Kategorie: Social Media
16. September 2020
Der Bundesgerichtshof (BGH) hat in einem Eilverfahren am 23. Juni 2020 über eine Verbotsverfügung entschieden, die das Bundeskartellamt gegen Facebook erlassen hat. Das Bundeskartellamt hat im Februar 2019 einen Wettbewerbsverstoß in Form eines Marktmachtmissbrauchs seitens Facebook festgestellt und eine Änderung der Nutzungsbedingungen verlangt. Konkret wirft das Bundeskartellamt Facebook vor, dass es seine marktbeherrschende Stellung auf dem Markt für soziale Netzwerke missbraucht.
Gegen diese Entscheidung hat Facebook Beschwerde beim Oberlandesgericht (OLG) Düsseldorf eingelegt. Das OLG Düsseldorf hat Facebook Recht gegeben, so dass das Bundeskartellamt vor den BGH gezogen ist. Dieser wiederum hat die Entscheidung des OLG Düsseldorf aufgehoben und dem Bundeskartellamt Recht gegeben.
Der BGH ist nun der Argumentation des Bundeskartellamts gefolgt.
Im Fokus stehen dabei die Nutzungsbedingungen von Facebook. In diese müssen alle Nutzer zuvor einwilligen, um das soziale Netzwerk zu nutzen. Diese Einwilligung erlaubt es Facebook dann Daten aus der Nutzung der eigenen Dienste, wie Instagram und WhatsApp, als auch Daten, die von Webseiten von Dritten stammen, wie Facebook Pixel oder den Like-Button, auszuwerten.
Nach Ansicht des BGH stellt die Verwendung der Nutzungsbedingungen einen Verstoß gegen das Verbot aus § 19 Abs. 1 GWB, eine marktbeherrschende Stellung missbräuchlich auszunutzen, dar. Damit verstößt Facebook gleichzeitig gegen datenschutzrechtliche Bestimmungen aus der DS-GVO, da es die private Nutzung des Netzwerks von der Einwilligung des Nutzers in das Sammeln, Zusammenführen und Auswerten der Nutzerdaten abhängig macht. Da Facebook aufgrund seiner Größe quasi ein Alleinstellungsmerkmal unter den sozialen Netzwerken hat, ist die Einwilligung des Nutzers mangels Alternative eben nicht freiwillig.
Noch ist das letzte Wort aber nicht gesprochen. Die vorliegende Entscheidung bezieht sich nur auf das Eilverfahren. Eine Entscheidung des OLG Düsseldorf im Hauptsacheverfahren steht noch aus. Und auch dieses kann wiederum vor dem BGH landen.
10. September 2020
Am 16.06.2020 erklärte der EuGH das Privacy Shield für ungültig und adressierte in diesem Zuge auch Datenübermittlung, die auf der Grundlage von Standardvertragsklauseln (SCCs) legitimiert werden sollen. Der Europäische Datenschutzausschuss und die deutsche Datenschutzkonferenz stellten klar, dass in jeden Einzelfall geprüft werden muss, ob ein angemessenes Datenschutzniveau im Drittland sichergestellt ist oder ob dem mit zusätzlichen Schutzmaßnahmen begegnet werden kann. Im Hinblick auf die weitreichenden Zugriffsmöglichkeiten der US-amerikanischen Sicherheitsdienste bezweifelte der EuGH, dass beim Datentransfer in die USA ein angemessenes Schutzniveaus gewährleistet werden kann.
Seitdem reißen die News rund um das Thema nicht ab. Vor kurzem reichte die von Max Schrems ins Leben gerufene Datenschutzorganisation „noyb“ 101 Beschwerden gegen europäische Unternehmen bei den jeweils zuständigen Aufsichtsbehörden ein. Herr Schrems führte das angesprochene Verfahren vor dem EuGH. Die Beschwerden richten sich gegen Unternehmen, die Google Analytics oder Facebook Connect verwenden, und ausweislich der Darstellungen auf den Webseiten für die Drittlandübermittlungen keine ausreichenden Maßnahmen ergriffen haben. Der Europäische Datenschutzausschuss richtete eine Task Force ein, um bei den Beschwerden ein einheitliches Vorgehen zu gewährleisten.
