Kategorie: Tracking

Digitalcourage e.V.: Vorbereitung für Klage gegen „DB-Navigator“-App

21. Juli 2022

Der gemeinnützige Verein Digitalcourage hat diese Woche bekannt gegeben, dass er beabsichtigt eine Klage gegen die Deutschen Bahn einzureichen. Konkret will Digitalcourage gegen die „DB Navigator“-App vorgehen. Begründet hat der Verein sein Vorhaben damit, dass durch die App ein umfangreiches und nicht datenschutzkonformes Tracking stattfinde.

Funktionsweise der App

Die „DB Navigator“-App bietet Reisenden der Deutschen Bahn eine Vielzahl von Anwendungen. Der Nutzer kann über die App beispielsweise Zugverbindung suchen, sich Echtzeit-Verspätungen anzeigen lassen, Zugtickets kaufen und diese im Anschluss in der App hinterlegen.

Die Kritik

Digitalcourage e.V. kritisiert an der „DB Navigator“-App die Cookie-Einstellungen. Der Nutzer der App könne zunächst zwischen den Einstellungen „Alle Cookies zulassen“, „Cookie-Einstellung öffnen“ und „Nur erforderliche Cookies zulassen“ wählen. Hierbei ist die vermeintlich datenschutzfreundlichste Wahlmöglichkeit die Letzte. Wenn der Nutzer nur technisch notwendige Cookies auswählt, soll die App nur diejenigen Cookies anwenden, die für ihr ordnungsgemäßes Funktionieren erforderlich sind.

Wählt der Nutzer die letzte Option („Nur erforderliche Cookies zulassen“), so sei diese Wahl laut Digitalcourage aus datenschutzrechtlicher Sicht problematisch, da ein umfangreiches Tracking stattfinde. Wenn der Nutzer nur technisch notwendige Cookies auswähle, wende die App verschiedene Funktionen von rund zehn Unternehmen an. Bei Anwendung der durch die Unternehmen zur Verfügung gestellten Dienstleistungen, können beispielsweise Nutzungsstatistiken erstellt oder dem Nutzer personalisierte Angebote anzeigt werden. Die Folge sei, dass die App personenbezogene Daten ihrer Nutzer an diese Unternehmen übermittle. Zu den übermittelten personenbezogenen Daten zählen beispielsweise die Anzahl der Reisenden, der Beginn der Reise, der Start- und Zielbahnhof.

Indem die Deutsche Bahn die eingesetzten Cookies zu solchen Cookies erkläre, die technisch notwendig seien, könne der Nutzer dieser Übermittlung nicht widersprechen. Außerdem sei für den Nutzer nicht ersichtlich, wann und in welchem Umfang die App seine personenbezogenen Daten übermittle. Hinzukäme, dass der Reisende gezwungen sei die App zu nutzen, da einige Dienstleistungen nur über die App erbracht werden. Beispielsweise könne ein Reisender nach Fahrtantritt Tickets nicht mehr beim Schaffner, sondern nur noch über die App kaufen.

Die Debatte um Perioden-Tracker-Apps und einen möglichen Datenhandel – Teil 1 

14. Juli 2022

Nach dem historischen Urteil des US Surpreme Courts vom 24.06.2022, in dem das in den USA ca. 50 Jahre lang bestehende Recht auf Abtreibung gekippt wurde, sind Debatten über sogenannte „Perioden-Tracker-Apps“ in aller Munde. Befürchtet wird, dass die in diesen Apps gespeicherten Gesundheitsdaten direkt an staatliche Institutionen in den USA oder an Datenhändler gelangen könnten. Woraus diese Befürchtungen resultieren, werden wir im Folgenden in zwei Teilen beantworten. 

Im ersten Teil beschäftigen wir uns mit Perioden-Tracker-Apps und der Rechtslage in den USA und in Europa.

Welche Daten erheben solche Apps? 

