28. August 2023
Seit bereits fünf Jahren steht Meta wegen der praktizierten Datenverarbeitung auf dem Prüfstand. Nun kündigte das Unternehmen, dass mehrere Social-Media-Plattformen betreibt, an, dass es künftig personenbezogene Daten der Nutzer zu Werbezwecken auf der Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO verarbeiten werde. Bisher erfolgte die Datenverarbeitung zu diesem Zweck auf der Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO.
Hintergründe
Laut Meta selbst sei Grund für die Änderung der Rechtsgrundlage, die zur Verarbeitung personenbezogener Daten herangezogen werde, dass die irische Aufsichtsbehörde die DSGVO verändert auslege. Diese ist im Gefüge der europäischen Aufsichtsbehörde zuständig für Meta. Aufgrund der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) habe, so Meta die irische Aufsichtsbehörde die Auslegung der DSGVO verändert. Außerdem wolle Meta damit auf die bevorstehenden Änderungen, die durch Digital Markets Act eintreten werden, begegnen.
Im Juli dieses Jahres hatte der EuGH zu der Frage entschieden, ob Meta eine alternative rechtliche Grundlage anwenden könne, wenn die Rechtsgrundlage, die zur Datenverarbeitung gedacht war, nicht wirksam sei (wir berichteten). Aus Sicht des Gerichtshofes war es demnach rechtmäßig, dass das Bundeskartellamt (BKA) Meta das Speichern personenbezogener Daten ohne Zustimmung der Nutzer untersagt habe. Dabei stellte der Gerichtshof auch klar, dass eine alternative Verwendung einer Rechtsgrundlage nur unter engen Voraussetzungen möglich sei. Meta müsse seine Nutzer jedenfalls vor der Datenverarbeitung über die einschlägige Rechtsgrundlage informieren.
Aufgrund der neuen Rechtspraxis des US-Konzern dürften diese Rechtsfragen vorerst geklärt sein. Dabei bestehen bereits seit Jahren Bedenken gegen den Umgang des Unternehmens mit den personenbezogenen Daten von Nutzer. Die österreichische NGO None of your business (noyb) betonte in einem Artikel, dass die Tragweite der Entscheidung von Meta hinsichtlich der veränderten Rechtsgrundlage noch abzuwarten sei. Aus Sicht der Organisation bereite insbesondere die von Meta gewählte Formulierung, nach der nur für „bestimmte Daten für verhaltensbezogene Werbung“ eine Einwilligung eingeholt werden, Grund zur Annahme, dass weiterhin Lücken bei der Datenverarbeitung bestehen werden.
Fazit
Wie sich die Datenschutzpraxis des omnipräsenten US-Konzern Meta künftig ändern wird, bleibt insgesamt abzuwarten. Besonderes Augenmerk ist dabei auf die Frage zu legen, ob und wie Meta künftig personenbezogene Daten der Nutzer sammelt und ggf. weiterverwendet.
Mit der Inkraftsetzung des Hinweisgeberschutzgesetzes am 2. Juli 2023 wurde eine neue rechtliche Landschaft für betroffene Unternehmen, öffentliche und kirchliche Stellen geschaffen. Im Zentrum dieser Entwicklung steht die Verpflichtung zur Etablierung interner Meldestellen. Dieser Beitrag beleuchtet die datenschutzrechtlichen Implikationen dieser Verpflichtung und erörtert die Notwendigkeit einer Datenschutz-Folgenabschätzung gemäß DSGVO.
Datenschutzrechtliche Herausforderungen
Die Einrichtung einer internen Meldestelle, durch die potenziell personenbezogene Daten von Hinweisgebern über vermeintlich strafbares Verhalten von Beschuldigten gemeldet werden können, wirft datenschutzrechtliche Fragen auf. Besonders dann, wenn die Meldungen nicht anonym erfolgen, kann dies zur Verarbeitung sensibler personenbezogener Daten führen. Hierdurch wird der Anwendungsbereich der DSGVO eröffnet, was die Verantwortlichen dazu verpflichtet, die Datenschutzrechte und -pflichten entsprechend zu beachten.
Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
Die zentrale Frage, die sich hier stellt, ist, ob vor Einführung einer internen Meldestelle eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO durchzuführen ist. Diese Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung entsteht, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt.
Schwellenwertanalyse und Anwendungsfälle
Um diese Frage zu beantworten, wird eine Schwellenwertanalyse durchgeführt, um festzustellen, ob die genannten Voraussetzungen erfüllt sind. Zunächst sind die Regelbeispiele in der von Aufsichtsbehörden festgelegten “Muss-Liste” nicht relevant. Weiterhin sind die Anwendungsfälle des Art. 35 Abs. 3 DSGVO nicht einschlägig. Insbesondere der Abs. 3 lit. b DSGVO, der eine Datenschutz-Folgenabschätzung bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten vorschreibt, trifft hier nicht zu.
In Bezug auf den vorliegenden Fall wird deutlich, dass keine “umfangreiche” Verarbeitung sensibler Daten vorliegt. Die Meldungen betreffen Einzelpersonen oder kleine Personengruppen, was gemäß Erwägungsgrund 75 der DSGVO keine umfangreiche Verarbeitung darstellt.