Nun erhält Facebook weiteren Gegenwind aus Irland: Wie Facebooks Kommunikationschef Clegg in einem Blogpost berichtet, hat die irische Datenschutzaufsichtsbehörde eine Untersuchung zu den Datentransfers von Facebook zwischen der EU und den USA eingeleitet und darauf hingewiesen, dass die SCCs nicht verwendet werden könnten. Wie die US-amerikansische Zeitung Politico berichtet, stellte die irische Datenschutzbehörden Facebook bereits Ende August eine vorläufige Anordnung zur Aussetzung der Datentransfers von der EU in die USA auf Grundlage der SCCs zu und bat um Antwort des Unternehmens.
Spannend sind in diesem Zusammenhang die Aussagen von noyb: Sie verweisen auf einen Brief, in dem sich Facebook auf eine andere Rechtsgrundlage für die Übermittlung beruft, die nicht Gegenstand der vorläufigen Anordnung ist (siehe hier auf Seite 3-4). Die Übermittlung soll danach rechtmäßig sein, weil sie zur Erfüllung eines zwischen den Facebook-Nutzern und Facebook geschlossenen Vertrages erforderlich sei. Max Schrems ist hingegen der Ansicht, „die angebliche Anordnung gegen Facebook [sei] ein weiterer Schritt, der das Problem absichtlich nicht lösen“ wird. noyb hat angekündigt, einen Antrag auf eine einstweilige Verfügung einzureichen, um sicherzustellen, dass die DPC hinsichtlich aller rechtlichen Grundlagen für Datenübermittlungen tätig wird.
Eine endgültige Entscheidung der der irischen Behörde steht noch aus. Politico geht davon aus, dass mit einer solchen frühestens im Oktober gerechnet werden kann, nachdem Facebook auf die Anordnung geantwortet hat und die Entscheidung mit anderen EU Aufsichtsbehörden koordiniert wurde.
Bis dahin will sich Facebook nach Aussage des Kommunikationschefs Clegg „weiterhin Daten in Übereinstimmung mit dem jüngsten EuGH-Urteil übermitteln bis weitere Handlungsanweisungen erfolgen“. Er weist auf die Gefahren für die europäische Wirtschaft hin, wenn ein internationaler Datentransfer behindert wird. Clegg betont, dass Facebook die Bemühungen der Europäischen Kommission und dem US-amerikanischen Handelsministerium um ein „Privacy Shield enhanced“ begrüßt.
17. Juli 2020
Hacker verschafften sich Zugang zu den Prominenten-Accounts mit Millionen Followern. Betroffene sind unter anderem Barack Obama, Warren Buffet, Kanye West, Bill Gates, Elon Musk und Jeff Bezos.
Auf den gehackten Accounts wurde am Mittwoch dazu aufgefordert, Bitcoins zu überweisen. Nach öffentlichen Daten flossen Bitcoins im Wert von mindestens 120.000 Dollar über rund 400 Überweisungen ab.
„Harter Tag für uns bei Twitter.“
Dies erklärte Twitter-Chef Jack Dorsey. Laut Twitter haben die Hacker sich anscheinend zunächst die Zugänge von Twitter-Mitarbeitern gesichert und erst anschließend die Profile der Prominenten gehackt. Es handelt sich nach Meinung vieler Experten um einen der größten Angriffe auf eine reichweitenstarke Social-Media-Plattform.
Twitter sperrte nach mehr als einer Stunde die entsprechenden Konten. Nach Meinung von Experten, ist es sehr wahrscheinlich, dass die Hacker Zugriff auf die Systeme von Twitter gehabt haben. Daher ist das wahre Ausmaß der Attacke noch nicht abzusehen. Da manche Politiker über ihren Twitter-Kanal auch Außenpolitik betreiben, ist das Risiko nicht nur monetärer Natur.