Die Perioden-Tracker-Apps sind dazu gedacht, dass Menstruierende dort Informationen zu ihrem Zyklus speichern können. So kann u.a. angegeben werden, wann eine Blutung und der Eisprung stattfinden. Auch Daten wie Körpergröße, Gewicht, Temperatur und Sexualkontakte können dort gespeichert werden. Dies soll den Nutzerinnen einen besseren Überblick über ihren Zyklus verschaffen. Solche Apps können auch die fruchtbaren Tage anzeigen, sodass sie bei der Familienplanung hilfreich sein können. 

Welche datenschutzrechtlichen Bedenken gibt es? 

Aus den gespeicherten Daten kann sich u.a. ergeben, dass eine Schwangerschaft nicht länger besteht. Es wird befürchtet, dass diese Daten von Perioden-Tracker-Apps unzureichend vor der Weitergabe an Dritte oder sonstigen Zugriffen geschützt sind. In der Vergangenheit standen solche Apps schon häufiger in der Kritik, ihre Daten nicht ausreichend zu schützen. So hatte eine Perioden-Tracker-App in der Vergangenheit bereits intime Daten an Facebook und Google weitergegeben

Künftig könnten Frauen, die eine Abtreibung vornehmen lassen über die, in solchen Apps verarbeiteten Daten, identifiziert werden. Da Abtreibungen zukünftig in einigen Staaten der USA strafbar sein werden, könnte dies zu Repressalien gegenüber der betroffenen Frau führen. Aber auch Fehlgeburten oder schlicht falsche Daten könnten Frauen zukünftig in Erklärungsnot bringen. Konkret wird befürchtet, dass die Polizei oder behördliche Einrichtungen diese Daten anfordern.  

Wie ist die Rechtslage im Datenschutz? 

In Europa sichert die europäische Datenschutzgrundverordnung (DSGVO) ein bestimmtes Datenschutzniveau. So gibt es beispielsweise Betroffenenrechte, die u.a. ein Recht auf Löschung von Daten gewähren. Die USA haben bisher kein bundeseinheitliches Datenschutzgesetz, ein Entwurf liegt aber mittlerweile vor. Momentan gibt es nur einzelne Regeln für bestimmte Bereiche, z.B. für Verbraucher. Spezielle Datenschutzgesetze gibt es z.B. in den Staaten Kalifornien und Virginia. In Kalifornien gibt es den Privacy Act (CCPA), der Betroffenenrechte gewährt, die der DSGVO ähnlich sind. Die meisten Bundesstaaten aber haben keinen speziellen Datenschutz. Dementsprechend haben die meisten US-Amerikaner vergleichsweise wenig Rechte über ihre Daten. 

Der zweite Teil dieses Beitrags erscheint nächste Woche und thematisiert das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.

Gutachten zu Facebook- Fanpages: es gibt keine wirksame Rechtsgrundlage

7. April 2022

Während der 103. Sitzung der Datenschutzkonferenz (DSK) stellte eine eigens eingerichtete Taskforce ihr Gutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook– Fanpages vor. Die DSK hatte diese Taskforce anlässlich eines Urteils des EuGH vom 05. Juni 2018 (C-210/16 „Wirtschaftsakademie“) eingerichtet. Der EuGH hatte festgestellt, dass der Betreiber einer Fanpage auf Facebook und Facebook gemeinsam Verantwortliche iSd Art. 26 DSGVO sind. Ausreichend für die gemeinsame Verantwortlichkeit war es, dass der Betreiber der Fanpage Kriterien festlegen kann, nach denen Facebook eine anonymisierte Statistik erstellt und somit „(…) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist.“ (EuGH, Urteil v. 05.06.2018, C-210/16, Rn. 39)

Die Taskforce untersuchte in ihrem Gutachten, ob die Verwendung der sog. Insights durch die Betreiber von Fanpages vor dem Hintergrund der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO rechtmäßig ist. Insights sind von Facebook gesammelte Statistiken, mit denen das Nutzerverhalten auf Fanpages dokumentiert werden kann.