Europäischer Datenschutzausschuss und hohe Risiken
Die Durchführungspflicht einer Datenschutz-Folgenabschätzung kann jedoch auf das Vorliegen der Kriterien des Arbeitspapiers 248 des Europäischen Datenschutzausschusses gestützt werden. Diese Kriterien sind in nahezu allen internen Meldesystemen erfüllt und deuten insgesamt auf ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen gemäß Art. 35 Abs. 1 DSGVO hin. Dabei wird betont, dass aufgrund des erhöhten Risikos für die Betroffenen bei der Meldung von Missständen eine Datenschutz-Folgenabschätzung erforderlich ist.
Fazit
Angesichts der potenziell sensiblen Natur der gemeldeten Verstöße und der möglichen schwerwiegenden Konsequenzen für die Beschuldigten, inklusive strafrechtlicher Relevanz, erscheint die Durchführung einer Datenschutz-Folgenabschätzung unausweichlich. Die Notwendigkeit ergibt sich aus den anwendbaren Vorschriften der DSGVO und den Empfehlungen des Europäischen Datenschutzausschusses, insbesondere unter Berücksichtigung der Orientierungshilfe der DSK. Unternehmen und Organisationen sollten daher bei der Einführung einer internen Meldestelle sorgfältig die datenschutzrechtlichen Aspekte prüfen und eine Datenschutz-Folgenabschätzung durchführen, um die Rechte und Freiheiten der betroffenen Personen angemessen zu schützen.
23. August 2023
Ein aktueller Bescheid der österreichischen Datenschutzbehörde wirft Licht auf eine interessante Fragestellung: Sind Verantwortliche, insbesondere Arbeitgeber, dazu verpflichtet, bei unberechtigter Datenverarbeitung durch Mitarbeiter sowohl die Meldung nach Art. 33 als auch die Benachrichtigung nach Art. 34 DSGVO durchzuführen?
Der Fall und die Fragestellung
Der Bescheid der österreichischen Datenschutzbehörde vom 1. Januar 2023 betraf einen Vorfall, bei dem Gesundheitsdaten einer betroffenen Person durch eine Mitarbeiterin des Verantwortlichen in einem Social-Media-Beitrag veröffentlicht wurden. Die Mitarbeiterin, die sich in einem Ausbildungsverhältnis zur Verantwortlichen befand, hatte unberechtigt auf elektronisch vorhandene Patientendaten zugegriffen und den Krankheitsverlauf der betroffenen Person auf einer Plattform veröffentlicht. Die Verantwortliche meldete den Vorfall vorsorglich nach Art. 33 DSGVO, da sie Zweifel an ihrer eigenen Verantwortlichkeit und somit an der Meldepflicht hatte.
Die zentrale Fragestellung des Falls war, ob der Verantwortliche, in diesem Fall der Arbeitgeber, den Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO unterliegt, wenn ein Mitarbeiter unberechtigt auf personenbezogene Daten zugreift und diese verwendet. Der Verantwortliche argumentierte, dass er für den unberechtigten Zugriff der Mitarbeiterin nicht datenschutzrechtlich verantwortlich sei und daher keine Meldepflicht bestehe. Die Datenschutzbehörde hatte hier eine andere Auffassung.
Die Entscheidung der Datenschutzbehörde
Die Datenschutzbehörde entschied, dass der Verantwortliche sehr wohl der Meldepflicht nach Art. 33 DSGVO unterliegt, auch wenn eine unberechtigte Datenverarbeitung durch einen Mitarbeiter stattfindet. Die Behörde unterschied zwischen den Verantwortlichkeiten auf zwei Ebenen:
- Arbeitgeber (Verantwortlicher): Verpflichtung zur Implementierung angemessener technischer und organisatorischer Maßnahmen, um unberechtigte Datenverarbeitungen zu verhindern.
- Mitarbeiterin (als eigene Verantwortliche): Unberechtigter Zugriff und Veröffentlichung von Patientendaten.
Die Behörde stellte klar, dass die Meldepflicht gemäß Art. 33 Abs. 1 DSGVO ausdrücklich an den jeweiligen Verantwortlichen gerichtet ist. Obwohl die Behörde anerkannte, dass in Einzelfällen eine eigenständige datenschutzrechtliche Verantwortlichkeit der Mitarbeiterin abgeleitet werden kann, war der Gegenstand des Verfahrens nicht die Verantwortlichkeit der Mitarbeiterin, sondern die Melde- und Benachrichtigungsverpflichtungen des Verantwortlichen.
Die Datenschutzbehörde stützte ihre Ansicht auch auf die Leitlinien 07/2020 des Europäischen Datenschutzausschusses (EDSA) zu den Begriffen “Verantwortlicher” und “Auftragsverarbeiter”. Diese Leitlinien betonen, dass die Organisation als Verantwortlicher angemessene technische und organisatorische Maßnahmen umsetzen muss, um die Einhaltung der DSGVO sicherzustellen, auch wenn ein Mitarbeiter seine Befugnisse in Bezug auf die Datenverarbeitung überschreitet.
Die Behörde verwies auch auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts, in der betont wurde, dass die dahinterstehende Organisation (Behörde) weiterhin für die Verarbeitungsweise durch ihre Mitarbeiter verantwortlich bleibt, auch bei sorgfaltswidriger Verwendung oder überschießender Akteneinsicht.
