Schlagwort: Beschwerde

NOYB: Beschwerde wegen Cookie-Banner

11. August 2022

Die gemeinnützige Organisation Europäisches Zentrum für digitale Rechte -Non of your Business- (NOYB) hat diese Woche 226 Beschwerden bei verschiedenen Datenschutzaufsichtsbehörden eingereicht. Der Grund für alle Beschwerden waren datenschutzwidrige Cookie-Banner.

Informelle Beschwerden an 500 Unternehmen

Bereits im Mai diesen Jahres wies NOYB 500 Unternehmen darauf hin, dass ihre Cookie- Banner datenschutzwidrig seien, indem die Organisation Beschwerden an die Unternehmen richtete. Außerdem stellte NOYB allen Unternehmen eine Schritt-für-Schritt Anleitung für die Gestaltung eines rechtmäßigen Cookie-Banners zur Verfügung.

Dabei war ein gemeinsames Merkmal aller untersuchten Webseiten, dass sie die Software „One Trust“ zur Erstellung des Cookie-Banners verwendeten. Deswegen aktualisierte diese Consent Management Platform ihre Standardeinstellungen. Außerdem informierte „One Trust“ die Unternehmen über die Notwendigkeit die Cookie-Banner anzupassen. Dennoch verwendeten ein Teil der im Mai gerügten Unternehmen weiterhin rechtswidrige Cookie-Banner.

Wann ist der Cookie-Banner rechtswidrig?

Im Rahmen der eingereichten Beschwerden stellte NOYB fest, dass die untersuchten Cookie-Banner regelmäßig für die Nutzer von Webseiten irreführend seien. Insbesondere verwendeten einige Webseite sog. Dark-Patterns. Durch ein besonderes Design der Cookie-Banners solle erreicht werden, dass die Nutzer der Webseiten in die Verwendung von Cookies einwilligen. Demnach sei das Ablehnen der Cookie-Verwendung in diesem Fall nur auf eine erschwerte Weise möglich. Laut Ala Krinickytė (Datenschutzjuristin bei NOYB) versuchten einige Webseiten das Zustimmen der Nutzer durch einen entsprechenden „Klickmarathon“ zu erzwingen.

Stattdessen müsse nach den Regelungen der DSGVO der Nutzer unkompliziert zwischen „Ja“ und „Nein“ auswählen können. Auf diese Weise werde dem Zweck der DSGVO Rechnung getragen und die Nutzer der Webseiten behielten die Kontrolle über ihre Daten.

Fazit

Max Schrem (Vorsitzender von NOYB) betonte, dass die Begutachtung durch NOYB einen positiven Effekt zeigte. Unternehmen, deren Webseiten die Organisation nicht untersucht hatte, passten vorsorglich ihre Cookie-Einstellungen an.

Bewertungsportale: datenschutzrechtliche Risiken

28. Juli 2022

Ob für den Besuch beim Arzt oder im Restaurant: häufig nutzen Kunden Bewertungsportale, um sich beispielsweise vorab über eine Dienstleistung zu informieren oder um ihre Meinung über die Dienstleistung öffentlich kundzutun. Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) veröffentlichte diese Woche eine Stellungnahme zu den Nutzen und Risiken von online abrufbaren Bewertungsportalen.

Die Grenzen einer Bewertung

Sie betonte dabei, dass bei dem Verfassen einer Bewertung die Grenzen der Meinungsfreiheit, sowie die Grenzen des Datenschutzes zu berücksichtigen seien. Hinsichtlich der Meinungsfreiheit stellte sie fest, dass die öffentlich kundgegebene Äußerung mit dem allgemeinen Persönlichkeitsrecht der sie betreffenden Person abzuwägen sei. Die Grenze dessen, was geäußert werden darf, seien dabei Beleidigungen oder Schmähungen.