Es wurde festgestellt, dass Facebook keine ausreichenden Informationen zur Verfügung stelle, um bewerten zu können, ob die Datenverarbeitung im Zusammenhang mit Insights datenschutzkonform erfolge. Der Betreiber einer Fanpage müsse als gemeinsam mit Facebook Verantwortlicher eine für die Datenverarbeitung erforderliche Rechtsgrundlage nachweisen können.

Als Rechtsgrundlage komme weder die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO noch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht.  Aufgrund der unzureichenden Informationslage stünden den Betreibern nicht die Informationen zur Verfügung, derer es für eine wirksame Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bedarf. Aus dem gleichen Grund könne ebenfalls keine Interessenabwägung erfolgen, die für die Begründung eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erforderlich sei. Außerdem sei es den Betreibern einer Fanpage demnach auch nicht möglich ihren Informationspflichten nach Art. 13 DSGVO nachzukommen.

Reaktion auf das Kurzgutachten

Als Reaktion auf dieses Gutachten hat die DSK beschlossen, dass alle den Datenschutzbeauftragten des Bundes und der Länder unterstehende Bundes- und Landesbehörden ihre Facebook-Fanpages auf datenschutzrechtliche Konformität überprüfen und ggf. abstellen sollten. Aufgrund ihrer Vorbildfunktion sollten zunächst die Facebook – Fanpages öffentlicher Stellen kontrolliert werden. 

Daraufhin informierten u.a. die Datenschutzbeauftragten der Länder Bremen und Brandenburg die ihnen unterstehenden öffentlichen Behörden über die nun zu ergreifende Maßnahmen.


Großteil der EU-Onlineapotheken verstößt gegen die DSGVO

30. März 2022

Spätestens seit Einsetzen der Corona-Pandemie erfreuen sich Online-Apotheken immer größerer Beliebtheit. Nun hat eine Marktanalyse des Münchner Unternehmens „Usercentrics“ ergeben, dass 89 % der 150 beliebtesten Arzneimittelversender in der EU rechtswidrig Cookies einsetzen. Besonders brisant daran ist, dass gerade in diesem Geschäftsbereich sensible Gesundheitsdaten ohne Einwilligung der Betroffenen abgefragt werden.

Hintergrund

„Cookies“ sind Datensätze, die bei dem Besuch fast jeder Website gespeichert und oft an Dritte übermittelt werden. Wer eine Website betreibt und dabei Cookies verwendet, muss nach Art. 6 Abs. 1 lit. a, 7 DSGVO die Einwilligung der Besucher in die Verarbeitung ihrer personenbezogenen Daten einholen. Ausgenommen davon sind lediglich solche Cookies, die technisch notwendig sind, um den Besuch der Website zu ermöglichen. Die Einwilligung in Cookies erfolgt über Cookie-Banner, deren oft fehlerhafte Ausgestaltungen immer wieder Gegenstand von Busgeldverfahren sind (wir berichteten zuletzt hier).

Ergebnis der Marktanalyse

„Usercentrics“ ist genau auf diesem Gebiet tätig und entwickelt Software, mithilfe derer Einwilligungen in Cookies rechtskonform eingeholt werden sollen. Für das Unternehmen selbst hat sich die Marktanalyse als äußerst ergiebig erwiesen: Es besteht großer Nachholbedarf beim Cookie-Management.

So setzten 89% der gescannten Apotheken mindestens ein Cookie, ohne die hierzu erforderliche Einwilligung der Nutzer einzuholen. In Deutschland waren es sogar 100 % der untersuchten Anbieter.

62 % dieser rechtswidrig gesetzten Cookies waren solche, die Marketingzwecken von Drittanbietern dienten.

Außerdem aktivierten die Website-Betreiber 55 % der nicht notwendigen Cookies sofort beim Besuch der Website, ohne eine Einwilligung der Nutzer abzuwarten.