Fazit: Verantwortliche tragen Verantwortung
Der Bescheid der österreichischen Datenschutzbehörde verdeutlicht, dass Verantwortliche auch bei unberechtigter Datenverarbeitung durch Mitarbeiter gemäß Art. 33 und 34 DSGVO verpflichtet sind, sowohl eine Meldung als auch eine Benachrichtigung durchzuführen. Die klare Trennung zwischen den Verantwortlichkeiten von Arbeitgebern und Mitarbeitern sorgt für Klarheit in einer komplexen rechtlichen Landschaft. Dieser Bescheid unterstreicht die Bedeutung, dass Organisationen angemessene technische und organisatorische Maßnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen und Datenschutzverletzungen zu minimieren. In Zeiten steigender Datenschutzanforderungen ist es unerlässlich, dass Verantwortliche ihre Pflichten ernst nehmen und für Transparenz und Sicherheit in der Datenverarbeitung sorgen.
21. August 2023
Vergangene Woche erschienen vermehrt Berichte, derer zufolge eine Cyberattacke auf die Online-Plattform LinkedIn verübt wurde. Demnach konnten die Nutzer des Portals nicht mehr auf ihre Accounts zugreifen.
Hintergründe
Es seien zwei verschiedene Angriffsmethoden auf LinkedIn erkennbar gewesen. Teilweise habe LinkedIn selbst die Konten seiner Nutzer gesperrt. Grund hierfür seien verdächtige Handlungen auf den Konten der betroffenen Nutzer gewesen. Dabei hätten die Hacker versuch die Zwei-Faktor-Authentifizierung, mit der die Konten der Nutzer gesichert werde, zu entschlüsseln. Alle betroffenen Personen seien im Anschluss durch LinkedIn über die vorübergehende Sperrung des Kontos informiert worden.
Hinzu käme eine zweite Form des Hackerangriffs. Bei diesem drängen die Angreifer in die Konten der betroffenen Nutzer ein und änderten dort die zur Verfügung gestellte E-Mail-Adresse. Die Folge dieses Vorgehens sei, dass die betroffenen Personen keine Möglichkeit hätten auf ihr Konto zuzugreifen. Teilweise hätten die Angreifer Lösegeld zur Widerherstellung der Konten verlangt.
Die Folgen für die Konten
Derzeit bleibt eine Stellungnahme von LinkedIn selbst noch aus. Die Motivation der Hacker kann sich demnach auch lediglich erahnen lassen. Teilweise könnte es dazu kommen, dass die betroffenen Konten genutzt werden würde, um über diese Kontakt zu anderen Nutzern aufzunehmen und so schädliche Handlungen vorzunehmen. Zusätzlich biete der Zugang zu einem LinkedIn Konto immer auch Zugang zu sensiblen Unterhaltungen im LinkedIn Profil der betroffenen Personen.
Fazit
Sofern man selbst von einem Angriff betroffen sein sollte, sollte man sich zunächst an den Support von LinkedIn wenden. Insbesondere E-Mails von LinkedIn, in denen die Nutzer darüber informiert werden, dass dem bestehenden Konto eine neue E-Mail-Adresse hinzugefügt worden sei, können ein ersten Anzeichens eines Cyberangriffs sein.
Grundsätzlich gilt es ein langes, aufwändiges und somit sicheres Passwort zu wählen. Außerdem empfiehlt es sich die Zwei-Faktor-Authentifizierung für das Benutzerkonto. Aus Sicht der Verantwortlichen ist zu empfehlen ausreichende Technischen und Organisatorischen Maßnahmen zu wählen, um gegen Cyberattacken präventiv vorzugehen und ihnen adäquat zu begegnen.
Das Recht auf Auskunft über die Verarbeitung personenbezogener Daten zählt zu den grundlegenden Betroffenenrechten, die in der DSGVO verankert sind. Es bildet oft den Ausgangspunkt für die wirksame Wahrnehmung anderer Datenschutzrechte. In diesem Artikel beleuchten wir genauer, wie sich dieses Recht im Kontext des Sozialdatenschutzes gemäß Art. 15 DSGVO und § 83 Zehntes Buch Sozialgesetzbuch (SGB X) manifestiert.
Der Ursprung des Auskunftsrechts
Das Auskunftsrecht ist das erste der Betroffenenrechte in Kapitel 3 der DSGVO. Es ermöglicht betroffenen Personen, Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erlangen. Insbesondere dann, wenn vorausgegangene Datenschutzerklärungen unzureichend über Verarbeitungsvorgänge aufklären, erweist sich das Auskunftsrecht als entscheidendes Instrument. Dieses Recht spielt daher eine zentrale Rolle in der Interaktion zwischen Einzelpersonen und Datenverarbeitungsstellen.
Auskunftsrecht in der DSGVO: Die zwei Stufen
Das Auskunftsrecht nach Art. 15 DSGVO folgt einem zweistufigen Prozess. In der ersten Stufe besteht das Recht darauf zu erfahren, ob personenbezogene Daten bei einer bestimmten Stelle verarbeitet werden. Die zweite Stufe ermöglicht es, spezifische Informationen anzufordern. Dies umfasst Details zu Verarbeitungszwecken, Kategorien verarbeiteter Daten, Speicherdauer, Empfänger von Daten und deren Quellen. Falls Daten in Drittstaaten übertragen werden, muss die betroffene Person darüber und über die angemessenen Datenschutzgarantien informiert werden.