3. Juli 2020
In dem Rechtsstreit Max Schrems gegen die Facebook Ireland Limited ist am 30.06.2020 – Aktenzeichen 3 Cg 52/14k-91 – ein Urteil ergangen. Hier hat das „Landesgericht für ZRS Wien“ entschieden, dass
1. die Beklagte dem Kläger binnen vierzehn Tagen schriftlich und kostenlos vollständig Auskunft über alle von ihr verarbeiteten personenbezogenen Daten des Klägers unter Angabe der genauen Herkunft und gegebenenfalls der genauen Empfänger der Daten zu erteilen.
2. Dem Kläger binnen vierzehn Tagen einen Betrag von 500 € zu zahlen. (Redaktionelle Leitsätze)
Sachverhalt
Der Kläger stellte in den Jahren 2011, 2012, 2013, 2015 und zuletzt 2019 Auskunftsbegehren nach Maßgabe des Art. 15 DSGVO. Diese beantwortete die Beklagte zunächst mit einer 18-Seitigen Pdf-Datei vom 09.06.2011 und einer CD-Rom mit weiteren PDF im Umfang von 1.222 A4-Seiten. Der Kläger sah sich trotz erteilter Auskunft in seinen durch die DSGVO normierten Rechten verletzt. Die bereitgestellten Informationen waren aus seiner Perspektive weder inhaltlich ausreichend, noch genügte ihm die Anzahl der Antworten im Verhältnis zur Anzahl der gestellten Begehren.
Ferner störte sich der Kläger an der Datenverarbeitung durch Drittunternehmen. Hierzu führte aus, er sei „Verantwortlicher“ im Sinne der DSGVO. Die daraus resultierenden Anforderungen habe die Beklagte nicht erfüllt. Abschließend habe die Beklagte gegen Art. 9 DSGVO verstoßen, indem sie eine Einwilligung in Bezug auf seine Interessen nicht eingeholt habe.
Das Urteil reiht sich in eine Vielzahl von Klagen Herrn Schrems gegen Facebook ein. So hatte dieser bereits im August 2014 in Wien eine Sammelklage gegen Facebook eingereicht. Ziel der Klage war unter anderem, von Facebook einen symbolischen Schadenersatz von 500 Euro für jeden Beteiligten der Klage erstreiten. Hierzu beschied der Europäische Gerichtshof (EuGH) im Januar 2018, dass derartige Sammelklagen unzulässig seien.
Entscheidung
Das Wiener Gericht gibt dem Kläger teilweise Recht. So habe die Beklagte die ihre Auskunftspflicht dadurch verletzt, dass sie trotz neuerlich begehrter Auskunft sämtliche personenbezogenen Daten mitgeteilt hätte, die Gegenstand der Verarbeitung seien. Der konkrete Umfang sei sowohl durch das Gesetz auch auch in den Erwägungsgründen (hier: EG 63) niedergelegt.
Auch begründe die Regelmäßigkeit der Anfragen keine Möglichkeit der Verweigerung, da ein Jahresabstand der Anfragen angemessenen im Sinne der DSGVO sei.
Entgegen der Ansicht des Klägers sei er jedoch kein „Verantwortlicher“ im Sinne der DSGVO. Diese sei auf den Kläger in seiner Funktion als privater Nutzer des Dienstes nicht anwendbar. Überdies greife die Haushaltsausnahme aus Art. 2 Abs. 2 lit. c) DSGVO mangels Anwendbarkeit nicht.
Die abschließend gerügte Verletzung aus Art. 9 DSGVO sei jedenfalls im konkreten Fall nicht tatsächlich feststellbar gewesen. So habe der Kläger die für die Informationen selbst veröffentlicht, weshalb eine Einwilligung gemäß Art. 9 DSGVO nicht erforderlich gewesen sei.
Praktische Relevanz
Die praktische Relevanz scheint aus aktueller Perspektive überschaubar. So ist weder abschließend zu beurteilen, wie sich das Verhalten auf die künftige Unternehmensführung auswirkt noch steht fest, ob das Urteil überhaupt rechtskräftig wird. So kündigte der Kläger auf der Homepage des Unternehmens NOYB bereits die Einhegung einer Berufung an.