Missbrauch von Gesundheitsdaten

Im Einzelnen heißt das: Ein Großteil der Online-Apotheken speichert ohne die Einwilligung ihrer Besucher Datensätze, die Rückschlüsse auf die Gesundheit des Nutzers zulassen. Darunter sind personenbezogene Daten wie die IP-Adresse, die gesuchten Produkte, angesehene Produkte und Browserverlauf. Diese Daten können dazu genutzt werden, ein Profil des Kunden zu erstellen, um gezielt Produkte zu bewerben. Bei den Marketing-Unternehmen handelt es sich oft nicht über den Apothekenhändler selbst, sondern Drittanbieter. So werden sensible Daten über individuelle Krankheiten -völlig außer Kontrolle der Betroffenen- rechtswidrig erhoben, zweckentfremdet und weitergegeben.

Es bleibt zu hoffen, dass die Online-Arzneimittelhändler spätestens jetzt ihre Cookie-Banner überprüfen und aktualisieren, um Bußgelder zu vermeiden.

Belgien: Wichtiger Standard für Cookiebanner für rechtswidrig erklärt

18. März 2022

Die belgische Datenschutzbehörde hat einen für die Onlinewerbung zentralen Standard für datenschutzrechtlich unzulässig erklärt. Das System Transparence and Consent (TCF) mit dem Werbetreibende im Internet Einwilligungen für Targeted Advertising einsammeln, entspricht nach Auffassung der Datenschutzbehörde nicht den Grundsätzen von Rechtmäßigkeit und Fairness.

Die Datenschutzbehörde hat die Entscheidung gegen den Werbeverband IAB Europe getroffen, der den TCF-Mechanismus entwickelt und betreibt. IAB muss nun nicht nur alle auf diese Weise gesammelten Daten löschen, sondern auch ein Bußgeld von 250.000 Euro bezahlen.

Das Transparency & Consent Framework (TCF) ist der zentrale Standard hinter Cookie-Bannern und personalisierter Werbung. Wenn ein Nutzer bei einem Cookie-Banner auf “Akzeptieren” klickt, erzeugt das System einen sogenannten TC-String und schickt diesen an alle Partner weiter, die am System teilnehmen. Kernaufgabe des TCF ist damit die Weitergabe der Einwilligung in die Datenverarbeitung zu Werbezwecken an alle Partner des Systems. Der TC-String bildet die Grundlage für die Erstellung von individuellen Profilen jeden Nutzers und für Auktionen, in denen Werbeplätze für die gewünschte Zielgruppe in Echtzeit versteigert werden.

Die Entscheidung könnte nicht nur für belgische Unternehmen möglicherweise schwerwiegende Auswirkungen haben: Nach Art. 56 Abs. 6 DSGVO gilt das “One-Stop-Shop”-Prinzip. Demnach ist bei grenzüberschreitender Datenverarbeitung die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Dies bedeutet, dass Unternehmen bei grenzüberschreitenden Datenverarbeitungen nur einen Ansprechpartner für die Beurteilung der datenschutzrechtlichen Belange haben. Die Entscheidung dieses Ansprechpartners gilt dann europaweit. Viele Betreiber:innen von Websiten, der Großteil der Online-Medien und auch Google oder Amazon nutzen das System , um die im Cookiebanner erteilte Einwilligung von Nutzer:innen in die Verarbeitung von persönlichen Daten zu verteilen.

Zwar hat IAB angekündigt, gegen die Entscheidung vorzugehen. Die möglichen Auswirkungen für die Werbebranche sind dennoch enorm und könnten das Prinzip personalisierter Werbung grundsätzlich in Frage stellen.

Französisches Gericht bestätigt Millionen-Strafe gegen Google

31. Januar 2022

Das oberste französische Verwaltungsgericht hat eine Strafe in Höhe von 100 Millionen Euro gegen Google bestätigt, indem es eine Beschwerde von Google gegen den Bußgeld-Bescheid der französischen Datenschutzbehörde CNIL abgewiesen hat.

