Kategorie: Social Media
23. Mai 2023
Meta, der Mutterkonzern von Facebook, hat erneut eine Rekordstrafe in Höhe von 1,2 Milliarden Euro aufgrund eines Verstoßes gegen die europäische Datenschutzgrundverordnung (DSGVO) erhalten. Die irische Datenschutzbehörde DPC verkündete diese Strafe in Dublin. Das Verfahren betrifft die Beteiligung von Facebook an der Massenüberwachung durch angloamerikanische Geheimdienste, die vor zehn Jahren von Edward Snowden, einem US-Whistleblower, aufgedeckt wurde. Max Schrems, ein Datenschutz-Aktivist aus Österreich, reichte damals eine Beschwerde gegen Facebook ein.
Verfahren kann sich in die Länge ziehen
Das von der DPC verhängte Bußgeld übertrifft die bisherige Rekordstrafe von 746 Millionen Euro, die gegen Amazon.com in Luxemburg verhängt wurde. Zudem ist Meta nun dazu verpflichtet, jede weitere Übermittlung europäischer personenbezogener Daten in die Vereinigten Staaten zu unterbinden, da das Unternehmen weiterhin den US-Überwachungsgesetzen unterliegt.
Meta hat bisher keine Stellungnahme zu der Rekordstrafe abgegeben. Experten gehen jedoch davon aus, dass der US-Konzern gegen die Entscheidung rechtliche Schritte einlegen wird. Die Gerichtsverfahren können sich jedoch über einen längeren Zeitraum erstrecken. In der Zwischenzeit könnte ein neuer Datenpakt zwischen der Europäischen Union und den USA in Kraft treten, um den transatlantischen Datenverkehr neu zu regeln. Meta hatte zuvor mehrfach damit gedroht, sich vollständig aus der EU zurückzuziehen, falls ein dauerhafter transatlantischer Datentransfer nicht möglich sein sollte.
Irische Datenschutzbehörde ging nicht gegen Meta vor
Schrems betonte, dass das verhängte Bußgeld deutlich höher hätte ausfallen können: “Die Höchststrafe liegt bei über vier Milliarden Euro. Und Meta hat über einen Zeitraum von zehn Jahren wissentlich gegen die DSGVO verstoßen, um Gewinne zu erzielen.” Schrems erklärte weiter, dass Meta nun wahrscheinlich seine Systeme grundlegend umstrukturieren müsse, wenn sich die US-Überwachungsgesetze nicht ändern.
Die irische Datenschutzbehörde DPC hatte sich jahrelang geweigert, gegen Facebook in dieser Angelegenheit vorzugehen. Schließlich wurde die DPC durch den Europäischen Datenschutzausschuss (EDSA) dazu verpflichtet, eine Strafe gegen das soziale Netzwerk zu verhängen. Der aktuelle Beschluss betrifft ausschließlich Facebook und nicht andere Dienste wie Instagram oder WhatsApp, die zum Meta-Konzern gehören. Bereits im Januar hatte die DPC Meta jedoch zu einer Strafe in Höhe von 390 Millionen Euro verurteilt, weil Facebook- und Instagram-Nutzer gezwungen wurden, personalisierter Werbung zuzustimmen.
Seit Inkrafttreten der Datenschutzgrundverordnung vor fünf Jahren wurden für Meta insgesamt Bußgelder in Höhe von vier Milliarden Euro verhängt. Meta ist nun sechsmal in der Liste der zehn höchsten Bußgelder vertreten, was zu einer Gesamtstrafe von 2,5 Milliarden Euro führt.
Übrigens: Das höchste Bußgeld in Deutschland betrug 35 Millionen Euro und wurde im Jahr 2020 von der Modekette H&M wegen einer unzureichenden Rechtsgrundlage für die Datenverarbeitung in ihrem Onlineshop gezahlt.
15. März 2023
TikTok: eine harmlose Plattform für Jugendliche zum Teilen unterhaltsamer Videos mit dem Wunsch viral zu gehen oder eher eine Gefährdung für Regierungen und Gesellschaften? Zwei Standpunkte, die nicht weiter entfernt voneinander sein könnten. Eine Plattform mit mehr als einer Milliarden Nutzer*innen weltweit sorgt bei mehreren Anlaufstellen für Bauchschmerzen. Darunter ist die EU-Kommission sowie das Federal Bureau of Investigation (FBI). Selbst der ehemalige Präsident der Vereinigten Staaten, Donald Trump, wollte den Dienst vollends verbieten.