10. März 2020
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz (LfDI RLP) hat am 06. März 2020 seinen aktualisierten Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen veröffentlicht.
Wie bereits berichtet stellte der EuGH im Juni 2018 fest, dass der Betreiber einer Fanseite auf Facebook gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten verantwortlich ist. Daraufhin stellte das BVerwG im September 2019 klar, dass die Datenschutzaufsichtsbehörden bei Verstößen gegen die Betreiber von Facebook-Fanpages vorgehen können.
Der LfDI RLP beschäftigt sich zunächst mit der Zulässigkeit der Datenverarbeitung durch öffentliche Stellen. Diese könnten zwar Öffentlichkeitsarbeit als Annexkompetenz zu ihren Aufgaben betreiben. Die Stellen könnten sich dabei aber nicht auf Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 3 LDSG RLP berufen. Danach ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Nach Ansicht des LfDI RLP ist die Weitergabe an Social Media-Dienste für die Öffentlichkeitsarbeit aber nicht erforderlich. Es bedürfe daher einer Einwilligung oder anderen Rechtsgrundlage.
Ob angemeldete Nutzer eine wirksame Einwilligung abgegeben haben lässt der Handlungsrahmen offen. Der LfDI RLP sieht es unter Vorbehalt als akzeptabel an, in einer Einwilligung an den Dienst auch eine solche für die Verarbeitung im Zusammenhang mit bestimmten Angeboten der Plattform zu sehen. Eine Einwilligung fehle aber jedenfalls regelmäßig bei Nutzerinnen und Nutzern, die nicht Mitglied der jeweiligen Social Media-Plattform sind. Jedenfalls sehe Facebook dafür keine technische Lösung vor.
Der Handlungsrahmen führt weiter aus, dass öffentliche Stellen für einen datenschutzkonformen Betrieb von Social Media-Plattformen eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen müssen. Solche Vereinbarungen müssten Antworten auf die im Fragenkatalog des Beschlusses der Datenschutzkonferenz zu Facebook Fanpages vom 5. September 2018 gestellten Fragen enthalten. Facebook beantworte in seiner Seiten-Insights-Ergänzung aktuell nicht alle diese Fragen. Zudem müssen der Verantwortliche auch weiteren Pflichten nachkommen, wie den Informationspflichten oder der Bereitstellung alternativer Informations- und Kommunikationsmöglichkeiten.
Der LfDI RLP weist darauf hin, dass er bei Verstößen die Außerbetriebnahme des Angebots anordnen könnte und eine Beanstandung oder Verwarnung erfolgen könnte. Daneben könnten betroffene Personen gegenüber Betreibern von Fanpages Schadensersatzansprüche haben.
Nachdem insbsondere der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg mit seinen Äußerungen zur Nutzung des Kurznachrichtendienstes Twitters für Aufsehen gesorgt hatte, beschäftigt sich jetzt eine weitere Aufsichtsbehörde mit der Nutzung von Social Media durch öffentlich Stellen.
27. Februar 2020
Das US-Unternehmen Clearview machte zuletzt Schlagzeilen, weil es die bisher größte bekannte Gesichtsdatenbank aufgebaut hatte. Die Datenbank verkaufte Clearview insbesondere an Strafverfolgungsbehörden, wie Recherchen der New York Times aufdeckten. Wir berichteten darüber ausführlich in einem früheren Blogbeitrag.
Nun sind Clearview offenbar sensible Kundendaten abhanden gekommen. Das geht aus einem Bericht des US-Magazins The Daily Beast hervor. Das Unternehmen soll seine Kunden gewarnt haben, dass ein Unberechtigter Zugang zur Kundenliste, zur Anzahl der Benutzerkonten einzelner Kunden und der jeweiligen Suchvorgänge verschafft habe. Ein Rechtsanwalt des Unternehmens erklärte, es habe kein Zugriff auf Server Clearviews stattgefunden. Der Unberechtigte habe keinen Zugriff auf die Suchverläufe der Kundenkonten bekommen und die Schwachstelle sei mittlerweile geschlossen. Die genauen Umstände der Datenpanne sind unklar, jedenfalls spricht Clearview in der Meldung nicht von einem Hack.