Im Dezember 2020 hat die CNIL einen Bußgeld-Bescheid in entsprechender Höhe wegen zweifelhafter Cookie-Einstellungen und dem Cookie-Einsatz ohne die notwendige Einwilligung der Nutzer gegen Google erlassen. Google setzte sieben Cookies automatisch, sobald ein Nutzer auf die Website gelangte. Vier davon dienten Tracking und Werbung. Der Conseil d’Etat hat diese Verstöße nun bestätigt.

Er hat sich auch zu weiteren Themen geäußert, auf die Google seine Beschwerde gestützt hat. So seien die verhängten Geldbußen in Anbetracht der hohen Gewinne, die Google mit personalisierter Online-Werbung erziele, und der Marktmacht in Frankreich von über 90 % Marktanteil nicht unverhältnismäßig.

Die CNIL hat sich nicht auf die DSGVO gestützt, sondern das Bußgeld auf Grundlage des Art. 82 des französischen Gesetzes über Informatik und Freiheit gestützt, mit dem der nationale Gesetzgeber die e-Privacy-Richtlinie aus 2002 umgesetzt hat. Der Conseil d’Etat hat bestätigt, dass für Cookie-Einstellungen die nationalen Vorgaben und nicht die DSGVO primär anwendbar sei. Daher sah sich das Gericht nicht verpflichtet, eine Vorabentscheidung des EuGH einzuholen.

Neues Datenschutzgesetz in China verabschiedet

1. September 2021

Am 01.09.2021 tritt das neue Datensicherheitsgesetz in China in Kraft. Doch daneben gibt es auch ein neues Datenschutzgesetz, das am 01.11.2021 in Kraft treten soll. Damit reagiert die Zentralregierung der Kommunistischen Partei auf die Sorgen der chinesischen Bevölkerung über Datenmissbrauch, insbesondere durch große Technologie- und Internetkonzerne. Auf den ersten Blick gibt es Ähnlichkeiten zur europäischen Datenschutz-Grundverordnung, es lohnt sich jedoch, einen zweiten Blick auf das Gesetz zu werfen.

Zu den Ähnlichkeiten zählt zunächst der recht weite Anwendungsbereich des neuen chinesischen Datenschutzgesetzes. Der Umgang mit personenbezogenen Daten muss einen angemessenen Zweck verfolgen und auf den minimalen Umfang beschränkt werden. Außerdem gibt es Einschränkungen für Profiling und die Information und Zustimmung der Betroffenen wird wichtiger. Richtlinien zur Übermittlung der Daten ins Ausland sind ebenso vorhanden wie die Pflicht ausländischer Unternehmen, einen Verantwortlichen als Ansprechpartner für chinesische Behörden zu benennen.

Neben diesen Aspekten, die so oder ähnlich in der DSGVO zu finden sind, fehlen jedoch wesentliche Prinzipien derselben. Zwar können einzelne Personen in Zukunft Rechtsmittel bei Datenpannen einlegen, den Strauß an Betroffenenrechten der DSGVO sucht man jedoch vergebens. Ein Pendant zur Datenschutzrichtlinie für Polizei und Justiz gibt es ebenfalls nicht. Der größte Unterschied ist jedoch, dass staatliche Akteure größtenteils nicht unter die neuen Regelungen fallen.

Der chinesische Staat sammelt selbst große Mengen an Daten über seine Einwohner, inklusive eines großen Sozialkreditsystems. Dies wird auch durch das neue Gesetz nicht unterbunden werden, es geht eher darum, große Technologiekonzerne zu regulieren. Unternehmen wie Alipay oder Wechat wurden in den letzten Jahren kaum reguliert und haben dadurch eine Vormachtstellung eingenommen. Das Gesetz könnte daher in Zukunft auch dazu eingesetzt werden, diese Vormachtstellung der Technologiekonzerne einzudämmen, in der Vergangenheit wurde dafür beispielsweise auch das Kartellrecht genutzt.