Über TikTok
Mit mehr als einer Milliarde Nutzer*innen ist die Plattform im Weltweiten Ranking lediglich auf Platz vier. Zur Veranschaulichung der Nutzerzahlen ist Meta (ehemalig Facebook) mit 2,9 Milliarden Nutzer*innen auf dem ersten Platz. Hinter dem Dienst steht das chinesische Unternehmen ByteDance. Zu den Problemfeldern zählt insbesondere der nach westlichen Standards mangelnde Daten- und Jugendschutz, eine umfangreiche politische Zensur, die Verbreitung von Fake News, Werbung für Fake-Markenartikel, betrügerische Inhalte bis hin zu möglicher Spionage des chinesischen Staates durch die Auswertung von Nutzerprofilen. Verantwortliche Sprecher*innen des Dienstes streiten nach autokratischem Muster alle Anschuldigungen immer wieder konstant ab.
Datenschutzrechtliche Bedenken
Mit einer Social-Media-App wie TikTok wird europaweit ein kaum vorstellbares Maß an personenbezogenen Daten generiert. Fraglich ist an dieser Stelle natürlich, wie mit diesen Daten verfahren wird und wer am Ende wirklich Zugriff auf diese haben könnte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert Bedenken gegenüber TikTok eher zurückhaltend. So erklärt das BSI, dass sich mit dem Aufstieg des Dienstes auch immer wieder warnende Stimmen zu Wort melden, die einen Abfluss der Benutzerdaten nach China befürchteten. China, ein Land ohne Angemessenheitsbeschluss.
Bringt der Digital Services Act die Lösung?
Das neue EU-Gesetz ermöglicht ggf. ein Verbot. EU-Kommissar Thierry Breton äußerte sich folgendermaßen dazu: „Wir werden nicht zögern, alle möglichen Sanktionen zu beschließen, wenn Prüfungen nicht die volle Einhaltung erkennen lassen“. Der Digital Services Act (DSA) wird ab dem 1. September dieses Jahres für große Plattformen anwendbar sein. Es bleibt abzuwarten, wie scharf das Schwert des DSA sein wird. Eine drastische Anpassung der internationalen Tech-Giganten an europäische Standards würde wohl von mehreren Stellen begrüßt werden.
23. Februar 2023
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber veröffentlichte eine Pressemitteilung, der zufolge er der Bundesregierung den Betrieb ihrer Facebookseite untersagt habe. Für die Abschaltung der Facebookseite habe das zuständige Bundespresseamt (BPA) vier Wochen Zeit.
Fehlende Rechtsgrundlage und Cookies
Der Auslöser für die Untersagung sei, neben verschiedener datenschutzrechtlicher Bedenken, ein Gutachten einer Taskforce, die die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) eingesetzt habe. In ihrem Gutachten habe sich die Taskforce mit dem Betrieb von sog. Facebook-Fanpages auseinandergesetzt (wir berichteten). Im Ergebnis habe die Taskforce festgestellt, dass keine wirksame Rechtsgrundlage zum Betrieb einer Facebook-Fanpage bestehe und dass der Betreiber der Seite seinen Informationspflichten nach Art. 12 ff. DSGVO nicht nachkommen könne.
Dementsprechend betonte der BfDI zunächst, dass bei der Erstellung einer Facebookseite eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bestehe. Der Betreiber einer Fanpage und das Facebook-Mutterunternehmen Meta haben im Hinblick auf die Facebook-Fanpage sich ergänzende Interessen.
Aus der gemeinsamen Verantwortlichkeit folge für das BPA die Pflicht, den datenschutzkonformen Betrieb nachzuweisen. In einem zuvor erfolgten Verfahren sei es dem BPA allerdings nicht gelungen, den BfDI von der Datenschutzkonformität der Facebook-Fanpage zu überzeugen.