Hilfe bei Veröffentlichung von personenbezogenen Daten

Hinsichtlich des Datenschutzes stellte die LDI NRW fest, dass niemand die Veröffentlichung personenbezogener Daten in einem Bewertungsportal hinnehmen müsse. Insbesondere bei Bekanntgabe der privaten Adresse oder Telefonnummer eines Dienstleisters könne ein Verstoß gegen das Datenschutzrecht vorliegen. So könne der Dienstleister sich zur Wehr setzen, wenn ein Kunde diese Daten veröffentliche.

Als betroffene Person stellt sich die Frage, wie man gegen die Veröffentlichung der personenbezogenen Daten vorgehen kann. Die LDI NRW betonte, das insbesondere zu beachten sei, dass sich die Bewertungsportale an Datenschutzregelungen halten müssen. Insbesondere seien Kommentare in Bewertungsportalen häufig anonym. Demnach könne es schwierig sein direkt gegen den Verfasser vorzugehen. Die betroffene Person könne sich zwar an das Bewertungsportal wenden, um die Daten des Verfassers zu erfahren. Allerdings könne, bzw. müsse das Portal die Anfrage aufgrund der datenschutzrechtlichen Bestimmungen ablehnen.

Wenn der Kommentar jedoch eine falsche Tatsachenbehauptung oder Beleidigung beinhalte, könne die betroffene Person ggf. zivilrechtliche Ansprüche geltend machen. Dieser Weg sei aber oft langwierig. Ein leichterer Weg sei die Beschwerde bei dem Bewertungsportal mit der Bitte auf Löschung des Kommentars.

Eine Alternative biete die Beschwerde bei einer Datenschutzaufsichtsbehörde. Auf diese Weise könne die betroffene Person gegen eine unrechtmäßige Verarbeitung personenbezogener Daten vorgehen. Allerdings verlangen Aufsichtsbehörden häufig, dass die betroffene Person zuvor schon andere Schritte eingeleitet hat. 

Beschwerden beim Datenschutzbeauftragten versehentlich gelöscht

29. Juni 2021

Datenschutz-Beschwerden, die zwischen dem 9. und 18. Juni abgegeben wurden, haben den BfDI größtenteils nicht erreicht.

Aufgrund eines technischen Fehlers sind bestimmte Beschwerden beim Bundesdatenschutzbeauftragten unwiderruflich gelöscht worden. Das teilte die Behörde am Montag in Berlin mit. Der Auslöser der Panne war eine Neugestaltung des Internetauftritts des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Meldungen über die Formularseite wurden aufgrund von falschen Server-Einstellungen von den Sicherheitsvorkehrungen der Netze des Bundes als gefährliches Spoofing eingestuft. Beim „Spoofing“ versuchen Angreifer, die eigene Identität zu verschleiern und sich als vertrauenswürdig darzustellen. Anders als bei unerwünschten Werbe-Mails – die in einem herkömmlichen Spam-Ordner landen – werden „Spoofing“-Mails im Netz des Bundes sofort gelöscht.

Laut Mitteilung haben „Eingaben und Beschwerden, die zwischen dem 9. und 18. Juni 2021 über diese Formulare abgegeben wurden, die Behörde größtenteils nicht erreicht und konnten somit auch nicht bearbeitet werden. Betroffene Bürgerinnen und Bürger werden daher gebeten, ihre in diesem Zeitraum abgegebenen Eingaben und Beschwerden noch einmal einzureichen.“ Allerdings hatten „zu keinem Zeitpunkt unberechtigte Dritte Zugriff auf die über die Formulare versandten Informationen. Der BfDI wird den Vorfall auch dafür nutzen, die Prozesse bei der Abnahme von Softwareprojekten zu verbessern“, heißt es in der Mitteilung. Mittlerweile funktionieren die Formulare und wurden wieder online gestellt.

