27. August 2021
Der österreichische Oberste Gerichtshof (OGH) hat im Rechtsstreit von Max Schrems gegen Facebook den Europäischen Gerichtshof (EuGH) angerufen, um einzelne Fragen überprüfen zu lassen. Die Fragen beziehen sich auf die Rechtmäßigkeit der Datennutzung durch Facebook bei allen Nutzer:innen innerhalb der EU.
Das zuständige Landesgericht urteilte im Sommer, dass die Datenverarbeitung vertrags- und rechtskonform sei. Diese Ansicht teilte auch das Oberlandesgericht Wien. Im März wandte sich Schrems dann an den OGH.
Einwilligung oder Vertrag zur Datennutzung
In dem Rechtsstreit geht es unter anderem um die Frage, ob Nutzer:innen tatsächlich eine Einwilligung oder einen Vertrag mit Facebook schließen, da Facebook als angebliche “Leistung” Werbung anbiete. Da diese beiden Rechtsgrundlagen in der DSGVO verschieden geregelt seien, argumentiert Facebook, dass die Regeln der DSGVO zur Einwilligung nicht mehr anwendbar wären. Laut Schrems wären damit die Vorschriften, die vorgeben, wie eine eindeutige Zustimmung aussehen müsse (und auch jederzeit widerrufen werden könne), hinfällig. Dies sei eine rechtswidrige Umgehung der DSGVO.
Werbe-Targeting und Verarbeitung sensibler Daten
Entscheiden soll der EuGH nun auch konkrete Fragen rund ums Werbe-Targeting. Dazu gehört auch die Fragestellung, ob die Verwendung aller personenbezogener Daten der Nutzer:innen auf Facebook sowie aus vielen anderen Quellen, wie etwa Websites, die Facebook “Like”-Buttons oder Werbung verwenden, mit der DSGVO und dem Grundsatz der “Datenminimierung” vereinbar ist.
Des Weiteren beziehen sich die Fragen auch auf die Problematik der Filterung und Verwendung sensibler Daten, wie beispielsweise politische Ansichten oder sexuelle Orientierung für personalisierte Werbung. “Diese weiteren Fragen sind extrem wichtig, da Facebook dann selbst bei einer gültigen Einwilligung möglicherweise nicht mehr alle Daten für Werbung nutzen darf”, so Schrems dazu. Zusätzlich müsste der Konzern dann möglicherweise sensible Daten wie politische Ansichten oder Daten zur sexuellen Orientierung herausfiltern.
Anspruch auf Schadensersatz möglich
Vor dem OGH konnte Schrems bereits einen Teilerfolg verbuchen. Das Gerichts sprach ihm 500 Euro Schadensersatz zu, da Facebook ihm keinen vollen Zugang zu den über ihn gespeicherten Daten gewährt hatte. Der Konzern habe Schrems damit „massiv genervt“, daraus begründe sich ein berechtigter Anspruch auf Schadensersatz.
“Verliert Facebook vor dem EuGH, müssten sie nicht nur damit aufhören Daten zu missbrauchen und illegal gesammelte Daten löschen, sondern auch Millionen von Nutzer:innen Schadenersatz zahlen. Wir sind über die Vorlage daher sehr glücklich”, so Max Schrems.
24. August 2021
Medienberichten zufolge sieht sich der Digitalkonzern Amazon mit dem höchsten Bußgeld in der Geschichte der Datenschutzgrundverordnung konfrontiert. Wie die Nachrichtenagentur Bloomberg berichtete, hat die Luxemburger Datenschutzbehörde Commission nationale pour la protection des données (CNPD) dem Konzern ein Bußgeld in Höhe von 746 Millionen Euro auferlegt. Dies geht auch aus dem Quartalsbericht des Unternehmens hervor.
Dem Beschluss vorangegangen war eine Beschwerde der französischen Bürgerrechtsorganisation La Quadrature du Net und mehr als zehntausend Unterstützerinnen und Unterstützern aus Mai 2018. In dieser beanstandet die Organisation, dass Nutzerinnen und Nutzer den Einsatz personalisierter Werbung auf der Webseite des Online-Marktplatzes nicht ablehnen könnten. Dabei sähe die Datenschutzgrundverordnung eine freie Wahl diesbezüglich vor. Auch die Luxemburger Datenschutzbehörde sah den freien Willen der Nutzerinnen und Nutzer und damit das Recht auf informationelle Selbstbestimmung derer verletzt. Durch das von der Einverständniserklärung der Nutzerinnen und Nutzer losgelöste Werbe-Targeting durch den Konzern könnten Grundprinzipien der Datenschutzgrundverordnung verletzt worden sein.