Konkret kritisierte der BfDI, dass es an einer für die Datenverarbeitung erforderlichen Rechtsgrundlage fehle. Auch die von der DSK eingesetzte Taskforce habe diesen Umstand in ihrem Gutachten vergangen Jahres bemängelt.
Zusätzliche monierte der BfDI den Einsatz von Cookies auf der Facebookseite. Den Einsatz von Cookies regele das TTDSG. Nach § 25 Abs. 1 TTDSG sei für die Speicherung von Informationen in der Einrichtung des Nutzer oder das Auslesen dieser Informationen, d.h. für den Einsatz von Cookies eine Einwilligung erforderlich. Einer solchen Einwilligung bedürfe es unter anderem nicht, wenn die Speicherung oder das Auslesen von Informationen nach § 25 Abs. 2 Nr. 2 TTDSG „unbedingt erforderlich“ sei. Aus Sicht des BfDI sei im Falle der Facebookseite allerdings problematisch, dass Meta nicht unbedingt erforderlich Cookies einsetzte. Für diese Verwendung werde indes keine, mangels Ausnahme erforderliche Einwilligung eingeholt.
Fazit
Die im Ergebnis bestehenden Bedenken der Datenschutzkonformität führen folglich zur Pflicht des BPA, die Facebookseite der Bundesregierung abzuschalten. Gegen die Entscheidung des BfDI könne das BPA Klage erheben.
Bereits vor einem Jahr hatte die DSK, im Zusammenhang mit dem veröffentlichten Gutachten öffentliche Stellen zur Überprüfung und zur eventuell erforderlichen Abschaltung ihrer Facebookseiten aufgerufen. Ob mit der Entscheidung des BfDI die Datenschutzkonformität von Facebookseiten privater Unternehmen vermehrt Aufmerksam erhalten wird, bleibt abzuwarten.
19. Januar 2023
Die französische Datenschutzbehörde „Commission nationale de l‘informatique et des libertés“ (CNIL) veröffentliche vergangene Woche eine Pressemitteilung, derzufolge sie ein Bußgeld gegen die Social-Media Plattform TikTok in Höhe von 5 Millionen Euro verhängt habe. Der Grund für das hohe Bußgeld sei der rechtswidrige Umgang mit Cookies gewesen.
Schlechter Banner, schlechte Informationen
Die CNIL monierte, dass die Nutzer der Webseite „tiktok.com“ Cookies nicht so leicht ablehnen wie akzeptieren können. Zusätzlich informiere TikTok die Nutzer nur unzureichend über die verschiedenen Cookies, die das Unternehmen auf der Webseite einsetze.
Die französische Behörde gab bekannt, dass sie zwischen Mai 2020 und Juni 2022 die TikTok-Webseite auf ihre Cookie-Konformität hin untersucht habe. Demnach sei Gegenstand der Untersuchung die von TikTok UK und TikTok Ireland betriebene Webseite gewesen. Die Behörde habe die Webseite als nicht registrierter Nutzer besucht.
Konkret sei der CNIL aufgefallen, dass das eingesetzte Banner lediglich einen „Akzeptieren“-Button beinhaltet habe. Das Ablehnen der Cookies sei hingegen nur durch die Betätigung mehrerer Schaltflächen möglich gewesen. Dabei sei es problematisch, dass die Nutzer aufgrund des komplizierten Abwahl-Mechanismus Cookies rasch akzeptierten. Außerdem habe das Unternehmen weder auf dem Banner noch auf der per Link aufrufbaren Unterseite ausreichende Informationen für die Nutzer zur Verfügung gestellt.
Verstoß gegen Art. 82 Datenschutzgesetz
Im Ergebnis habe CNIL einen Verstoß gegen Art. 82 des französischen Datenschutzgesetz festgestellt.
Das Datenschutzgesetz ist ein nationales Regelungswerk, dass die Öffnungsklauseln der Datenschutz-Grundverordnung (DSGVO) umsetzt. Art. 82 des Datenschutzgesetzes legt Regelungen zur Speicherung und zum Auslesen bereits gespeicherter Informationen im Endgerät des Nutzers fest. Dabei ist eine vorherige Information über das Auslesen und Speichern erforderlich. Zusätzlich bedarf es für beide Vorgehensweisen eine Einwilligung.
