bindend, wenn es seine eigene Entscheidung in der Sache trifft. Letztendlich liegt die endgültige Entscheidung in der Zuständigkeit des OLG Düsseldorf.
Das Urteil hat auch erhebliche Auswirkungen auf zukünftige Bewertungen im Bereich des Datenschutzes. Die Tatsache, dass ein soziales Netzwerk kostenlos ist, bedeutet nicht automatisch, dass die Daten des Nutzers ohne dessen Einwilligung zur Personalisierung von Werbung verarbeitet werden können. Daher kann das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO keine rechtliche Grundlage dafür sein. Jedoch hat der EuGH wiederholt betont, dass Marketing weiterhin auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, sofern die Nutzungsbedingungen von Meta transparent und für den Nutzer verständlich geändert werden. Somit wird auch in Zukunft Werbung ohne Einwilligung möglich sein.
Das Urteil scheint auch eine bisher ungeklärte Frage zu beantworten, nämlich ob alternative Rechtsgrundlagen aus Art. 6 Abs. 1 lit. b-f DSGVO überhaupt herangezogen werden können, wenn eine zuvor erteilte Einwilligung als rechtswidrig erachtet wird. Der EuGH betont jedoch, dass solche alternativen Rechtsgrundlagen in solchen Fällen eng auszulegen sind.
BfDI Professor Ulrich Kelber äußerte sich dazu wie folgt: “Ich bin erfreut darüber, dass der EuGH anerkennt, wie wichtig die Einhaltung von Datenschutzanforderungen für den Wettbewerb ist und dass Kartellbehörden befugt sind, die Vereinbarkeit des Verhaltens von Unternehmen mit dem Datenschutzrecht zu überprüfen. Mein Glückwunsch geht an das Bundeskartellamt für diesen Erfolg.”
Zusammenarbeit zwischen Datenschutz- und Kartellbehörden
Der EuGH klärte auch, dass Verstöße gegen die DSGVO vorrangig von Datenschutzaufsichtsbehörden festgestellt werden sollten. Das bedeutet, dass das Bundeskartellamt die zuständigen Datenschutzaufsichtsbehörden in datenschutzrechtliche Fragen einbeziehen muss, bevor es eigene Entscheidungen trifft.
Hierzu kommentierte der BfDI: “Kartell- und Datenschutzaufsichtsbehörden können datengetriebene Geschäftsmodelle nur erfolgreich regulieren, wenn sie eng zusammenarbeiten. Das bestätigt die Praxis in Deutschland, wo Bundeskartellamt und der Bundesdatenschutzbeauftragte entsprechend kooperieren. Gemeinsam mit unseren europäischen Kolleginnen und Kollegen werde ich die Entscheidung in der Task Force des Europäischen Datenschutzausschusses zum Zusammenspiel von Datenschutz, Wettbewerb und Verbraucherschutz auswerten und Best Practices für eine effiziente Zusammenarbeit festlegen, damit Bürgerinnen und Bürger besser vor rechtswidrigen und missbräuchlichen Datenverarbeitungen geschützt werden. Die Erfahrungen der Zusammenarbeit in Deutschland sind dafür eine gute Grundlage.”
Fazit
Zusammenfassend lässt sich festhalten, dass Onlinemarketing auch in Zukunft weiterhin möglich sein wird. Obwohl diese Entscheidung sich speziell auf den Einzelfall Meta konzentriert hat, enthält sie dennoch neue und wertvolle Erkenntnisse, die auch für die Bewertung anderer Social Media Dienste relevant sein könnten, die keine marktbeherrschende Position innehaben und weniger Daten sammeln oder andere Techniken verwenden.
31. Juli 2023
Die Datenschutzkonferenz (DSK) veröffentlichte Anfang dieses Monats eine Stellungnahme zum Referentenentwurf zur Verordnung über Dienste zur Einwilligungsverwaltung des Bundesministeriums für Digitales und Verkehr (BMDV). Der Entwurf behandelt die konkrete Umsetzung des § 26 Abs. 2 TTDSG. Dieser sieht vor, dass der Bund eine Rechtsverordnung erlassen darf, in der die Funktionen von Diensten zur Einwilligungsverwaltung und ihre Anerkennung durch eine zuständige unabhängige Stelle geregelt wird.
Künftig keine Cookie-Banner mehr?