Amazon hingegen wies den Vorwurf zurück und kündigte Berufung an. Laut einem Sprecher des Unternehmens gab es “keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben“. Weiterhin führte er aus, dass es im Hinblick darauf, wie Amazon Kundinnen und Kunden relevante Werbung anzeige, die Entscheidung der CNDP auf subjektiven und ungeprüften Auslegungen des europäischen Datenschutzes beruhe und die beabsichtigte Geldbuße selbst bei dieser Auslegung in keinem Verhältnis stünde. Als Reaktion auf diese Stellungnahme konterte La Quadrature de Net in seinem Beitrag über den Beschluss, dass Amazon insofern Recht habe, als dass die Entscheidung nicht Datenpannen zum Gegenstand hatte. Vielmehr ginge es um das Target-Advertising selbst und damit um ein Herzstück der Big-Tech-Unternehmen.
Nach der angekündigten Berufung werden die Gerichte entscheiden. Diese hatten in der Vergangenheit bei hohen Bußgeldern zumeist zugunsten der angeklagten Unternehmen mildere Strafen erlassen, als die Datenschutzbehörden. So musste die Fluggesellschaft British Airways wegen einer Datenschutzpanne 22 Millionen Euro Bußgeld bezahlen – statt zunächst verhängten 204 Millionen Euro. Diese Herabsetzung war jedoch insbesondere mit den wirtschaftlichen Einbußen des Unternehmens in der Corona-Pandemie begründet. Eine ähnliche Begründung würde aufgrund des enormen Zuwachses des Online-Händlers, insbesondere zu Beginn der Corona-Pandemie, jedoch nicht zu erwarten sein.
20. August 2021
Der Datenschutzverein noyb (none of your business) legte am 13.08.2021 Beschwerde gegen die Cookie-Paywalls von sieben großen Nachrichten-Websites (SPIEGEL.de, Zeit.de, heise.de, FAZ.net, derStandard.at, krone.at und t-online.de) ein.
Hinter den Cookie-Paywalls steht ein fragwürdiges Konzept:
Entweder stimmen die Nutzer*innen der Datenweitergabe an mitunter hunderte Tracking-Unternehmen zu oder sie schließen ein Abonnement für bis zu 84,00 Euro pro Jahr ab. Dabei stelle sich die Frage, ob eine Einwilligung freiwillig erteilt werden kann, wenn sonst ein Vielfaches des Marktpreises gezahlt werden müsse, um so die eigenen Daten nicht preiszugeben. Darüber hinaus werde auch gegen das Kopplungsverbot verstoßen. Auch die konkrete Einwilligungsausgestaltung wird angegriffen.
Medien rechtfertigen Abonnements
Die betroffenen Medienhäuser rechtfertigen ihre Abonnements in öffentlichen Statements. Heise.de veröffentlichte dazu: „Für uns war die Einführung des Pur-Abos Anfang 2021 aufgrund der Entwicklung des Online-Werbemarkts notwendig. Die meisten unserer Leserinnen und Leser akzeptieren, dass wir in der aktuellen Situation des Werbemarktes ihre Einwilligung für die Werbevermarktung benötigen.“
Datenschutzaufsicht und Rechtsprechung: Abonnements können DSGVO-konform sein
Die Datenschutzbehörde Österreich entschied bereits 2018 im Fall “Der Standard”, dass die damalige Ausgestaltung nicht zu beanstanden wäre: “Im Ergebnis liegt in den Konsequenzen bei Nichtabgabe einer Einwilligung bei weitem kein wesentlicher Nachteil vor und die betroffene Person ist mit keinen beträchtlichen negativen Folgen konfrontiert.“ Bei noyb sei man jedoch dazu entschlossen, diese Entscheidung zu revidieren. Nach eigenen Angaben wurde dieser Fall von einem Laien vor die Behörde gebracht und basiere auf faktisch falschen Annahmen.