Die Norm ähnelt der deutschen Regelung des § 25 TTDSG. Diese findet in Deutschland neben der DSGVO für die Gestaltung von Cookie-Bannern und ihrem Einsatz Anwendung.
5. Januar 2023
Nur kurze Zeit nach dem letzten Millionenbußgeld hat die irische Datenschutzbehörde Data Protection Commission (DPC) erneut gegen den Meta-Konzern Sanktionen verhängt. Der Gesamtbetrag von 390 Millionen Euro setzt sich aus Bußgeldern gegen Facebook (210 Millionen Euro) und Instagram (180 Millionen Euro) zusammen.
Rechtsgrundlage Vertrag statt Einwilligung?
Anstoß für die Untersuchung der DPC gaben die Beschwerden eines Österreichers und eines Belgiers am 25. Mai 2018, dem Tag des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO). Nach einer Änderung der Nutzungsbedingungen sollten die personenbezogenen Nutzerdaten nicht mehr auf Basis einer Einwilligung, sondern auf vertraglicher Basis verarbeitet werden. Dazu zählte auch die Nutzung für personalisierte Werbung.
Meta argumentierte, dass mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag mit dem Nutzer zustande gekommen sei. Die Verarbeitung der Nutzerdaten im Zusammenhang mit der Bereitstellung ihrer Facebook- und Instagram-Dienste sei für die Erfüllung dieses Vertrags, einschließlich der Bereitstellung personalisierter Dienste und verhaltensorientierter Werbung, erforderlich, sodass diese Verarbeitungen gemäß Artikel 6 Abs. 1 lit. b DSGVO (die „vertragliche“ Rechtsgrundlage für die Verarbeitung) rechtmäßig gewesen seien.
Dagegen vertraten die Beschwerdeführer die Meinung, dass Meta sich weiterhin auf die Einwilligung als Rechtsgrundlage berufe. Indem Meta den Zugang zu seinen Diensten von der Zustimmung der Nutzer zu den aktualisierten Nutzungsbedingungen abhängig mache, zwinge es sie faktisch dazu, der Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbung und andere personalisierte Dienste zuzustimmen.
Jahrelange Entscheidungsfindung
In einem Beschlussentwurf vom Oktober 2021 hatte die DPC eine Geldbuße zwischen 28 und 36 Millionen Euro für angemessen erachtet. Meta habe demnach gegen seine Transparenzpflichten verstoßen, indem Nutzer nicht ausreichend über die Verarbeitungsprozesse informiert worden seien. Metas Vorgehen hinsichtlich der Rechtsgrundlage sei jedoch zulässig gewesen.
Die im Rahmen des Kooperations- und Kohärenzverfahrens beteiligten Datenschutzbehörden waren mit der Entscheidung der DPC nicht einverstanden, sodass schließlich der Europäische Datenschutzausschuss (EDSA) beteiligt wurde. Dieser widersprach der Rechtsauffassung der DPC. Er befand, dass Meta im Rahmen der personalisierten und verhaltensbezogenen Werbung nicht auf einen Vertrag als Rechtsgrundlage zurückgreifen könne.
Laut der Datenschutzorganisation noyb habe die DPC während des Verfahrens mit Meta eng zusammengearbeitet. Meta habe sogar argumentiert, dass die DPC das Vorgehen abgesegnet habe.
Wie geht es nun weiter?
Neben dem Bußgeld hat die DPC Meta dazu verpflichtet, innerhalb von drei Monaten nachzuweisen, dass die Verarbeitungstätigkeiten entsprechend der Vorgaben angepasst wurden. Wie diese Umsetzung aussehen soll, ist noch unklar. Voraussichtlich wird Meta gerichtlich dagegen vorgehen.
Darüber hinaus hat die DPC angekündigt, gegen den EDSA zu klagen. Dieser hatte ihr aufgetragen, eine weitere Untersuchung gegen Facebook und Instagram hinsichtlich der Verarbeitung besonderer Kategorien personenbezogener Daten einzuleiten. Der EDSB habe keine allgemeine Aufsichtsfunktion, die mit der der nationalen Gerichte in Bezug auf nationale unabhängige Behörden vergleichbar sei. Es stehe dem EDSB nicht frei, eine Behörde anzuweisen, unbefristete und spekulative Untersuchungen durchzuführen.