Ein wichtiger Aspekt des Auskunftsrechts ist das Urteil des Europäischen Gerichtshofs (EuGH) vom 12.01.2023 (Rs. C-154/21). Hier wurde festgestellt, dass, wenn möglich, konkrete Datenempfänger genannt werden sollten, anstatt nur die Kategorien von Empfängern anzugeben.
Einschränkungen im Sozialgesetzbuch
Im Bereich des Sozialdatenschutzes findet das Auskunftsrecht gemäß Art. 15 DSGVO Anwendung, jedoch unter Einbindung von § 83 SGB X. Dies ermöglicht dem deutschen Gesetzgeber, das Recht unter bestimmten Bedingungen zu begrenzen. Die Beschränkungen sind in § 83 SGB X definiert und können in fünf Fallgruppen zusammengefasst werden:
- Gefährdung gesetzlicher Aufgaben oder öffentlicher Ordnung: Das Auskunftsrecht kann beschränkt werden, wenn die ordnungsgemäße Erfüllung einer gesetzlichen Aufgabe gefährdet ist oder die öffentliche Ordnung beeinträchtigt wird.
- Geheimhaltungspflicht: Informationen können zurückgehalten werden, wenn Daten oder deren Speicherung geheim gehalten werden müssen, etwa aufgrund von gesetzlichen Vorschriften oder berechtigten Interessen Dritter.
- Erwartung der Übermittlung: Das Offenlegen von Empfängern kann eingeschränkt werden, wenn die betroffene Person damit rechnen muss, dass Daten an bestimmte Empfänger übermittelt werden.
- Zusammenarbeit zwischen Stellen: Auskünfte über Empfänger können begrenzt werden, wenn die Verarbeitung innerhalb einer verantwortlichen Stelle oder aufgrund gesetzlicher Zusammenarbeit zwischen verschiedenen Stellen erfolgt.
- Strafverfolgung und Sicherheit: Informationen an bestimmte Stellen wie Strafverfolgungsbehörden können nur mit Zustimmung erteilt werden.
Fazit: Datenschutz und öffentliche Interessen im Gleichgewicht
Die Kombination von Art. 15 DSGVO und § 83 SGB X im Sozialdatenschutz verdeutlicht das komplexe Wechselspiel zwischen individuellen Datenschutzrechten und öffentlichen Interessen. Während das Auskunftsrecht eine mächtige Waffe zur Gewährleistung von Transparenz und Kontrolle über persönliche Daten darstellt, müssen diese Rechte sorgfältig abgewogen werden, um die ordnungsgemäße Erfüllung öffentlicher Aufgaben und den Schutz der Gemeinschaft sicherzustellen.
Die vorgestellten Regelungen verdeutlichen, dass das Auskunftsrecht im Sozialdatenschutz eine wichtige Rolle spielt. Es ist jedoch in seinen Anwendungsbereichen beschränkt, um ein ausgewogenes Verhältnis zwischen individuellem Datenschutz und öffentlichen Belangen zu gewährleisten. So wird das Ziel verfolgt, sowohl die Rechte und Freiheiten betroffener Personen zu schützen als auch die Erfüllung wichtiger gesellschaftlicher Aufgaben zu ermöglichen. In dieser Balance liegt die Herausforderung und Verantwortung des modernen Datenschutzes.
17. August 2023
Nach der Ansicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) nicht mittels Videoüberwachung. Zu diesem Ergebnis kam der LfDI RLP im Rahmen einer Pressemitteilung, die der Datenschützer vergangene Woche auf der offiziellen Homepage der Behörde veröffentlichte.
Klarstellung von Zeitungsberichten
Anlass zu dieser Pressemitteilung gab ein Zeitungsbericht der Allgemeinen Zeitung Mainz. Unter der Überschrift „Waldalgesheim überwacht Bürger beim Müllentsorgen“ (nicht mehr aufrufbar) berichtete die Zeitung darüber, dass die Gemeinde der Stadt Waldalgesheim Kameras an zwei Glascontainern anbrachte. Ziel der Gemeinde sei es gewesen die illegale Müllentsorgung an den Glascontainern zu unterbinden und Personen, die ihren Müll dort entsorgt hätte, identifizieren zu können. Außerdem habe die Gemeinde herausfinden wollen, durch welche Personen der Bereich um die Container beschädigt und verunreinigt worden wäre.
Aus Sicht des LfDI RLP könne der Eindruck entstehen, dass die Landesdatenschutzbehörde den Einsatz der Videokameras genehmigt hätte. Dies sei gerade nicht der Fall. Die Datenschutzbehörde eröffnete gegen die Gemeinde nun ein förmliches Verfahren, um mögliche Datenschutzverstöße zu untersuchen. Der Datenschutzbeauftragte des Landes Rheinland-Pfalz stellte ferner klar, dass die Videoüberwachung von Glascontainern und anderen Müllablagerungsstätten durch Kommunen grundsätzlich nicht zulässig sei.