Darüber hinaus verweist beispielsweise auch der Heise Medien Verlag auf die zuständige Datenschutzbehörde Niedersachsen. Dort bestätigte die Datenschutzbeauftragte Barbara Thiel in ihrer Handreichung zur datenschutzkonformen Einwilligung auf Webseiten, dass solche Abonnements DSGVO-konform sein können: „Es wird allerdings nicht gegen die Freiwilligkeit verstoßen, wenn dem Nutzer neben der Einwilligung die Alternative angeboten wird, die Sichtbarkeit der Inhalte durch eine angemessene Bezahlung herbeizuführen.“
Weitere Defizite bei der Freiwilligkeit
Des Weiteren sei die Einwilligung mit einem großen Aufwand und Kosten für die Nutzer*innen verbunden. “Nein” zu sagen, sei äußerst aufwändig. Man müsse seinen Namen, Anschrift und Kreditkartendaten preisgeben. Zusätzlich entständen auch vergleichsweise hohe Kosten für die Nutzer*innen.” Diese ständen in einem groben Missverhältnis zur Weitergabe der Daten. Während diese den Medienhäusern nur ein paar Cent pro Nutzer*in bringe, verlange der SPIEGEL oder die FAZ aktuell je 59,88 Euro pro Jahr um Daten nicht weiterzureichen. Die ZEIT verlange 62,40 Euro und der Standard gar 84,00 Euro pro Jahr für sein “PUR Abo” ohne Werbung, so der Verein.
„Die meisten Nutzer*innen besuchten dutzende Nachrichtenseiten pro Monat, weshalb für sie substanzielle Kosten entstehen würden, um die Weitergabe ihrer Daten zu verhindern“, so der Datenschutzverein.
noyb sieht toxische Abhängigkeit von großen Konzernen
Nach Angaben des Datenschutzvereins erhielten laut einer Studie aus den USA Medien nur etwa 4% der Mehreinnahmen durch die Datenweitergabe. „Viele Medienhäuser haben sich in eine toxische Abhängigkeit von großen Konzernen begeben. Sie verscherbeln die Daten und das Vertrauen ihrer Leser für ein paar Cent. Die großen Gewinne wandern trotzdem zu den großen Unternehmen der Werbeindustrie – genau wie die Daten“, so der Datenschutzjurist Alan Dahi.
Ein Lösungsansatz
Laut noyb liege die Lösung in datenschutzkonformer Werbung. „Wir brauchen ordentlich finanzierte Medien. Es ist jedoch ein Trugschluss, dass die Finanzierung unbedingt durch das Verschleudern von Userdaten an Google und Co. passieren muss. Innovative Werbesysteme, die Medienhäuser selbst betreiben und bei denen sowohl Daten als auch Gewinne bei den Qualitätsmedien bleiben, sind nicht nur rechtlich geboten, sondern wohl auch eine wirtschaftliche Überlebensfrage. Aktuell werden die ehemaligen Flaggschiffe der freien Presse zu Litfaßsäulen und Datensammler für die Werbeindustrie. Wir müssen wieder zu einem System kommen, wo der Leser der Werbung folgt, nicht die Werbung dem Leser”, so Dahi in dem von noyb veröffentlichten Statement.
19. August 2021
Egal ob Kindergeburtstag, Einschulung oder der Ausflug ins Freibad – Familienfotos, Videos und Schnappschüsse von den Kleinen bleiben längst nicht mehr im Fotoalbum oder auf Großmutters Kaminsims. Hier greift die sogenannte „Haushaltsausnahme“ (Art. 2 Abs. 2 lit. c DSGVO) für private Nutzung und die DSGVO ist nicht anwendbar. Eltern veröffentlichen und teilen ihre Erinnerungsstücke aber längst begeistert in den sozialen Netzwerken, damit ihre Liebsten die ganze Welt sehen kann. Nicht nur im Hinblick auf die Gefahren die dabei lauern und auf die Privatsphäre der Kinder ist das problematisch. Richtig problematisch wird es erst recht dann, wenn die Eltern sich uneinig sind, ob und zu welchen Zwecken Fotos ihres Kindes veröffentlicht werden dürfen. Dass die Einwilligung eines einzelnen von zwei sorgeberechtigten Eltern nicht ausreicht, zeigt ein aktueller Beschluss des OLG Düsseldorf (Beschluss vom 20.07.2021 – 1 UF 74/21).
Der Sachverhalt
In dem dem OLG Düsseldorf vorgelegten Fall lebten die Eltern getrennt, waren aber gemeinsam sorgeberechtigt. Die neue Partnerin des Vaters machte Fotos der gemeinsamen Kinder, welche sie später auf Facebook und Instagram zu Werbezwecken für ihren Friseursalon verbreitete. Während der Vater einer solchen Verwendung der Fotos zugestimmt hatte, sprach sich die Mutter gegen die Veröffentlichung aus und forderte die Partnerin auf, die veröffentlichten Fotos zu löschen und weitere Uploads zu unterlassen. Die Partnerin kam der Aufforderung nicht nur nicht nach, sondern stellte darüber hinaus neue Fotos in die sozialen Netzwerke.