27. Dezember 2022
Die irische Datenschutzbehörde Data Protection Commissioner (DPC) hat nach eigenen Angaben Untersuchungen gegen Twitter eingeleitet. Hintergrund ist ein Datenleck des Social Media-Konzerns, bei dem mehrere gesammelte Datensätze mit personenbezogenen Daten von Twitter-Nutzern im Internet zur Verfügung gestellt worden waren. Es sollen dabei weltweit ca. 5,4 Millionen Nutzer betroffen gewesen sein.
Twitter-IDs, E-Mail-Adressen und Telefonnummern betroffen
Das Datenleck war im Januar 2022 bekannt und dann innerhalb von fünf Tagen von Twitter geschlossen worden. In den Datensätzen sollen Twitter-IDs, E-Mail-Adressen sowie Telefonnummern den betroffenen Personen zugeordnet worden sein. Diese Datensätze wurden in Hacking-Plattformen zum Kauf angeboten.
Womöglich ist die Zahl an Betroffenen sogar noch größer als geschätzt. Laut dem israelischen Sicherheitsforscher Alon Gral sollen sogar Daten von 400 Millionen Twitter-Konten aus einem Datenleck – möglicherweise aus demselben Leck – Elon Musk direkt zum Kauf angeboten worden sein. Daraus angebotene Probedatensätze enthielten die Daten prominenter Personen.
Austausch zwischen DPC und Twitter
Auch wenn Twitter die genauen Zahlen der Betroffenen nicht bestätigt hat, hat das Unternehmen den Vorfall der DPC gemeldet, welche die für Twitter zuständige Datenschutzbehörde ist. In der nachfolgenden Korrespondenz ergab sich für die DPC der Eindruck, dass eine oder mehrere Bestimmungen der Datenschutzgrundverordnung (DSGVO) verletzt worden sein könnten. Bereits im November hatte die Vorsitzende der DPC, Helen Dixon, im Interview mit POLITICO Bedenken hinsichtlich Twitters Datenschutzpraxis ausgedrückt.
DPC als Aufsichtsbehörde der Tech-Giganten
Die DPC ist neben Twitter auch für Tech-Giganten wie Google und Facebook zuständig. Diese haben ihre Niederlassungen in Irland und unterfallen damit regelmäßig dem Zuständigkeitsbereich der irischen Datenschutzaufsicht. Aus diesem Grund hat die DPC Twitter 2021 eine Geldbuße von 450.000 Euro auferlegt. Zuletzt war eine massive Geldbuße gegen Meta erfolgt.
Wenn sich der Vorwurf im Untersuchungsverfahren bestätigt, ist angesichts der hohen Sanktionsmöglichkeiten seitens der DPC erneut ein empfindliches Bußgeld zu erwarten. Die DSGVO ermöglicht in Art. 83 Sanktionen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
19. Dezember 2022
In letzter Zeit haben Chatkontrollen immer mehr an Bedeutung gewonnen. Dabei handelt es sich um Maßnahmen, die dazu dienen, die Kommunikation in Online-Chats zu überwachen und gegebenenfalls zu beschränken. Diese Kontrollen werden oft von Unternehmen und Regierungen eingesetzt, um die Sicherheit und Integrität von Online-Communities zu gewährleisten.
Allerdings gibt es auch Bedenken hinsichtlich der Implikationen von Chatkontrollen. Kritiker argumentieren, dass solche Maßnahmen die Meinungsfreiheit einschränken und dazu führen können, dass wichtige Diskussionen und Debatten unterdrückt werden. Es besteht die Gefahr, dass Chatkontrollen zu Unrecht angewendet werden und somit zu falschen Entscheidungen führen.
Der Entwurf der EU-Kommission zur Neuregelung der „Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“, auch bekannt als CSA-Verordnung steht massiv unter Druck.