Schrems vs. Facebook: Vorlagefragen des OGH an den EuGH

27. August 2021

Der österreichische Oberste Gerichtshof (OGH) hat im Rechtsstreit von Max Schrems gegen Facebook den Europäischen Gerichtshof (EuGH) angerufen, um einzelne Fragen überprüfen zu lassen. Die Fragen beziehen sich auf die Rechtmäßigkeit der Datennutzung durch Facebook bei allen Nutzer:innen innerhalb der EU. 

Das zuständige Landesgericht urteilte im Sommer, dass die Datenverarbeitung vertrags- und rechtskonform sei. Diese Ansicht teilte auch das Oberlandesgericht Wien. Im März wandte sich Schrems dann an den OGH.

Einwilligung oder Vertrag zur Datennutzung

In dem Rechtsstreit geht es unter anderem um die Frage, ob Nutzer:innen tatsächlich eine Einwilligung oder einen Vertrag mit Facebook schließen, da Facebook als angebliche “Leistung” Werbung anbiete. Da diese beiden Rechtsgrundlagen in der DSGVO verschieden geregelt seien, argumentiert Facebook, dass die Regeln der DSGVO zur Einwilligung nicht mehr anwendbar wären. Laut Schrems wären damit die Vorschriften, die vorgeben, wie eine eindeutige Zustimmung aussehen müsse (und auch jederzeit widerrufen werden könne), hinfällig. Dies sei eine rechtswidrige Umgehung der DSGVO.

Werbe-Targeting und Verarbeitung sensibler Daten

Entscheiden soll der EuGH nun auch konkrete Fragen rund ums Werbe-Targeting. Dazu gehört auch die Fragestellung, ob die Verwendung aller personenbezogener Daten der Nutzer:innen auf Facebook sowie aus vielen anderen Quellen, wie etwa Websites, die Facebook “Like”-Buttons oder Werbung verwenden, mit der DSGVO und dem Grundsatz der “Datenminimierung” vereinbar ist.

Des Weiteren beziehen sich die Fragen auch auf die Problematik der Filterung und Verwendung sensibler Daten, wie beispielsweise politische Ansichten oder sexuelle Orientierung für personalisierte Werbung. “Diese weiteren Fragen sind extrem wichtig, da Facebook dann selbst bei einer gültigen Einwilligung möglicherweise nicht mehr alle Daten für Werbung nutzen darf”, so Schrems dazu. Zusätzlich müsste der Konzern dann möglicherweise sensible Daten wie politische Ansichten oder Daten zur sexuellen Orientierung herausfiltern.

Anspruch auf Schadensersatz möglich

Vor dem OGH konnte Schrems bereits einen Teilerfolg verbuchen. Das Gerichts sprach ihm 500 Euro Schadensersatz zu, da Facebook ihm keinen vollen Zugang zu den über ihn gespeicherten Daten gewährt hatte. Der Konzern habe Schrems damit „massiv genervt“, daraus begründe sich ein berechtigter Anspruch auf Schadensersatz.

“Verliert Facebook vor dem EuGH, müssten sie nicht nur damit aufhören Daten zu missbrauchen und illegal gesammelte Daten löschen, sondern auch Millionen von Nutzer:innen Schadenersatz zahlen. Wir sind über die Vorlage daher sehr glücklich”, so Max Schrems.

Höchstes Bußgeld in der Geschichte der Datenschutzgrundverordnung geht an Amazon

24. August 2021

Medienberichten zufolge sieht sich der Digitalkonzern Amazon mit dem höchsten Bußgeld in der Geschichte der Datenschutzgrundverordnung konfrontiert. Wie die Nachrichtenagentur Bloomberg berichtete, hat die Luxemburger Datenschutzbehörde Commission nationale pour la protection des données (CNPD) dem Konzern ein Bußgeld in Höhe von 746 Millionen Euro auferlegt. Dies geht auch aus dem Quartalsbericht des Unternehmens hervor.