Die rechtliche Bewertung
Die Veröffentlichung der Fotos in den sozialen Netzwerken bedarf mangels anderweitiger Rechtsgrundlagen einer Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO. Die Einwilligung ist in diesem Fall die Einwilligung der sorgeberechtigten Eltern als Träger der elterlichen Verantwortung gemäß Art. 8 Abs. 1 S. 2 DSGVO, wobei das deutsche Sorgerecht den Begriff “Träger der elterlichen Verantwortung” ausfüllt. Darüber hinaus verlangt auch § 22 KUG die Einwilligung.
Bei Eltern die dauerhaft getrennt leben, aber das gemeinsame Sorgerecht haben, ist für die Einwilligung entscheidend, ob es sich bei der Angelegenheit um eine solche handelt, die für das Kind von erheblicher Bedeutung ist. Denn dann ist nach § 1687 Abs. 1 S. 1 BGB das gegenseitige Einvernehmen der Sorgeberechtigten erforderlich.
Das Gericht betrachtet die Veröffentlichung von Kinderfotos in den sozialen Netzwerken ohne jeden Zweifel als eine Angelegenheit, die für das Kind von erheblicher Bedeutung ist: Die Veröffentlichung habe schwer abzuändernde Auswirkungen auf die Entwicklung des Kindes. Der mögliche Adressatenkreis sei unbegrenzt und schwer kontrollierbar. Die einmalige Entscheidung, ein Foto hochzuladen sei quasi irreversibel aufgrund mangelnder verlässlicher Löschmöglichkeiten- das Internet vergisst nicht. Somit bestehe über eine gesamte Lebensdauer hinweg potenziell das Risiko, durch eine unbegrenzte Anzahl an Menschen mit schönen wie peinlichen, ggf. aber auch individuell als entwürdigend wahrgenommenen Abbildungen aus der Kindheit konfrontiert zu werden. Das tangiere spürbar Persönlichkeit und Privatsphäre des Kindes.
Dies macht deutlich, dass es sich bei der vermeintlich harmlosen Entscheidung über die Veröffentlichung eines Kinderfotos bei näherer Betrachtung um eine Entscheidung von erheblicher Bedeutung handelt. Damit wäre im konkreten Fall auch eine Einwilligung der Mutter einzuholen gewesen. Mangels dieser war die Veröffentlichung unzulässig und die Fotos sind unverzüglich zu löschen.
Fazit
Nicht erst seit diesem Beschluss des OLG Düsseldorf steht fest: Wirklich alle, nicht ausschließlich getrennt lebende Eltern, die gemeinsam das Sorgerecht ausüben, sollten sich verantwortungsvoll und ernsthaft darüber einigen, ob und in welchem Umfang sie Bilder von ihren Kindern ins Netz stellen wollen. Es ist wichtig, diese Entscheidung in dem Bewusstsein über die Risiken und über die Auswirkungen auf die zukünftige Persönlichkeitsentwicklung des Kindes zu treffen.
18. August 2021
Im Zuge des Vormarsches der Taliban-Truppen in Afghanistan sollen diese in den Besitz von biometrischen Daten gelangt sein. Dies berichtete ein US-Magazin, demzufolge Geräte, die von dem US-Militär zur biometrischen Identifizierung benutzt werden, sogenannte “Handheld Interagency Identity Detection Equipment” (HIIDE) in die Hände der Taliban gefallen seien. Dabei handelt es sich um eine Art Kamera, mit der Aufnahmen der Iris und des Gesichts gemacht und Fingerabdrücke gespeichert werden können. Diese Daten werden auch auf der HIIDE gespeichert. Zusätzlich sollen die Geräte auch auf andere Datenbanken zugreifen können.
Obwohl die Geräte ursprünglich für die Identifikation von Terroristen gedacht waren, wurden sie in der Praxis dafür eingesetzt, Einheimische, die mit den US-Truppen zusammenarbeiteten, zu identifizieren. Somit sind aktuell vor allem Daten von Helfenden gespeichert. Ob die Taliban bereits jetzt unbegrenzten Zugriff auf die Daten hat, ist nicht klar. Es wird aber befürchtet, dass Geheimdienste von Ländern, die mit der Taliban sympathisieren, z.B. Pakistan, dabei behilflich sein könnten.
Die Neuigkeit kommt gleichzeitig mit anderen Warnungen über Datensicherheit in Afghanistan. Ebenfalls wird befürchtet, dass die Taliban nun auch auf staatliche Datensätze Zugriff erhalten könnte. Behörden hatten biometrische Daten u.a. für die Registrierung zu Wahlen gesammelt. Die Daten könnten genutzt werden, um weitere HelferInnen der ausländischen Truppen oder bestimmte Bevölkerungsgruppen zu identifizieren.