Der Grund: Der Entwurf zur neuen CSA-Verordnung macht keine genauen Vorgaben dazu, mit welchen konkreten Technologien die geplanten Maßnahmen umgesetzt werden sollen. Dafür sollen die Plattform-Betreiber verantwortlich sein. Gleichzeitig wird solchen Tech-Konzernen das Recht eingeräumt, hochgradig grundrechtseinschränkende Technologien zu entwickeln und zu verwenden. Um aber das Ziel der neuen CSA-Verordnung zu erreichen, also die Erstellung und die Verbreitung von Kindesmissbrauchsdarstellungen aktiv zu bekämpfen, sollen bestehende und erfolgreiche Strukturen des Kinderschutzes und deren Ausbau gefördert werden.
Ist Tech-Solutionismus die Lösung?
Der Tech‑Solutionismus besagt, dass Probleme durch neue Technologien gelöst werden können. Zugleich hat die Einführung komplexer neuer technischer Systeme meist die Entstehung von neuen Problemen zur Folge. Insbesondere die im Entwurf genannten algorithmischen Entscheidungssysteme sind nicht näher spezifiziert. Die tatsächliche Erkennung, so sieht es der Bericht vor, bleibt „technologieneutral“.
Zudem ist das automatisierte Melden von Inhalten ein viel komplexeres Problem, was sich an andere Anwendungsfälle bereits heute schon zeigen lässt. Die Algorithmen schlagen ohne inhaltliche Grundlage überdurchschnittlich häufig bei der Kommunikation unterrepräsentierter Gruppen an. Damit setzt so ein Entscheidungssystem die gesellschaftliche Diskriminierung fort, wobei aufgrund ihrer scheinbaren Objektivität die Entscheidung weniger angreifbar macht. Technische Lösungen können wohl nur so neutral sein, wie die Gruppe, die sie schafft, und die Daten, auf denen sie basiert.
Verschlüsselte Kommunikation aufbrechen
Die CSA-Verordnung sieht vor, digitale Kommunikationswege, wie Messenger, Chats auf Spieleplattformen, in Lern-Apps oder Ähnlichem, zu überprüfen. Genauso sollen Anwendungen, die die Kommunikation zwischen den Gesprächsteilnehmenden verschlüsseln, überwacht werden. Damit ist eine wirklich Ende-zu-Ende-verschlüsselte Kommunikation nicht mehr möglich. Eine ständige und dauerhafte Prüfung widerspricht aber dem Prinzip der Verschlüsselung: Entweder funktioniert sie und ist daher von keiner Instanz aufgebrochen werden oder sie ist kaputt.
Das “Datenschutzgrundrecht”
Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme schützt unsere persönlichen Daten und unsere privaten Kommunikationen, die digital gespeichert oder verarbeitet werden. Bei präventiven Eingriffen in diesen Schutzbereich sind insbesondere dem Staat hohe Hürden gesetzt: Solche Eingriffe sind immer nur anlassbezogen zulässig. Der Entwurf der CSA führt aber dazu, dass solche geschützten Bereiche aufgrund kontinuierlicher maschineller und menschlicher Überwachung nicht mehr existieren können. Insbesondere Journalisten, Whistleblower und Anwälten sind besonders auf intakte Verschlüsselung ihrer Kommunikation angewiesen. Die Überwachung durch Chatkontrollen würden ihre Arbeit nahezu aushebeln.
8. Dezember 2022
Wie der Generalstaatsanwalt des US-Bundesstaats Indiana, Todd Rokita, am 7. Dezember 2022 bekannt gab, muss sich die chinesische Videoplattform TikTok in zwei Klageverfahren wegen seiner undurchsichtigen Datenverarbeitungspraktiken verantworten. Rokita bezeichnete die Plattform als „Trojanisches Pferd“, welches insbesondere bei Kindern und Jugendlichen großen Schaden anrichte.
Unangemessene Inhalte träfen auf Spionage
Die beiden Klagen des US-Bundesstaats thematisieren einen mangelnden Jugendschutz einerseits und andererseits mangelnden Datenschutz, der eine Spionage US-amerikanischer Nutzerinnen und Nutzer durch die chinesische Regierung ermögliche.
Obwohl die App im App-Store ab 12 Jahren freigegeben sei, würden Kinder und Jugendliche auf TikTok häufig mit unangemessenen Inhalten konfrontiert. So zeige TikTok diesen beispielsweise sexuelle und gewalttätige Inhalte sowie Alkohol- und Drogenmissbrauch. Dabei erlaube TikTok diese Inhalte nicht bloß, sondern schlage sie sogar gezielt vor. Mithilfe der Algorithmen sollten demnach junge Menschen von der App abhängig gemacht werden.