Clearview geriet in die Öffentlichkeit, weil es mehrere Milliarden Fotos von Nutzern aus sozialen Netzwerken wie Facebook, YouTube und Instagram sammelte. Die Datenbank enthält darüber hinaus Namen von Personen und weitere persönliche Daten über den Wohnort, die Aktivitäten sowie Freunde und Bekannte. Clearview verkaufte die Datenbank in Form einer App an bisher mehr als 600 Behörden. Auch private Sicherheitsunternehmen sollen zu den Kunden von Clearview gehören.
Social-Media-Plafttformen wie Google wehrten sich zuletzt gegen das Vorgehen. So mahnte Google Clearview ab, weil es auf Videomaterial von YouTube zugriff. Twitter forderte Clearview auf, den Abruf von Fotos einzustellen und vorhandenes Material zu löschen.
13. Februar 2020
Eigentlich sollte Facebooks Datingdienst am 13. Februar und damit pünktlich einen Tag vor Valentinstag in Europa verfügbar sein. Daraus wird aber nichts, wie die irische Datenschutzkommission (DPC) am 12. Februar bekanntgab. Erst 10 Tage vor dem geplanten Start, am 3. Februar, wurde die DPC von Facebooks EU-Headquarter in Irland über den geplanten Start von Facebook Dating informiert. Die DPC monierte, dass ihr keine Informationen und Dokumentationen über die Datenschutz-Folgenabschätzung (DPIA) oder den bei Facebook Irland abgelaufenen Entscheidungsfindungsprozessen vorgelegt wurden. Um die Beschaffung der erforderlichen Unterlagen zu beschleunigen hat die DPC am vergangenen Montag eine Inspektion in den Büros von Facebook Irland durchgeführt und Dokumente gesammelt. Am daraufolgenden Tag teilte Facebook der Datensschutzbehörde mit, dass die Einführung des Features verschoben wurde.
In den USA wurde das Dating-Feature bereits im September gelauncht. EU-Bürger müssen bis auf Weiteres auf anderen Plattformen auf Partnersuche gehen. Aber auch die stehen im Fokus von Untersuchunngen: So legten norwegische Verbraucherschützer gegen die Dating-App Grindr Beschwerde ein, auch Lovoo stand bereits in der Kritik und aktuell ermittelt die irische Datenschutzkommission, ob der Umgang mit personenbezogenen Daten der Dating-App Tinder im Einklang mit dem Datenschutzrecht steht.
11. Februar 2020
Der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg, Stefan Brink, löschte am 31. Januar 2020 seinen Twitter-Account mit rund 5400 Followern. Diesen Schritt begründete er damit, dass die Benutzung des datenschutzrechtlich problematischen Dienstes nicht mit seiner Tätigkeit vereinbar sei. Er wolle nun prüfen, „ob die anderen drinbleiben dürfen.“ Die Landesregierung Baden-Württembergs und die Landespolizei meldeten kurz danach an, nicht auf den Kurznachrichtenndienst verzichten zu wollen. Der „Twexit“ des Landesbeauftragten könnte nun aber Folgen für Behörden und Unternehmen haben. Kürzlich veröffentlichte die Aufsichtsbehörde Anforderungen an die behördliche Nutzung „Sozialer Netzwerke„. Im Wesentlichen werden 5 Anforderungen aufgestellt: Behörden müssten eine datenschutzrechtliche Rechtsgrundlage für die Benutzung vorweisen und Transparenzgebote einhalten. Sie sollen mit dem Sozialen Netzwerk einen Vertrag zur gemeinsamen Verantwortung schließen. Zudem müssten Behörden alternative Informations- und Kommunikationswege anbieten und technisch und organisatorische Sicherungsmaßnahme einhalten. Besonders die Forderung nach einem Vertrag über die gemeinsame Verantwortung hat es in sich: Denn Twitter weigert sich aktuell solche Verträge mit seinen Nutzern zu schließen. Stefan Brink sieht aber Verträge für die gemeinsame Verantwortlichkeit als zwingende Voraussetzung für eine rechtskonforme Benutzung des Dienstes an. Diese Anforderung schließt die Aufsichtsbehörde aus den neuerlichen Urteilen des EuGH und des BVerwG zu Facebook-Fanpages, die auf Twitter übertragbar seien.