NOYB geht gegen rechtswidrige Cookie-Banner vor

1. Juni 2021

Die Nichtregierungs-Organisation Non-OF-Your-Business (NOYB) – vor allem bekannt durch ihren Mitgründer Max Schrems – hat über 500 Beschwerden gegen verschiedene Unternehmen aus der EU und den USA eingereicht. NOYB wirft diesen Unternehmen vor, durch rechtswidrige Cookie-Banner Einwilligungen in das Datentracking eingeholt zu haben, die ohne diese unzulässigen Cookie-Banner nicht erteilt worden wären. Um nach Ansicht von NOYB rechtswidrige Cookie-Banner identifizieren zu können, nutze die Organisation eine selbst entwickelte Software. Diese spüre nicht nur die fraglichen Cookie-Banner auf, sondern generiere auch automatisch entsprechende Beschwerden, welche an die Unternehmen versendet werden.

„Beschwerdewelle“ erst der Anfang

Eigenen Angaben zufolge hat NOYB die größten Webseiten aus 33 verschiedenen Staaten kontrolliert, aber bereits angekündigt, bis zu 10.000 der meistbesuchten Seiten in Europa überprüfen zu wollen. Ziel der Überprüfug sei anders als bei deutschen Abmahnanwälten aber nicht der Bezug von Gebühren, sondern die Einhaltung der gesetzlichen Vorschriften. Unternehmen würden laut NOYB die DS-GVO als Sündenbock für komplizierte Cookie-Banner vorschieben, obwohl diese Regelungen klar seien. Aus diesem Grund werde NOYB zunächst auch auf formelle Beschwerden verzichten und stattdessen die Möglichkeit bieten, die Cookie-Banner anzupassen; nur wennn dies nicht innerhalb eines Monats erfolge, würden behördliche Maßnahmen eingeleitet.

Cookie-Banner oft irreführend

NOYB erachtet verschiedene Gestaltungen des Cookie-Banners als rechtswidrig, kritistiert aber insbesondere fehlende Möglichkeiten, bereits auf der erste Ebene der Website funktionelle Cookies abzulehnen. Auch sei es leider üblich, Nutzer durch eine irreführende Farbgebung zum Klick auf den Button zur Zulassung sämtlicher Cookies zu bewegen. NOYB betont diesbezüglich, dass die Ablehnung von Cookies ebenso leicht sein müsse wie die Zustimmmung in die Nutzung.

Bei der durchgeführten Überprüfung habe NOYB auf dem Großteil der geprüften Webseiten Mängel hinsichtlich der Cookie-Banner festgestellt. Für die Unternehmen wird die Nutzung von Cookie-Bannern jedoch auch dadurch erschwert, dass die entsprechenden Anforderungen in den Mitgliedsstaaten der EU teilweise variieren, außerdem sind diese noch nicht abschließend gerichtlich festgestellt. Gleichwohl drohen diesbezüglich empfindliche Bußgelder: Diese bewegen sich regelmäßig im Bereich zwischen wenigen Tausend und einigen Zehntausend Euro, gegen Google wurden wegen der rechtswidrigen Nutzung von Cookies aber auch schon Bußgelder von 35-60 Millionen Euro verhängt.

Verwaltungsgericht Hamburg – Testpflicht für Schüler im Klassenraum verletzt den Datenschutz

14. Mai 2021

Nach einer Entscheidung des Hamburger Verwaltungsgerichts muss sich ein Grundschüler nicht an seiner Schule auf Corona testen lassen, um am Präsenzunterricht teilnehmen zu dürfen. Laut Beschluss vom 29. April (Az.: 2 E 1710/21) reiche ein negatives Ergebnis aus einem anerkannten Schnelltestzentrum, welches maximal 24 Stunden alt sei.

Die Schulbehörde hat gegen die Eilentscheidung Beschwerde beim Oberverwaltungsgericht eingelegt, wie ein Gerichtssprecher am Mittwoch mitteilte. Der Schüler hatte sich zu Hause testen lassen und der Schule nur das Ergebnis mitteilen wollen. Einen solchen Selbsttest akzeptiere das Verwaltungsgericht nicht. Eine Bescheinigung von einem Testzentrum sei schon erforderlich.