Hinsichtlich des Datenschutzes bemängelt Rokita insbesondere die Verbindungen TikToks zu China. Die chinesische Regierung habe einen erheblichen Einfluss auf die App, auch wenn TikTok dies abstreite. Problematisch sei hier unter anderem, dass die Daten von US-amerikanischen Nutzerinnen und Nutzern auf chinesischen Servern gespeichert würden, obwohl TikTok Verbindungen zu China in seinen Datenschutzbestimmungen im US-Markt unterschlage. Dabei seien diese Informationen in den EU-Datenschutzbestimmungen bereits enthalten. Entgegen TikToks Aussagen bestünde kein ausreichender Schutz vor Spionage seitens China. Insbesondere habe die chinesische Regierung bereits zuvor Interesse an der Datensammlung von TikTok gezeigt.
Erste Klage dieser Art – aber kein neuer Vorwurf
Die Vorwürfe gegen TikTok sind nicht neu. Zwar ist Indiana der erste Bundesstaat, der auf dem Klageweg gegen die App vorgeht. Doch schon 2020 hatte der damalige US-Präsident Donald Trump mit einem Verbot gedroht, woraufhin China mit einem Verkaufsstopp für Software-Algorithmen gekontert hatte. US-Präsident Joe Biden hatte den Verbotsversuch gestoppt. Zuletzt verboten die Gouverneure der US-Bundesstaaten Texas, Maryland, North Dakota und South Dakota sowie verschiedene Bundesministerien TikTok auf Dienstgeräten von Behördenangestellten. Auch der FBI-Chef Christopher Wray hatte Sicherheitsbedenken geäußert.
29. November 2022
Die irische Datenschutzbehörde Data Protection Commission (DPC) verhängte infolge der unrechtmäßigen Veröffentlichung personenbezogener Daten ein Bußgeld in Höhe von 265 Millionen Euro gegen den Meta-Konzern.
Untersuchungsverfahren
Nachdem im April 2021 personenbezogene Daten von bis zu 533 Millionen Facebook- und Instagram-Nutzern aus über 100 Ländern online verfügbar waren, hatte die DPC Untersuchungen eingeleitet. Im Rahmen des Untersuchungsverfahrens arbeitete sie mit den anderen europäischen Datenschutzbehörden zusammen und prüfte die Tools Facebook Search, Facebook Messenger Contact Importer und Instagram Contact Importer. Mithilfe dieser Tools können Nutzer die im Smartphone gespeicherten Kontakte in die Instagram- oder Facebook-App importieren, um so Freunde oder Bekannte zu finden.
Mangelnde technische und organisatorische Maßnahmen zum Schutz der Daten
Im Rahmen ihrer Untersuchung beschäftigte sich die DPC mit den sogenannten technischen und organisatorischen Maßnahmen nach Artikel 25 DSGVO. Mit solchen Maßnahmen müssen nach dem Datenschutzrecht Verantwortliche sicherstellen, dass sie die Rechte der betroffenen Personen umfangreich schützen. Darunter fallen beispielsweise Pseudonymisierung und Verschlüsselung personenbezogener Daten, aber auch physische Schutzmaßnahmen oder das Bestehen zuverlässiger Backups.
Metas technische und organisatorische Maßnahmen sah die DPC nicht als ausreichend an. Daher sprach sie neben dem genannten Bußgeld von 265 Millionen Euro eine Verwarnung sowie die Anordnung aus, innerhalb einer Frist die Verarbeitungsvorgänge in Einklang mit dem Datenschutzrecht zu bringen und hierzu eine Reihe von bestimmten Abhilfemaßnahmen zu treffen.