Viele AfghanInnen fürchten nach dem Machtwechsel Repressalien aufgrund ihrer Tätigkeit, Verbindungen oder Lebensweise. Sie sind längst dazu übergegangen, in Eile Dokumente, Nachrichten und Handy-Verläufe zu löschen. Offizielle und wichtige Dokumente werden fotografiert und an Bekannte geschickt, anschließend vernichtet. Auch offizielle Stellen wissen um die Gefahr, die von diesen Daten ausgeht. So hatte die US-Botschaft in Afghanistan sein Personal noch dazu aufgefordert, alle sensiblen Daten vor Ort zu vernichten. Hilfseinrichtungen und Organisationen wurden von der US-Behörde für internationale Entwicklung dazu aufgefordert, Fotos und Informationen, die lokale AfghanInnen identifizierbar machen, zu löschen. Die Menschenrechts-Organisation Human Rights First veröffentlichte einen Leitfaden, wie Betroffene möglichst viel ihrer digitalen Spuren noch löschen können. Betroffene fürchten nun vor allem die Rache der Taliban, sollten sie identifiziert werden können. Dieses Geschehen verdeutlicht, welcher Missbrauch im Extremfall mit Daten betrieben werden kann und wie gefährlich dies für die Betroffenen ist.
16. August 2021
Der Hamburgische Beauftagte für Datenschutz und Informationsfreiheit (HmbBfDI) hat heute in einer Pressemitteilung bekannt gegeben, dass er die Hamburger Senatskanzlei vor dem Einsatz der Videokonferenzlösung von Zoom Inc. in der sog. “on-demand-Variante” offiziell gewarnt habe.
Hintergrund
Zoom ist ein US-amerikanisches Softwareunternehmen für Videokonferenzen. Dessen Einsatz seit dem sog. “Schrems-II-Urteil” des EuGH und dem damit verbundenen Wegfall des Privacy Shields nur unter Einhaltung sehr strenger Voraussetzungen möglich ist. Problematisch an einem Einsatz von Zoom ist insbesondere der Datentransfer in die USA, dessen Rechtsgrundlage durch das Schrems-II-Urteil gekippt wurde, da US-Geheimdienste umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben und damit eine Massenüberwachung befürchtet wird. Daher ist der Einsatz von US-Konferenzdiensten wie Zoom nur in Ausnahmefällen möglich und bedarf einer genauen Prüfung, deren Vorgaben der europäische Datenschutzausschuss in seinen Empfehlungen formuliert hat.
Sachverhalt
Diese strengen Voraussetzungen liegen bei der Senatskanzlei und dem geplanten Einsatz von Zoom nicht vor.
Nachdem die Senatskanzlei die Hamburger Aufsichtsbehörde zwar frühzeitig über entsprechende Pläne zum Einsatz von Zoom informiert habe, sei die Senatskanzlei in der Folge den Aufforderungen der Aufischtsbehörde entsprechende Unterlagen oder Argumente vorzulegen, die eine andere rechtliche Bewertung zuließen, nicht nachgekommen. Deshalb sei nach Einleitung eines formalen Verfahrens durch Anhörung der Senatskanzlei Mitte Juni 2021 nun die formale Warnung nach Art. 58 Abs. 2 lit. a DSGVO der erforderliche nächste Schritt gewesen.
Befugnisse der Aufsichtsbehörden
Nach Art. 58 DSGVO verfügt jede Aufsichtsbehörde über vielfältige Untersuchungs-, Abhilfe- oder Genehmigungsbefugnisse. Dazu gehört gem. Art 58 Abs. 2 lit. a DSGVO u.a. auch die Befugnis, einen Verantwortlichen oder Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die DSGVO verstoßen. Dies ist hier geschehen. Der HmbBfDI begründet dies damit, dass neben der Wirtschaft auch die öffentliche Verwaltung die strengen Anforderungen erfüllen müssen, die an einen Drittstaatentransfer gestellt werden. Zudem gebe es auch europäische Dienstleister, die Videokonferenzsysteme in den eigenen Rechenzentren anbieten und die erfolgreich genutzt werden könnten. Daher sei für den HmbBfDI unverständlich, weshalb auf einen US-Anbieter zurückgegriffen werden müsse, dessen Einsatz rechtlich hoch problematisch sei.
Ausblick
Die von dem HmbBfDI ergriffenen Maßnahmen zeigen einmal mehr, dass der Einsatz von US-amerikanischen Tools rechtlich sehr schwierig ist und eine Nutzung von den Aufsichtsbehörden genau geprüft wird.