Wichtige Orientierungshilfen
Außerdem äußerte sich der Datenschutzbeauftragte auch klarstellend zur, im Zeitungsartikel zitierten „Orientierungshilfe für die Videoüberwachung in Kommunen“. Demnach sei die Datenschutzkonformität der Videoüberwachung immer eine Einzelfallentscheidung.
Für Nicht-Öffentliche Stellen hatte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) 2020 eine Orientierungshilfe zur Videoüberwachung veröffentlicht. In dieser behandelte die DSK alle für eine Rechtmäßigkeit der Videoüberwachung einzuhaltenden Voraussetzungen. Dabei ist zu beachten, dass aus Sicht der DSK die Videoüberwachung regelmäßig ausschließlich auf der Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen könne. Wolle ein Verantwortlicher beispielsweise ein Gebäude überwachen, müsse er Tatsachen nachweisen können, aus denen sich eine konkrete Gefahrenlage ergeben würden. Dann könne die Kameraüberwachung ein adäquates Mittel zur Prävention und Repression vor dem Eintritt eines Schadens am Gebäude sein. Außerdem müsse jeder Verantwortliche im Rahmen der Kameraüberwachung die nach Art. 12 ff. DSGVO bestehenden Informationspflichten beachten. Hierfür könne man ein Hinweisschild verwenden, welches aber nicht alle nach Art. 13 DSGVO erforderlichen Informationen beinhalten müsse. Stattdessen könnten auf einem Informationsblatt die vollständigen Informationen bereitgestellt werden.
Der Blick in die Orientierungshilfe kann sich lohnen, um die Kameraüberwachung, wenn sie notwendig ist, rechtssicher zu gestalten und um alle Anforderungen an die Datenschutzkonformität einzuhalten.
9. August 2023
Entscheidung der österreichischen Datenschutzbehörde zur Anwendung von Art. 57 Abs. 4 DSGVO
In einer Entscheidung Anfang 2023 hat die österreichische Datenschutzbehörde (DSB) klare Kriterien für die Anwendung von Art. 57 Abs. 4 DSGVO hinsichtlich offensichtlich unbegründeter oder exzessiver Anfragen festgelegt. Die Angelegenheit dreht sich um einen Beschwerdeführer, der dem Verantwortlichen eine Zahlung von 2.900 EUR für den Verzicht auf eine Beschwerde bei der DSB sowie auf eine gerichtliche Verfolgung angeboten hatte. In diesem Kontext befasst sich der vorliegende Artikel mit den Hintergründen der Entscheidung, ihrer Bedeutung und möglichen Implikationen für die Anwendung von Betroffenenrechten gemäß Art. 15 DSGVO.
Sachverhalt und DSB-Entscheidung
Der Beschwerdeführer bot an, gegen eine Zahlung von 2.900 EUR auf eine Beschwerde bei der DSB sowie auf eine gerichtliche Verfolgung zu verzichten. In der weiteren Entwicklung des Streitfalls reichte der Betroffene dennoch eine Beschwerde bei der Datenschutzbehörde ein. Die DSB lehnte die Beschwerde unter Berufung auf Art. 57 Abs. 4 DSGVO ab und qualifizierte das Verhalten des Beschwerdeführers als rechtsmissbräuchlich. Die Behörde argumentierte, dass kein tatsächliches Rechtsschutzbedürfnis beim Beschwerdeführer bestehe und die Beschwerde somit als unredlich einzustufen sei.
Die Entscheidung der DSB betont die Parallele zwischen Art. 12 Abs. 5 und Art. 57 Abs. 4 DSGVO, in denen beide Regelungen die Möglichkeit vorsehen, bei offenkundig unbegründeten oder exzessiven Anfragen Maßnahmen zu ergreifen. Hierbei wird insbesondere auf den EDSA verwiesen, der in seinen Leitlinien zu Art. 15 DSGVO eine ähnliche Situation als exzessiven Antrag beschreibt. Die DSB stellte jedoch klar, dass sie den Fall nicht als exzessiv, sondern als offensichtlich unbegründet einstufte.
Übertragung auf Betroffenenrechte
Die Entscheidung wirft eine interessante Frage auf: Können Verantwortliche bei Angeboten zur Unterlassung von Beschwerden gegen Geldzahlungen auf Art. 12 Abs. 5 DSGVO zurückgreifen? Beide Artikel setzen die gleichen Voraussetzungen voraus: ein offenkundig unbegründeter oder exzessiver Antrag. Während es unwahrscheinlich ist, dass Betroffene direkt Zahlungen für den Verzicht auf Rechtsverfolgung anbieten, könnte dies in Situationen auftreten, in denen der Verantwortliche die Fristen zur Erfüllung der Auskunftsansprüche nicht einhält.
In der Praxis können Verantwortliche nun auf die österreichische Entscheidung verweisen, um das Fehlen eines echten Rechtsschutzbedürfnisses bei einer Zahlung für den Verzicht auf Beschwerden oder Klagen zu betonen. Es ist jedoch ratsam, vorsichtig zu sein, insbesondere wenn die Erfüllung der Betroffenenrechte nach Ansicht des Betroffenen nicht korrekt erfolgt ist, bevor solch ein “Angebot” überhaupt gemacht wird.