Dem Beschluss vorangegangen war eine Beschwerde der französischen Bürgerrechtsorganisation La Quadrature du Net und mehr als zehntausend Unterstützerinnen und Unterstützern aus Mai 2018. In dieser beanstandet die Organisation, dass Nutzerinnen und Nutzer den Einsatz personalisierter Werbung auf der Webseite des Online-Marktplatzes nicht ablehnen könnten. Dabei sähe die Datenschutzgrundverordnung eine freie Wahl diesbezüglich vor. Auch die Luxemburger Datenschutzbehörde sah den freien Willen der Nutzerinnen und Nutzer und damit das Recht auf informationelle Selbstbestimmung derer verletzt. Durch das von der Einverständniserklärung der Nutzerinnen und Nutzer losgelöste Werbe-Targeting durch den Konzern könnten Grundprinzipien der Datenschutzgrundverordnung verletzt worden sein.

Amazon hingegen wies den Vorwurf zurück und kündigte Berufung an. Laut einem Sprecher des Unternehmens gab es “keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben“. Weiterhin führte er aus, dass es im Hinblick darauf, wie Amazon Kundinnen und Kunden relevante Werbung anzeige, die Entscheidung der CNDP auf subjektiven und ungeprüften Auslegungen des europäischen Datenschutzes beruhe und die beabsichtigte Geldbuße selbst bei dieser Auslegung in keinem Verhältnis stünde. Als Reaktion auf diese Stellungnahme konterte La Quadrature de Net in seinem Beitrag über den Beschluss, dass Amazon insofern Recht habe, als dass die Entscheidung nicht Datenpannen zum Gegenstand hatte. Vielmehr ginge es um das Target-Advertising selbst und damit um ein Herzstück der Big-Tech-Unternehmen.

Nach der angekündigten Berufung werden die Gerichte entscheiden. Diese hatten in der Vergangenheit bei hohen Bußgeldern zumeist zugunsten der angeklagten Unternehmen mildere Strafen erlassen, als die Datenschutzbehörden. So musste die Fluggesellschaft British Airways wegen einer Datenschutzpanne 22 Millionen Euro Bußgeld bezahlen – statt zunächst verhängten 204 Millionen Euro. Diese Herabsetzung war jedoch insbesondere mit den wirtschaftlichen Einbußen des Unternehmens in der Corona-Pandemie begründet. Eine ähnliche Begründung würde aufgrund des enormen Zuwachses des Online-Händlers, insbesondere zu Beginn der Corona-Pandemie, jedoch nicht zu erwarten sein.

Datenschutzverein noyb legt Beschwerde gegen Medienhäuser ein

20. August 2021

Der Datenschutzverein noyb (none of your business) legte am 13.08.2021 Beschwerde gegen die Cookie-Paywalls von sieben großen Nachrichten-Websites (SPIEGEL.de, Zeit.de, heise.de, FAZ.net, derStandard.at, krone.at und t-online.de) ein.

Hinter den Cookie-Paywalls steht ein fragwürdiges Konzept:

Entweder stimmen die Nutzer*innen der Datenweitergabe an mitunter hunderte Tracking-Unternehmen zu oder sie schließen ein Abonnement für bis zu 84,00 Euro pro Jahr ab. Dabei stelle sich die Frage, ob eine Einwilligung freiwillig erteilt werden kann, wenn sonst ein Vielfaches des Marktpreises gezahlt werden müsse, um so die eigenen Daten nicht preiszugeben. Darüber hinaus werde auch gegen das Kopplungsverbot verstoßen. Auch die konkrete Einwilligungsausgestaltung wird angegriffen.