Folgt die Senatskanzlei der offiziellen Warnung nicht und führt Zoom dennoch ein, so kann der Hamburger Datenschutzbeauftragte nach Art. 58 Abs. 5 DSGVO diesen Verstoß den Justizbehörden zur Kenntnis bringen und ggf. die Einleitung eines gerichtlichen Verfahrens betreiben oder sonstige Maßnahmen ergeifen.
13. August 2021
Der Technikriese Apple hat in der letzten Woche neue Funktionen zum Schutz von Kindern angekündigt. Insbesondere für Aufsehen sorgte hierbei die Ankündigung, Apple wolle einen iCloud-Filter implementieren, der – zunächst nur in den USA – automatisiert Bilder mit kinderporonografischem Material entdecke, wenn die Fotos in die appleeigene Cloud hochgeladen werden. Funktionieren soll dies, indem auf die jeweiligen Geräte eine Datei mit sog. “Hashes” von bereits bekannten kinderpornografischen Inhalten geladen werden. Der Hash ist unveränderbar und trägt dazu bei, dass Kopien dieser Hashes auf den Endgeräten der NutzerInnen wiedererkannt werden können. Bei Vorliegen einer Übereinstimmung der Hashes wird das Material nach interner Prüfung durch Apple an die US-Nichtregistrierungsorganisation NCMEC (“National Center for Missing & Exploites Children”) gemeldet, die dann die zuständigen Behörden in den jeweiligen Fall miteinbeziehen soll.
Schnell wurde Kritik laut, dass durch den iCloud-Filter eine Totalüberwachung der Fotos und Inhalte auf den Endgeräten der NutzerInnen entsteht und es Regierungen die Möglichkeit gibt, die Inhalte auch zu anderen Zwecken von Apple herauszuverlangen. Der Facebook-Manager und WhatsApp-Chef Will Cathcart twitterte beispielsweise, dass sie dem Beispiel von Apple nicht folgen würden und keinen ähnliche Filter entwickeln würden.
Apple begegnete der Kritik bereits mit einer FAQ, in der das Unternehmen beteuerte, jegliche Versuche von Regierungen, den Filter für die Analyse von anderen Inhalten und zu anderen Zwecken zu nutzen, zurückzuweisen. Die Einführung des iCloud-Filters führe zudem nicht dazu, dass auch alle Fotos die lokal auf den Geräten der NutzerInnen gespeichert sind, gescant werden.
6. August 2021
Am 10.Juni 2021 hat China ein neues Datensicherheitsgesetz verabschiedet, das sich auf alle Unternehmen auswirken wird, die in China tätig sind oder mit China Geschäfte betreiben. Das Gesetz, das am 1.September 2021 in Kraft treten wird, hat einen weitreichenden Geltungsbereich. Es legt umfangreiche Verpflichtungen für die Datenverarbeitung fest und sieht bei Verstößen potenziell schwere Strafen vor. Auch wenn viele Details der Umsetzung noch unklar sind, sollten Unternehmen mit globaler Geschäftspräsenz angesichts der umfangreichen Anforderungen des Gesetzes und der hohen Strafen bei Nichteinhaltung jetzt mit der Planung beginnen.
Obwohl noch keine offizielle englische Übersetzung vorliegt, ist jedoch mittlerweile bereits eine inoffizielle Übersetzung vorhanden. Das Datensicherheitsgesetz hat eine große Reichweite; es regelt nicht nur Datenverarbeitungsaktivitäten innerhalb Chinas, sondern auch solche außerhalb Chinas, die der nationalen Sicherheit oder dem öffentlichen Interesse Chinas schaden oder die rechtlichen Interessen eines chinesischen Bürgers oder einer chinesischen Organisation beeinträchtigen könnten.
Inhalt des Gesetzes
Das Gesetz sieht vor, dass die chinesische Zentralregierung ein hierarchisches Datenkategorisierungs- und -klassifizierungssystem einführt, das die Daten entsprechend ihrer Bedeutung für die chinesische Wirtschaft, die nationale Sicherheit sowie öffentliche und private Interessen regelt. Auf der Grundlage dieses Systems sowie eines detaillierten Katalogs “wichtiger Daten”, der auf nationaler Ebene formuliert wird, wird jede Region und jedes Ministerium in China einen eigenen Katalog “wichtiger Daten” herausgeben. Die Einzelheiten dieses Systems – einschließlich einer Definition des Begriffs “wichtige Daten”, die noch nicht in chinesischen Gesetzen oder Vorschriften enthalten ist – werden voraussichtlich in künftigen Durchführungsbestimmungen festgelegt.