Fazit
Die Entscheidung der österreichischen Datenschutzbehörde bietet wertvolle Klarstellungen zur Anwendung von Art. 57 Abs. 4 DSGVO im Zusammenhang mit offensichtlich unbegründeten Anfragen und rechtsmissbräuchlichem Verhalten von Beschwerdeführern. Dieser Fall verdeutlicht, dass es in der Praxis wichtig ist, das Rechtsschutzbedürfnis bei der Geltendmachung von Betroffenenrechten zu berücksichtigen. Verantwortliche könnten auf diese Entscheidung verweisen, um den Missbrauch von Betroffenenrechten zu bekämpfen, insbesondere in Fällen, in denen finanzielle Anreize für den Verzicht auf Beschwerden angeboten werden. Die Anwendung von Art. 57 Abs. 4 DSGVO könnte somit als zusätzliches Instrument dienen, um die Integrität und den ernsthaften Charakter von Datenschutzbeschwerden zu wahren. Es bleibt abzuwarten, wie andere Datenschutzbehörden auf internationaler Ebene auf solche Angebote reagieren werden und ob ähnliche Entscheidungen ergehen werden.
7. August 2023
Berliner Datenschutzbeauftragte verhängt Sanktionen
Ein Unternehmen steht in der Kritik, da es heimlich sensible Informationen über ihre Angestellten gesammelt hat. Die Berliner Datenschutzbeauftragte, Meike Kamp, hat dieses Vorgehen als rechtswidrig erachtet und Sanktionen verhängt.
Wie bereits im Mai 2021 bekannt wurde, sammelte das Unternehmen während der Probezeit sensible Daten über seine Angestellten, darunter Informationen darüber, ob sich Mitarbeiterinnen und Mitarbeiter einer Psychotherapie unterzogen oder Interesse an der Gründung eines Betriebsrats zeigten. Diese Informationen wurden auf einer sogenannten Negativliste erfasst, die dazu diente, die Angestellten zu bewerten und darüber zu entscheiden, wem nach Ablauf der Probezeit gekündigt wird.
Verstöße gegen die DSGVO
Die Berliner Datenschutzbeauftragte hat in ihrer Untersuchung massive Verstöße gegen den Datenschutz festgestellt. Eine Vorgesetzte hatte die sensiblen Daten ohne Wissen der betroffenen Angestellten gesammelt, um diese bei der Entscheidung über eine Weiterbeschäftigung zu berücksichtigen. Insbesondere Angestellte, die eine gewerkschaftliche Organisation unterstützen oder ein erhöhtes Risiko für krankheitsbedingte Ausfälle aufwiesen, wurden als “kritisch” oder sogar “sehr kritisch” eingestuft.
Aufgrund dieser schwerwiegenden Verstöße hat die Berliner Datenschutzbeauftragte Bußgelder in Höhe von insgesamt 215.000 Euro gegen das Unternehmen verhängt. Die Negativliste wurde offenbar im März 2021 auf Anweisung der Geschäftsführung erstellt. Als eine betroffene Angestellte die Presse und die Datenschutzbeauftragte informierte, reagierte das Unternehmen und meldete sich noch am gleichen Tag bei der Behörde. Die Zusammenarbeit des Unternehmens mit den Behörden wurde als mildernder Umstand bei der Festsetzung der Bußgelder berücksichtigt.
Sensible Daten besonders schützenswert
Die Datenschutzbeauftragte betont, dass die Verarbeitung solch sensibler Daten stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen muss. Insbesondere Gesundheitsdaten zählen zu den besonders sensiblen Informationen und dürfen nur in engen Grenzen verarbeitet werden. Die DSGVO enthält in Art. 9 eine Liste mit “besonderen Kategorien personenbezogener Daten”, zu denen auch Gesundheitsdaten und Informationen über die Gewerkschaftszugehörigkeit zählen. Diese Daten dürfen nur in Ausnahmefällen und unter strengen Voraussetzungen gesammelt und verarbeitet werden, um die Rechte und die Privatsphäre der betroffenen Personen zu schützen.
Fazit
Die Verhängung dieser Bußgelder sendet ein wichtiges Signal an Unternehmen und Arbeitgeber, dass der Datenschutz eine hohe Priorität haben muss und Verstöße gegen die Datenschutzvorschriften konsequent geahndet werden. Angestellte haben ein Recht auf den Schutz ihrer persönlichen Daten, insbesondere wenn es um sensible Informationen wie den Gesundheitszustand geht.
2. August 2023
Am 4. Juli 2023 fällte der Europäische Gerichtshof (EuGH) sein Urteil bezüglich der Meta-Entscheidung des Bundeskartellamts. Der EuGH scheint eine bislang offene juristische Frage geklärt zu haben: Kann eine alternative rechtliche Grundlage für die Datenverarbeitung herangezogen werden, wenn die ursprünglich angegebene Grundlage unwirksam ist, etwa wenn eine Einwilligung rechtswidrig erfolgt ist?