Medien rechtfertigen Abonnements

Die betroffenen Medienhäuser rechtfertigen ihre Abonnements in öffentlichen Statements. Heise.de veröffentlichte dazu: „Für uns war die Einführung des Pur-Abos Anfang 2021 aufgrund der Entwicklung des Online-Werbemarkts notwendig. Die meisten unserer Leserinnen und Leser akzeptieren, dass wir in der aktuellen Situation des Werbemarktes ihre Einwilligung für die Werbevermarktung benötigen.“

Datenschutzaufsicht und Rechtsprechung: Abonnements können DSGVO-konform sein

Die Datenschutzbehörde Österreich entschied bereits 2018 im Fall “Der Standard”, dass die damalige Ausgestaltung nicht zu beanstanden wäre: “Im Ergebnis liegt in den Konsequenzen bei Nichtabgabe einer Einwilligung bei weitem kein wesentlicher Nachteil vor und die betroffene Person ist mit keinen beträchtlichen negativen Folgen konfrontiert.“ Bei noyb sei man jedoch dazu entschlossen, diese Entscheidung zu revidieren. Nach eigenen Angaben wurde dieser Fall von einem Laien vor die Behörde gebracht und basiere auf faktisch falschen Annahmen.

Darüber hinaus verweist beispielsweise auch der Heise Medien Verlag auf die zuständige Datenschutzbehörde Niedersachsen. Dort bestätigte die Datenschutzbeauftragte Barbara Thiel in ihrer Handreichung zur datenschutzkonformen Einwilligung auf Webseiten, dass solche Abonnements DSGVO-konform sein können: „Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen.“

Weitere Defizite bei der Freiwilligkeit

Des Weiteren sei die Einwilligung mit einem großen Aufwand und Kosten für die Nutzer*innen verbunden. “Nein” zu sagen, sei äußerst aufwändig. Man müsse seinen Namen, Anschrift und Kreditkartendaten preisgeben. Zusätzlich entständen auch vergleichsweise hohe Kosten für die Nutzer*innen.” Diese ständen in einem groben Missverhältnis zur Weitergabe der Daten. Während diese den Medienhäusern nur ein paar Cent pro Nutzer*in bringe, verlange der SPIEGEL oder die FAZ aktuell je 59,88 Euro pro Jahr um Daten nicht weiterzureichen. Die ZEIT verlange 62,40 Euro und der Standard gar 84,00 Euro pro Jahr für sein “PUR Abo” ohne Werbung, so der Verein.

„Die meisten Nutzer*innen besuchten dutzende Nachrichtenseiten pro Monat, weshalb für sie substanzielle Kosten entstehen würden, um die Weitergabe ihrer Daten zu verhindern“, so der Datenschutzverein.

noyb sieht toxische Abhängigkeit von großen Konzernen

Nach Angaben des Datenschutzvereins erhielten laut einer Studie aus den USA Medien nur etwa 4% der Mehreinnahmen durch die Datenweitergabe. „Viele Medienhäuser haben sich in eine toxische Abhängigkeit von großen Konzernen begeben. Sie verscherbeln die Daten und das Vertrauen ihrer Leser für ein paar Cent. Die großen Gewinne wandern trotzdem zu den großen Unternehmen der Werbeindustrie – genau wie die Daten“, so der Datenschutzjurist Alan Dahi.

Ein Lösungsansatz

Laut noyb liege die Lösung in datenschutzkonformer Werbung. „Wir brauchen ordentlich finanzierte Medien. Es ist jedoch ein Trugschluss, dass die Finanzierung unbedingt durch das Verschleudern von Userdaten an Google und Co. passieren muss. Innovative Werbesysteme, die Medienhäuser selbst betreiben und bei denen sowohl Daten als auch Gewinne bei den Qualitätsmedien bleiben, sind nicht nur rechtlich geboten, sondern wohl auch eine wirtschaftliche Überlebensfrage. Aktuell werden die ehemaligen Flaggschiffe der freien Presse zu Litfaßsäulen und Datensammler für die Werbeindustrie. Wir müssen wieder zu einem System kommen, wo der Leser der Werbung folgt, nicht die Werbung dem Leser”, so Dahi in dem von noyb veröffentlichten Statement.

1 2 3 4 5 6 12