Verpflichtungen für Unternehmen
Das Datensicherheitsgesetz erlegt Unternehmen und Einzelpersonen, die mit der Datenverarbeitung befasst sind, umfangreiche Pflichten auf. Zu diesen Verpflichtungen gehören zum einen die Einrichtung eines Managementsystems für die Datensicherheit, Ergreifung der erforderlichen Maßnahmen zur Gewährleistung der Datensicherheit und Durchführung von Schulungen zur Datensicherheit und zum anderen die Überwachung potenzieller Risiken und, im Falle der Entdeckung eines Sicherheitsvorfalls, die unverzügliche Benachrichtigung der Nutzer und Ergreifung von Abhilfemaßnahmen.
Je sensibler die zu verarbeitenden Daten sind, desto strenger sind die Datensicherheitsverpflichtungen eines Unternehmens. So müssen Unternehmen, die “wichtige Daten” verarbeiten, nicht nur strenge Verarbeitungsbeschränkungen für “nationale Kerndaten” einhalten, sondern auch einen Datensicherheitsbeauftragten benennen, eine Abteilung für Datensicherheitsmanagement einrichten, regelmäßige Bewertungen zur Überwachung potenzieller Risiken durchführen und die Ergebnisse an die zuständigen Regierungsbehörden melden.
Strafen
Diejenigen, die gegen ihre Verpflichtungen aus dem Datensicherheitsgesetz verstoßen, müssen mit schweren Strafen rechnen. Die chinesischen Behörden können gegen Unternehmen, die die Vorschriften nicht einhalten, Geldstrafen von bis zu 77.000 US-Dollar (500.000 Yuan) verhängen, den Verantwortlichen zusätzliche Geldstrafen auferlegen und Abhilfemaßnahmen anordnen.
Fazit
Viele der Anforderungen des Gesetzes scheinen anderen Datensicherheitsgesetzen zu entsprechen, insbesondere denen der Datenschutz-Grundverordnung (DSGVO). So verlangen beide im Allgemeinen, dass Unternehmen geeignete Maßnahmen zum Schutz der Datensicherheit ergreifen, die Nutzer im Falle eines Vorfalls benachrichtigen und verantwortliche Beauftragte benennen. In vielerlei Hinsicht sind die Anforderungen des Datensicherheitsgesetzes jedoch weitreichender als die der DSGVO. So regelt das neue chinesische Gesetz nicht nur die personenbezogenen Daten chinesischer Bürger, sondern auch Daten, die für die nationale Sicherheit und die Wirtschaft Chinas wichtig sind. Außerdem enthält es viel strengere Beschränkungen für die Datenübertragung als die DSGVO.
Europas Währungshüter prüfen seit einer Weile die mögliche Einführung eines digitalen Euros. In einer zweijährigen Untersuchungsphase soll es nun um Aspekte wie Technik und Datenschutz gehen. Ob ein digitaler Euro wirklich kommen soll, ist derzeit noch offen.
Ein digitaler Euro sollte Verbraucherschützern zur Folge so weit wie möglich die Vorteile von Bargeld abbilden. So schilderte Dorothea Mohn, vom Verbraucherzentrale Bundesverband (vzbv) der Deutschen Presse-Agentur gegenüber, dass „Zahlungen in der digitalen Welt wie bei Bargeld auch anonym sein sollten”. „Kern muss der Schutz der Privatsphäre sein.“
Datenschutz sicherstellen
Die Europäische Zentralbank (EZB) betonte, in jedem Fall würde ein digitaler Euro das Bargeld nur ergänzen und nicht ersetzen. Den Verbraucherschützern bereitet der wachsende Einfluss von privaten Zahlungsdienstleistern Sorgen. Denn „verstärkt durch den Eintritt der BigTechs in den Markt für Zahlungsdienstleistungen und den Aufstieg von Open Banking, müssen Verbraucher damit rechnen, dass alle Zahlungen, die sie per Karte oder über eine der diversen digitalen Zahlungslösungen tätigen, systematisch ausgewertet und für kommerzielle Zwecke verarbeitet werden.“ so laut dem Papier des Bundesverbandes zum digitalen Euro.
„Ein digitaler Euro, der Datenschutz sicherstellt, kann Verbraucher vor kommerzieller Überwachung bewahren und sie unabhängiger von privaten Konzernen machen, die ihre Macht immer mehr ausweiten“, sagte Mohn weiter. Damit das gelinge, müsste bei einer digitalen Version der Gemeinschaftswährung die Privatsphäre der gesamten Wertschöpfungskette geschützt werden.