Das Verfahren
Der Hintergrund des Verfahrens liegt in der Praxis von Meta Platforms Ireland und Facebook Deutschland (Meta), Daten seiner Nutzer nicht nur auf Facebook selbst, sondern auch über seine Tochterfirmen und über Schnittstellen auf anderen Webseiten zu sammeln und diese zu detaillierten Nutzerprofilen zu verknüpfen. Das Bundeskartellamt (BKartA) sah darin einen Missbrauch der marktbeherrschenden Stellung von Meta. Deswegen erließ das Bundeskartellamt erließ 2019 einen Beschluss gegen Meta, der Gegenstand des vorliegenden Gerichtsverfahrens war. In diesem Beschluss untersagte das Bundeskartellamt Meta, sich durch Zustimmung zu den Allgemeinen Nutzungsbedingungen zur Nutzung von Facebook auch die Erhebung und Verarbeitung von sogenannten “Off-Facebook-Daten” genehmigen zu lassen.
Off-Facebook-Daten
Bei den Off-Facebook-Daten handelt es sich um Informationen, die Meta außerhalb von Facebook, Instagram oder WhatsApp sammelt. Diese Daten werden durch das Werbenetzwerk von Meta auf zahlreichen Webseiten und Apps sowie den zum Meta-Konzern gehörenden Online-Diensten erfasst. Mithilfe dieser Off-Facebook-Daten kann Meta das Konsumverhalten, die Interessen, die Kaufkraft und die Lebenssituation der Nutzer in Profilen erfassen. Auf dieser Grundlage können gezielte und personalisierte Werbenachrichten an die Facebook-Nutzer gesendet werden.
BKartA rügt Metas Nutzungsbedingungen
Die Nutzungsbedingungen müssten vielmehr klarstellen, dass diese Daten nur mit ausdrücklicher Einwilligung verarbeitet und mit dem Facebook-Nutzerkonto verknüpft werden. Darüber hinaus dürfe die Einwilligung nicht zur Voraussetzung für die Nutzung des sozialen Netzwerkes gemacht werden. Das Bundeskartellamt war der Ansicht, dass durch diese Gestaltung der Nutzungsbedingungen, die nicht den Marktverhaltensregeln und Werten der DSGVO entspricht, Meta seine marktbeherrschende Stellung missbrauche. Kurz darauf, noch im Jahr 2019, änderte Meta seine eigenen Nutzungsbedingungen dahingehend, dass die Nutzer bei der Nutzung von Facebook-Produkten in die Verarbeitung von Off-Facebook-Daten einwilligen müssen, da ansonsten für die Services keine Kosten entstehen würden.
Gegen diesen Beschluss des Bundeskartellamts legte Meta gerichtlichen Widerspruch ein. Im Laufe dieses Verfahrens wandte sich das Oberlandesgericht (OLG) Düsseldorf in einem sogenannten Vorlageverfahren an den EuGH. Bei einem Vorlageverfahren entscheidet der EuGH nicht als höhere Instanz über den jeweiligen Rechtsstreit, sondern beantwortet spezifische Fragen zur Auslegung des Europäischen Rechts, wie beispielsweise der DSGVO.
Die Vorlage an den EuGH
Der EuGH hat ausschließlich zu den spezifischen Fragen des vorlegenden Gerichts Stellung genommen, und die Antworten des EuGH sind für das OLG Düsseldorf bindend, wenn es seine eigene Entscheidung in der Sache trifft. Letztendlich liegt die endgültige Entscheidung in der Zuständigkeit des OLG Düsseldorf.
Das Urteil hat auch erhebliche Auswirkungen auf zukünftige Bewertungen im Bereich des Datenschutzes. Die Tatsache, dass ein soziales Netzwerk kostenlos ist, bedeutet nicht automatisch, dass die Daten des Nutzers ohne dessen Einwilligung zur Personalisierung von Werbung verarbeitet werden können. Daher kann das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO keine rechtliche Grundlage dafür sein. Jedoch hat der EuGH wiederholt betont, dass Marketing weiterhin auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, sofern die Nutzungsbedingungen von Meta transparent und für den Nutzer verständlich geändert werden. Somit wird auch in Zukunft Werbung ohne Einwilligung möglich sein.
Das Urteil scheint auch eine bisher ungeklärte Frage zu beantworten, nämlich ob alternative Rechtsgrundlagen aus Art. 6 Abs. 1 lit. b-f DSGVO überhaupt herangezogen werden können, wenn eine zuvor erteilte Einwilligung als rechtswidrig erachtet wird. Der EuGH betont jedoch, dass solche alternativen Rechtsgrundlagen in solchen Fällen eng auszulegen sind.
BfDI Professor Ulrich Kelber äußerte sich dazu wie folgt: “Ich bin erfreut darüber, dass der EuGH anerkennt, wie wichtig die Einhaltung von Datenschutzanforderungen für den Wettbewerb ist und dass Kartellbehörden befugt sind, die Vereinbarkeit des Verhaltens von Unternehmen mit dem Datenschutzrecht zu überprüfen. Mein Glückwunsch geht an das Bundeskartellamt für diesen Erfolg.”
Zusammenarbeit zwischen Datenschutz- und Kartellbehörden
Der EuGH klärte auch, dass Verstöße gegen die DSGVO vorrangig von Datenschutzaufsichtsbehörden festgestellt werden sollten. Das bedeutet, dass das Bundeskartellamt die zuständigen Datenschutzaufsichtsbehörden in datenschutzrechtliche Fragen einbeziehen muss, bevor es eigene Entscheidungen trifft.