Für Telekommunikationsanbieter sieht § 25 Abs. 1 TTDSG vor, eine Einwilligung von den Nutzern einzuholen, sie sie ihre Informationen im Endgerät speichern oder auslesen. Ausnahme dazu bildet § 25 Abs. 2 TTDSG, nach dem bei erforderlichen Technologien keine Einwilligung für das Speichern oder Auslesen notwendig ist. Dies ist Grund, weshalb beim Besuch einer Webseite der Nutzer jedes Mal seine Einwilligung für die Verwendung von Cookies abgeben muss (zu den Regelungen des TTDSG berichteten wir – hier -). Um die Anwendung von Cookies und insbesondere die Abgabe der Einwilligung zu vereinfachen, sieht das TTDSG die Einrichtung sog. Dienste zur Einwilligungsverwaltung vor. Mit Hilfe der Dienste können Nutzer ihre Einwilligungspräferenzen einmal festlegen. Diese übermitteln die Einwilligung dann weiter an Webseitenbetreiber, sodass nach dem Entwurf das erklärte Ziel ist, dass kein Cookie-Banner mehr verwendet werden, müssen. Dies kann dazu beitragen, dass Nutzer Cookie-Banner nicht ungelesen „wegklicken“ und damit eine uninformierte Einwilligung abgeben.
Reaktion der DSK
Aus Sicht der DSK sei es allerdings nicht möglich keine Cookie-Banner einzusetzen. Aus Sicht der DSK seien Cookie-Banner regelmäßig so gestaltet, dass nicht nur eine Einwilligung nach § 26 TTDSG eingeholt werden. Der Banner diene auch dazu eine Einwilligung nach art. 6 Abs. 1 lit. A Datenschutz-Grundverordnung (DSGVO) und nach § 9 Abs. 1 lit. a) DSGVO einzuholen. Für diese beiden von § 25 TTDSG zu unterscheidenden Rechtsgrundlagen bietet § 26 TTDSG gerade keine Rechtsgrundlage. Die Einwilligungen nach der DSGVO dienten anderen Zwecken.
Unabhängig von der Frage nach weiterhin erforderlichen Einwilligungen, enthalte der Entwurf, so die DSK, nicht die Möglichkeit, dass Nutzer einmal gegenüber dem Dienst eine Einwilligung abgeben und anschließend jede Webseite ohne Aufzeigen eines Cookie-Banners frei zugänglich sei. Stattdessen müsse der Nutzer bei jedem erstmaligen Besuch einer jeden Webseite eine Einwilligung abgeben. Diese könne anschließend über den Dienst gespeichert werden, sodass der Nutzer die Einwilligung nur einmal abgeben müsse.
Fazit
Nach dem jetzigen Stand ist mit dem neuen Entwurf ein Abrücken von Cookie-Bannern nicht denkbar. Für die Nutzer wie auch für Unternehmen bleiben Cookies ein wichtiges Thema, dessen Umsetzung in der Praxis künftig eine Erleichterung finden kann. Derzeit bieten viele Webseiten bereits verschiedene Möglichkeiten zur individuellen Cookie-Verwaltung.
10. Juli 2023
Unternehmen nutzen die Veröffentlichung von Fotos und Videos im Internet aus verschiedenen Gründen. Datenschutzrechtliche Aspekte werden relevant, sobald Personen auf den Aufnahmen erkennbar sind, beispielsweise in Marketingvideos, bei der Mitarbeitergewinnung oder in Erklärungs- und Anleitungsvideos für Produkte. Diese Veröffentlichungen können sowohl auf Websites als auch über soziale Medien oder in Apps erfolgen.
Einwilligung als Rechtsgrundlage unsicher
Ein häufig gewählter Ansatz zur rechtlichen Absicherung ist die Einholung einer Einwilligung von den abgebildeten Personen. Solange diese Einwilligung freiwillig erfolgt und die betreffenden Personen angemessen über die Art und Weise der Veröffentlichung informiert werden, ist dies rechtlich akzeptabel. Allerdings hat die Verwendung von Einwilligungen als Rechtsgrundlage einen entscheidenden Nachteil: Einwilligungen können jederzeit und ohne Angabe von Gründen widerrufen werden.
Im Falle eines solchen Widerrufs muss die Veröffentlichung unverzüglich beendet werden. Die betroffene Person muss aus den Aufnahmen entfernt oder unkenntlich gemacht werden. Für Unternehmen kann dies sehr unangenehm sein, insbesondere wenn hohe Produktionskosten für die Aufnahmen angefallen sind oder die Veröffentlichung der Aufnahmen von großer Bedeutung ist.
Datenschutzrechtliche Einordnung
Die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO dient als rechtliche Grundlage für die Verarbeitung personenbezogener Daten. Allerdings ist gemäß Art. 7 Abs. 3 Satz 1 DSGVO eine solche Einwilligung frei widerruflich. Kommentare zur DSGVO stellen klar, dass Einschränkungen des Widerrufsrechts nicht zulässig sind. Folglich entfällt ab dem Zeitpunkt des Widerrufs die rechtliche Grundlage für die Veröffentlichung von Aufnahmen der widerrufenden Person. Bis zum Zeitpunkt des Widerrufs bleibt die Verwendung der Aufnahmen rechtmäßig, danach dürfen sie nicht mehr verwendet werden. Argumente wie hohe Produktionskosten, unverhältnismäßige Rechtsfolgen oder sonstige negative Auswirkungen auf das Unternehmen können nicht als Grund für die Aufrechterhaltung der Veröffentlichung angeführt werden.