Zukunftssicheres Bargeld
Der vzbv fordert des Weiteren, dass ein digitaler Euro für alle Verbraucher zugänglich sein müsse. Zudem müsse man Zahlungsverkehr sicherer vor technischen Ausfällen machen. Zugleich müsse Bargeld zukunftsfest gemacht werden. Die größte Gefahr für das Bargeld und das Missbrauchspotenzial eines digitalen Euros liege in den Motiven von etwa Kreditkartenanbietern, Fintechs, der Kreditwirtschaft und des Handels. Für diese Interessengruppen sei es erstrebenswert, möglichst viele Kundendaten zu ergattern und umfangreiche Nutzerprofile zu erstellen. Barzahlungen würden da eher als lästig empfunden, da sie weniger / keine Daten generieren.
Schon vor Corona hatte sich der Trend zum Bezahlen ohne Scheine und Münzen in Deutschland und im Euroraum erhöht. Die EZB will auch eine Antwort auf den Aufstieg von Kryptowährungen wie Bitcoin und Ether geben. Der große Unterschied: Im Gegensatz dazu stünde ein digitaler Euro unter Aufsicht einer Zentralbank, die die Stabilität der Währung sichert.
Auskunftsanspruch
In Kapitel 3 der Datenschutz-Grundverordnung (DSGVO) werden die Rechte von Betroffenen, deren Daten verarbeitet werden umfassend normiert. So regelt Art. 15 Abs. 1 DSGVO beispielsweise das Auskunftsrecht von betroffenen Personen gegenüber dem Verantwortlichen. Danach hat jede Person, deren Daten von einem Verantwortlichen, beispielsweise einem Unternehmen oder einer Behörde verarbeitet werden, einen Anspruch darauf zu erfahren, ob und wenn ja, welche sie betreffenden personenbezogene Daten von diesem Verantwortlichen verarbeitet, z.B. gespeichert werden. Macht die betroffene Person ein solches Auskunftsverlangen geltend, hat der Verantwortliche dem Betroffenen gem. Art. 12 Abs. 3 DSGVO die verlangte Auskunft unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Der Betroffene kann über diese Daten gem. Art. 15 Abs. 3 DSGVO auch eine Kopie verlangen. Die Auskunftserteilung muss zudem kostenlos erfolgen, so dass der Verantwortliche nach Art. 12 Abs. 5 DSGVO nur bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person ein angemessenes Entgelt verlangen oder die Auskunft verweigern darf.
Welche Daten und Informationen von diesem Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst sind und damit wie umfassend eine solche Datenauskunft zur erfolgen hat, ist umstritten. Wir berichteten.
Sachverhalt
In einem dem Landgericht Bonn (LG Bonn) zugrundeliegenden Fall hat die Klägerin einen Anspruch auf Datenauskunft gem. Art. 15 Abs. 1 DSGVO i.V.m. Art. 12 DSGVO gegenüber ihrem ehemaligen Anwalt, dem Beklagten geltend gemacht. Sie verlangte von diesem eine vollständige Datenauskunft zu den bei ihm über die Klägerin vorhandenen personenbezogenen Daten nebst Zurverfügungstellung einer Datenkopie. Da der Beklagte diesem Begehren länger als acht Monate nicht nachkam, erhob die Klägerin Klage vor dem LG Bonn und verlangte u.a. neben der vollständigen Datenauskunft auch Schmerzensgeld für die verzögerliche Erteilung der Datenauskunft.
Entscheidung
Das LG Bonn, dass das Auskunftsbegehren nach Art. 15 DSGVO zwar bejahte, verneinte eine Entschädigung für die verspätete Datenauskunft gem. Art. 82 Abs. 1 DSGVO.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.
Das LG Bonn verneinte das Vorliegen eines Verstoßes gegen die DSGVO wegen der um mehr als einen Monat verspäteten Auskunftserteilung. Art. 82 DSGVO umfasse nur die Fälle, in denen ein Schaden durch eine nicht der DSGVO entsprechenden Verarbeitung entstanden sei. D.h. um einen Schadensersatzanspruch auszulösen, komme – so das Gericht – nur ein verordnungswidriger Verstoß durch die Verarbeitung selbst in Betracht. Eine bloße Verletzung der Informationsrechte der betroffenen Person aus Art. 12-15 DSGVO führe aber nicht schon dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist. Dementsprechend löse auch die um mehr als acht Monate verzögerte Auskunftserteilung grundsätzlich keinen Schadensersatzanspruch aus.
Außerdem habe die Klägerin auch nicht dargelegt, dass ihr ein Schaden entstanden sei. Das bloße “warten” auf eine Auskunftserteilung genügt nach Ansicht des Gerichts jedenfalls nicht, um einen solchen Anspruch zu begründen.