Nicht das erste Bußgeld für Meta
Meta ist inzwischen vertraut mit Bußgeldern der europäischen Datenschutzbehörden. Insgesamt wurden dem Konzern schon fast eine Milliarde Euro an Geldbußen auferlegt, zuletzt im September in Höhe von 405 Millionen Euro wegen schwerer Datenschutzverstöße bei minderjährigen Instagram-Nutzern. Grund für die beachtliche Höhe der einzelnen Sanktionen ist Artikel 83 DSGVO, wonach Bußgelder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens betragen können. Gegen die bisherigen Entscheidungen hat Meta jeweils Berufung eingelegt, daher ist auch in diesem Fall davon auszugehen, dass Meta das Bußgeld nicht ohne gerichtliche Überprüfung akzeptieren wird.
11. November 2022
Mit Beschluss vom 10.11.2022 (Az. I ZR 186/17) hat der Bundesgerichtshof (BGH) entschieden, dem Europäischen Gerichtshof (EuGH) die Frage zur Vorabentscheidung vorzulegen, ob eine Rechtsverletzung „infolge einer Verarbeitung“ im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien.
Sachverhalt
In dem Verfahren, das durch den BGH nun bis zur Entscheidung des EuGHs über die Vorlagefrage ausgesetzt wurde, geht es um eine Auseinandersetzung zwischen der Meta Platform Ireland Limited (Meta) und dem Dachverband der Verbraucherzentralen der Bundesländer (VZBV). Meta betreibt das soziale Netzwerk „Facebook“. Dieses hat in seinem Netzwerk im Jahr 2012 ein sog. „App-Zentrum“ installiert, über welches Nutzer Online-Spiele anderer Anbieter spielen können. In diesem Rahmen wurde auch auf die erfolgende Datenverarbeitung hingewiesen und eine Einwilligung der Nutzer eingeholt. Unter dem Button „Sofort spielen“ waren folgende Hinweise zu lesen: „Durch das Anklicken von Spiel spielen (oben) erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“ Bei einem Spiel endeten die Hinweise mit dem Satz: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“ Die Einwilligung beurteilte der Verbraucherschutzverband als nicht datenschutzkonform und machte wegen des Vergehens wettbewerbsrechtliche Unterlassungsansprüche gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG geltend. Auch sei der abschließende Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung (AGB).
Unterlassungsansprüche und Betroffenheit für den BGH problematisch
Das Verfahren beschäftige sich mit der grundsätzlichen Frage, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Informationspflicht, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründen kann. Des Weiteren stelle sich die Frage, ob Verbraucherschützer auch ohne einen Auftrag konkret Betroffener vor Gericht ziehen dürften. Der BGH zieht in dieser Sache nun zum zweiten Mal den EuGH zurate.
Erste Vorlage an den EuGH (wir berichteten)
Mit Beschluss vom 28.05.2020 (Az. I ZR 186/17) hatte der BGH ursprünglich entschieden, dem EuGH die Frage zur Vorabentscheidung vorzulegen, ob unter Anderem Verbraucherschutzverbände berechtigt seien, Datenschutzverstöße gerichtlich geltend machen zu können. Der EuGH hatte dann entschieden, dass Verbraucherzentralen auch ohne Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen klagen können.
Neue Entscheidung für BGH „unerwartet“
Der BGH vertrete die Ansicht, dass Verbraucherschutzverbände nicht automatisch klagebefugt seien. Man wolle konkret wissen, ob in dem Fall aus Sicht des EuGHs die Voraussetzung erfüllt sei, dass die Rechte einer betroffenen Person gemäß der DSGVO „infolge einer Verarbeitung“ verletzt worden seien. Es sei fraglich, ob diese Voraussetzung erfüllt sei, wenn – wie im Streitfall – die sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Informationspflichten verletzt worden seien. Die Entscheidung sei wichtig für eine Fülle anhängiger Verfahren.
„Angesichts der massenhaften Datenschutzverstöße auf den großen Digitalplattformen sei es enttäuschend, dass sich dieses schon sehr lange laufende Grundsatzverfahren wieder verzögere“, so der Leiter des Teams Rechtsdurchsetzung beim VZBV, Heiko Dünkel.
Meta gab bisher noch kein offizielles Statement zu der erneuten Vorlage ab. Der Anwalt des Konzerns, Christian Rohnke, hatte bei der Verhandlung am BGH jedoch betont, dass Facebook das fragliche Vorgehen inzwischen geändert habe.
Pages: 1 2 3 4 5 6 7 ... 26 27