Vor Inkrafttreten der DSGVO wurde für die Veröffentlichung von Aufnahmen das Kunsturheberrechtsgesetz herangezogen, insbesondere § 22 KunstUrhG, der die Einwilligung regelt. In der Rechtsprechung wurde anerkannt, dass diese Einwilligung nur bei Vorliegen eines wichtigen Grundes widerrufen werden konnte.
Das Verhältnis zwischen dem Kunsturheberrechtsgesetz und der DSGVO ist nach wie vor umstritten. Jedoch kann mit Gewissheit gesagt werden, dass die DSGVO und ihre Bestimmungen zur Einwilligung und ihrem Widerruf Vorrang haben. Das bedeutet, dass nun kein wichtiger Grund mehr für einen Widerruf erforderlich ist, da die DSGVO eine solche Einschränkung nicht vorsieht.
Alternative zur Einwilligung
Unternehmen können die rechtlich ungünstige Situation bei der Verwendung von Fotos oder Videos vermeiden, indem sie mit den betroffenen Personen, wie Mitarbeitenden oder Testimonials, sogenannte Modelverträge abschließen. In diesem Fall dient der Modelvertrag als rechtliche Grundlage für die Verwendung der Aufnahmen (gemäß Art. 6 Abs. 1 lit. b DSGVO) und nicht eine Einwilligung. Der entscheidende Unterschied besteht darin, dass ein Vertrag nicht einfach widerrufen werden kann, im Gegensatz zu einer Einwilligung. Ein Modelvertrag gibt dem Nutzer der Aufnahmen die Gewissheit, dass es keinen Widerruf geben kann.
Es ist jedoch wichtig zu beachten, dass im Modelvertrag den betroffenen Personen eine Gegenleistung für die Einräumung der Verwendungsrechte an den Aufnahmen gewährt wird. Diese Gegenleistung besteht oft in Form einer Geldzahlung. Die Höhe der Gegenleistung sollte in angemessenem Verhältnis zu den eingeräumten Verwendungsrechten stehen, insbesondere bei umfangreichen und weitreichenden Veröffentlichungen sollte die Gegenleistung entsprechend höher ausfallen.
Fazit
Bei Foto- und Videoaufnahmen, bei denen ein Widerruf einer Einwilligung besonders unerwünscht wäre, beispielsweise im Rahmen einer Werbekampagne, sollten Unternehmen besser auf Modelverträge anstelle von Einwilligungen setzen. Fotos von Weihnachtsfeiern, Betriebsausflügen, Firmenläufen oder ähnlichen Veranstaltungen können natürlich weiterhin mit Einwilligung der Personen veröffentlicht werden, beispielsweise im Intranet, da ein Widerruf in der Regel keine größeren Auswirkungen hätte.
21. Juni 2023
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gab das Anhörungsschreiben frei, das an das US-amerikanische Unternehmen OpenAI gerichtet war. In dem Schreiben wird ein Fragenkatalog aufgeführt, bei dem lediglich die Namen der Ansprechpartner anonymisiert wurden. Im April 2023 haben die deutschen Landesdatenschutzbehörden ein Verwaltungsverfahren gegen das Unternehmen OpenAI eingeleitet. OpenAI hatte im November 2022 den KI-Chatbot ChatGPT der Öffentlichkeit vorgestellt. Die Datenschutzbehörden möchten prüfen, ob die Algorithmen der KI-Software den Anforderungen der europäischen Datenschutzregeln gemäß der Datenschutzgrundverordnung (DSGVO) entsprechen.
Die Fragen des ULD an OpenAI
Über 40 rechtsrelevante Fragen wurden im Rahmen der Anhörung gestellt. Diese Fragen beziehen sich auf ChatGPT und die zugehörigen Sprachmodelle GPT bis GPT-4. Die Behörden gehen davon aus, dass ChatGPT personenbezogene Daten automatisiert verarbeitet, um Antworten zu generieren. Um diese Annahme zu überprüfen, wurde OpenAI gebeten, rund 40 Fragen zu beantworten. Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen erklärt, dass der Fragebogen die wesentlichen Datenschutzfragen umfasst. Dabei geht es um Grundsätze der Datenverarbeitung, Rechtmäßigkeit, die Rechte der betroffenen Personen sowie die Gestaltung im Bereich Datenschutz und Sicherheit.