In einem Interview mit JUVE Rechtsmarkt erläuterte Stefan Brink nun seine Strategie: Zunächst will er mit Behörden den Dialog suchen. Wenn das nicht funktioniere könnten Anordnungen erlassen werden, um „die Behörden [zu] zwingen, mit dem Twittern aufzuhören.“ Er erkennt zwar die große Rolle die Social-Media-Kanäle spielen, möchte sich aber trotzdem „in der zweiten Jahreshälfte […] Unternehmen ansehen.“ Er ist sich sicher durch „Druck auf die Unternehmen“ zu erreichen, dass „die Unternehmen ihrerseits Druck auf die Plattformbetreiber ausüben“ und so an „den formal nötigen Vertrag“ kommen werden.
6. Februar 2020
Wie bereits berichtet, hatte die Gesichtserkennungsfirma Clearview circa drei Milliarden Bilder in ihrer Datenbank gesammelt. Unter anderem griff Clearview dafür auch auf das Videomaterial von Youtube zurück.
Dieses Verhalten führte nun zu einer Abmahnung von
Google gegenüber der Firma Clearview. Im Abmahnschreiben fordert Google die
Löschung des Bild- und Videomaterials. Dem Startup wird vorgeworfen, dass es
mit der Speicherung der Videos, zum Zwecke der Identifizierung von Personen,
gegen die Youtube Richtlinien verstoßen hat.
Das Unternehmen hatte gestanden die Daten der Videoplattform zum Zwecke der Gesichtserkennung gespeichert zu haben. Laut der Pressesprecherin von Youtube war dieses Geständnis der Auslöser für die Abmahnung.
Neben Google haben bereits weitere Unternehmen wie z.B. Twitter und Facebook von Clearview die Löschung der Bilder gefordert. Es bleibt abzuwarten wie ein mögliches Gerichtsverfahren in diesem Fall ausgehen würde.
21. Januar 2020
Nach Recherchen der New York Times hat das US-Unternehmen Clearview mehrere Milliarden Fotos von Nutzern aus sozialen Netzwerken wie Facebook, YouTube und Instagram gesammelt. Damit hat das Unternehmen die bisher größte bekannte Gesichtsdatenbank aufgebaut.
Clearview verkauft die Datenbank in Form einer App an seine Kunde. Mit Hilfe der App sollen Millionen Menschen innerhalb von Sekunden erkannt werden können.
Die App wurde im letzten Jahr bereits von 600 Behörden genutzt. Dabei machen insbesondere Strafverfolgungsbehörden von der privaten Datenbank Gebrauch. Die Behörden seien, auch wenn sie nicht genau wüssten wie Clearview arbeite, von den Ergebnissen überzeugt. Unter den Kunden sollen sich auch private Sicherheitsunternehmen befinden.
Der Bericht zeigt zudem die Gefahren der massenhaften Datensammlung des Unternehmens im Hinblick auf den Schutz der Privatsphäre des Einzelnen auf.
So offenbart die App nicht nur den Namen einer Person, sondern liefert auch weitere persönliche Daten über den Wohnort, die Aktivitäten sowie Freunde und Bekannte.
Darüber hinaus ist die Fehleranfälligkeit der Gesichtserkennungssoftwares allgemein bekannt. Es besteht daher durchaus die Möglichkeit, dass eine falsche Person durch die Clearview Datenbank identifiziert wird und im Zweifel ins Visier der Strafverfolgungsbehörden gerät.
Weiterhin ist auch nicht bekannt, wie Clearview die Fotos, die US-Behörden zwecks Gesichtserkennung auf die Server des Unternehmens laden, im datenschutzrechtlichen Sinne schützt. Die Firma Clearview war vor den Recherchen der New York Times praktisch unbekannt und gibt sich Mühe im Hintergrund zu bleiben.