Hierzu kommentierte der BfDI: “Kartell- und Datenschutzaufsichtsbehörden können datengetriebene Geschäftsmodelle nur erfolgreich regulieren, wenn sie eng zusammenarbeiten. Das bestätigt die Praxis in Deutschland, wo Bundeskartellamt und der Bundesdatenschutzbeauftragte entsprechend kooperieren. Gemeinsam mit unseren europäischen Kolleginnen und Kollegen werde ich die Entscheidung in der Task Force des Europäischen Datenschutzausschusses zum Zusammenspiel von Datenschutz, Wettbewerb und Verbraucherschutz auswerten und Best Practices für eine effiziente Zusammenarbeit festlegen, damit Bürgerinnen und Bürger besser vor rechtswidrigen und missbräuchlichen Datenverarbeitungen geschützt werden. Die Erfahrungen der Zusammenarbeit in Deutschland sind dafür eine gute Grundlage.”
Fazit
Zusammenfassend lässt sich festhalten, dass Onlinemarketing auch in Zukunft weiterhin möglich sein wird. Obwohl diese Entscheidung sich speziell auf den Einzelfall Meta konzentriert hat, enthält sie dennoch neue und wertvolle Erkenntnisse, die auch für die Bewertung anderer Social Media Dienste relevant sein könnten, die keine marktbeherrschende Position innehaben und weniger Daten sammeln oder andere Techniken verwenden.
31. Juli 2023
Die Datenschutzkonferenz (DSK) veröffentlichte Anfang dieses Monats eine Stellungnahme zum Referentenentwurf zur Verordnung über Dienste zur Einwilligungsverwaltung des Bundesministeriums für Digitales und Verkehr (BMDV). Der Entwurf behandelt die konkrete Umsetzung des § 26 Abs. 2 TTDSG. Dieser sieht vor, dass der Bund eine Rechtsverordnung erlassen darf, in der die Funktionen von Diensten zur Einwilligungsverwaltung und ihre Anerkennung durch eine zuständige unabhängige Stelle geregelt wird.
Künftig keine Cookie-Banner mehr?
Für Telekommunikationsanbieter sieht § 25 Abs. 1 TTDSG vor, eine Einwilligung von den Nutzern einzuholen, sie sie ihre Informationen im Endgerät speichern oder auslesen. Ausnahme dazu bildet § 25 Abs. 2 TTDSG, nach dem bei erforderlichen Technologien keine Einwilligung für das Speichern oder Auslesen notwendig ist. Dies ist Grund, weshalb beim Besuch einer Webseite der Nutzer jedes Mal seine Einwilligung für die Verwendung von Cookies abgeben muss (zu den Regelungen des TTDSG berichteten wir – hier -). Um die Anwendung von Cookies und insbesondere die Abgabe der Einwilligung zu vereinfachen, sieht das TTDSG die Einrichtung sog. Dienste zur Einwilligungsverwaltung vor. Mit Hilfe der Dienste können Nutzer ihre Einwilligungspräferenzen einmal festlegen. Diese übermitteln die Einwilligung dann weiter an Webseitenbetreiber, sodass nach dem Entwurf das erklärte Ziel ist, dass kein Cookie-Banner mehr verwendet werden, müssen. Dies kann dazu beitragen, dass Nutzer Cookie-Banner nicht ungelesen „wegklicken“ und damit eine uninformierte Einwilligung abgeben.
Reaktion der DSK
Aus Sicht der DSK sei es allerdings nicht möglich keine Cookie-Banner einzusetzen. Aus Sicht der DSK seien Cookie-Banner regelmäßig so gestaltet, dass nicht nur eine Einwilligung nach § 26 TTDSG eingeholt werden. Der Banner diene auch dazu eine Einwilligung nach art. 6 Abs. 1 lit. A Datenschutz-Grundverordnung (DSGVO) und nach § 9 Abs. 1 lit. a) DSGVO einzuholen. Für diese beiden von § 25 TTDSG zu unterscheidenden Rechtsgrundlagen bietet § 26 TTDSG gerade keine Rechtsgrundlage. Die Einwilligungen nach der DSGVO dienten anderen Zwecken.
Unabhängig von der Frage nach weiterhin erforderlichen Einwilligungen, enthalte der Entwurf, so die DSK, nicht die Möglichkeit, dass Nutzer einmal gegenüber dem Dienst eine Einwilligung abgeben und anschließend jede Webseite ohne Aufzeigen eines Cookie-Banners frei zugänglich sei. Stattdessen müsse der Nutzer bei jedem erstmaligen Besuch einer jeden Webseite eine Einwilligung abgeben. Diese könne anschließend über den Dienst gespeichert werden, sodass der Nutzer die Einwilligung nur einmal abgeben müsse.
Fazit
Nach dem jetzigen Stand ist mit dem neuen Entwurf ein Abrücken von Cookie-Bannern nicht denkbar. Für die Nutzer wie auch für Unternehmen bleiben Cookies ein wichtiges Thema, dessen Umsetzung in der Praxis künftig eine Erleichterung finden kann. Derzeit bieten viele Webseiten bereits verschiedene Möglichkeiten zur individuellen Cookie-Verwaltung.
Pages: 1 2 ... 13 14 15 16 17 ... 275 276 