Die Datenschützer möchten beispielsweise wissen, wie OpenAI die Richtigkeit der verwendeten Daten sicherstellen wird, insbesondere wenn Betroffene Berichtigungen oder Löschungen fordern. Auch interessiert sie, aus welchen Quellen die verarbeiteten Daten stammen, die zur Schulung der Sprachmodelle verwendet werden. OpenAI wird gebeten, die entsprechenden Rechtsgrundlagen zu erläutern. Es ist unklar, ob das Unternehmen erhobene personenbezogene Daten vor dem KI-Training pseudonymisiert, anonymisiert oder anderweitig aufbereitet.
Zusätzlich soll OpenAI klären, ob eine Profilbildung der Nutzerinnen und Nutzer durch Tracking erfolgt. Falls dies der Fall ist, wird das Unternehmen gebeten, den Zweck der Profilbildung zu erläutern: Dient sie Werbezwecken oder dem Training von Methoden des maschinellen Lernens? Kann man Nutzungsdaten auch wieder löschen? In der Datenschutzerklärung von OpenAI wird erwähnt, dass Nutzungsdaten erhoben werden und es ist die Rede von “verschiedenen Online-Analytics-Produkten”. Hier soll genauer erläutert werden, was damit gemeint ist.
Des Weiteren wird OpenAI aufgefordert, eine Datenschutzfolgenabschätzung vorzulegen. Falls eine solche Abschätzung nicht durchgeführt wurde, soll das Unternehmen dies begründen. Es bestehen auch offene Fragen zum besonderen Schutz von Kindern und Jugendlichen, zum Datentransfer und schließlich zur möglichen Nutzung durch andere Dienste oder Unternehmen.
OpenAI möchte längere Frist
OpenAI hat seine Kooperationsbereitschaft gezeigt und zugesagt, die Fragen des ULD zu beantworten. Die sechswöchige Frist zur Beantwortung endete am 7. Juni 2023. Allerdings hat OpenAI bereits erfolgreich eine Verlängerung der Frist beantragt. Das ULD gab bekannt, dass der aktuelle Stand des Verfahrens auf der Webseite zu ChatGPT dokumentiert werden soll. Die Veröffentlichung der Antworten von OpenAI L.L.C. erfolgt möglicherweise nicht unmittelbar, da sie sensible Informationen wie Betriebsgeheimnisse enthalten könnten, erklärt Hansen. Sie betont, dass es sich um ein laufendes, nicht öffentliches Verfahren handelt.
Da OpenAI keine Niederlassung in der Europäischen Union hat, sind die europäischen Datenschutzaufsichtsbehörden in ihren jeweiligen Mitgliedstaaten für das Unternehmen zuständig. Im Gegensatz dazu haben Google und Microsoft eine zentrale Niederlassung in Irland, weshalb die irische Datenschutzaufsicht für sie zuständig ist. In Bezug auf die Durchsetzung der DSGVO zeigte sich die irische Aufsichtsbehörde in den vergangenen Jahren mehrfach sehr zögerlich.
Zusammenarbeit im Bereich der KI-Regulierung nötig
Die Datenschutzbehörde in Italien hob Ende April ein zuvor verhängtes Verbot gegen ChatGPT auf, das seit Ende März in Kraft war. OpenAI hatte der Behörde Maßnahmen vorgelegt, mit denen eine verbesserte Datenschutzpraxis gewährleistet werden sollte. Dennoch plant der italienische Datenschutzbeauftragte, seine Ermittlungen fortzusetzen.
“Angesichts der großen Bedeutung führen nun mehrere Landesdatenschutzbehörden Prüfungen des ChatGPT-Dienstes durch”, erklärt Hansen. Das ULD folgt dabei dem Landesverwaltungsgesetz Schleswig-Holstein, während in den anderen Bundesländern ähnliche Regelungen gelten. Die Datenschutzexpertin weist den Vorwurf zurück, dass keine einheitliche Stimme vorhanden sei. Im Gegenteil, über die Datenschutzkonferenz von Bund und Ländern und ihre Taskforce KI wurden die Fragen abgestimmt. “Wir handeln zwar getrennt und basierend auf unserem eigenen Verwaltungsrecht, sind uns jedoch in der Sache einig”, betont sie. Dies verringere auch den Aufwand für OpenAI.
Dennoch beschränkt sich die Anhörung nicht nur auf diese Maßnahme. “Im Bereich KI benötigen wir nicht nur den Schulterschluss mit den europäischen Datenschutzaufsichtsbehörden, sondern es wird auch notwendig sein, uns mit Aufsichtsbehörden und Experten in anderen Rechtsbereichen wie Jugendschutz, Antidiskriminierung, Informationssicherheit, Medienaufsicht, Urheberrecht oder Kartellrecht auszutauschen”, betont Marit Hansen.
Pages: 1 2 3 4 5 6 7 ... 90 91 