Seit dem 6. April müssen sich Schüler in Hamburg zweimal pro Woche unter Aufsicht an der Schule testen, wenn sie am Präsenzunterricht teilnehmen wollen. Als einzige Alternative ist ein PCR-Test erlaubt, der nicht älter als 48 Stunden sein darf.

Laut Verwaltungsgericht verletzt die Testpflicht an der Schule den Datenschutz, zumindest wenn ein Test positiv ausfällt und das Ergebnis an das Gesundheitsamt weitergeleitet werden muss. „Die derzeitige Ausgestaltung der testabhängigen Zugangsbeschränkung verstößt nach summarischer Prüfung gegen die Vorschriften der Datenschutzgrundverordnung“, so laut Beschluss. Die Datenerhebung setze Freiwilligkeit voraus. Die Alternative Homeschooling bedeute allerdings einen Nachteil für den Schüler, er könne sich darum nicht freiwillig entscheiden. Damit stützt das Gericht die Linie des Thüringer Datenschutzbeauftragten Lutz Hasse. Er sieht durch die Testpflicht im Klassenraum die Rechte der betroffenen Schüler massiv beeinträchtigt und verlangt von Schulen zumindest eine Einverständniserklärung der Eltern für dieses Procedere einzuholen.

DS-GVO in Drittstaaten nicht durchsetzbar? noyb klagt gegen Aufsichtsbehörde aus Luxemburg

27. Januar 2021

Die Datenschutz-Grundverordnung (DS-GVO) findet unter bestimmten Bedingungen auch auf Unternehmen Anwendung, die ihren Sitz außerhalb der EU bzw. des EWR, also in sog. Drittstaaten haben. Insbesondere wenn diese ihre Waren oder Dienstleistungen auch gegenüber Kunden anbieten, die sich innerhalb der EU bzw. des EWR aufhalten, unterliegen diese Unternehmen den europäischen Datenschutzbestimmungen (Art. 3 Abs. 2 DS-GVO). Insbesondere um solche Unternehmen effektiv kontrollieren zu können, müssen diese nach Art. 27 DS-GVO einen Vertreter in der Union benennen.

Keine wirksamen Durchsetzungsmöglichkeiten gegen Unternehmen aus Drittstaaten?

Adressat von zwei Beschwerden vor der luxemburgischen Datenschutzbehörde CNPD waren zwei solcher Unternehmen, die zwar personenbezogene Daten des Beschwerdeführers aus Luxemburg verarbeiteten, auf die Geltendmachung der Betroffenenrechte (Art. 15 sowie Art. 17 DS-GVO) jedoch nicht reagierten. Dennoch wies die CNPD – trotz Bestätigung der Anwendbarkeit der DS-GVO – die Beschwerde ab, mit der Begründung, wegen der fehlenden Vertretung in der Union seien keine wirksamen Durchsetzungsmaßnahmen zu erwarten.

noyb: Sehr wohl Durchsetzungsmöglichkeiten vorhanden

Gegen diese Entscheidung hat der Beschwerdeführer in Zusammenarbeit mit der NGO noyb – vor allem bekannt durch Mitgründer Max Schrems – Berufung eingelegt. Würde sich die luxemburgische Datenschutzbehörde weigern, Verstöße gegen die DS-GVO durch Unternehmen aus Drittstaaten zu verfolgen, würde dies die vorgesehene internationale Anwendung der Verordnung untergraben, so noyb in der Stellungnahme. Außerdem würde dies zu einem Wettbewerbsvorteil nicht-europäischer Unternehmen führen, welche sich nicht um die Einhaltung von europäischen Datenschutzvorschriften bemühen müssten. Auch wird verneint, dass keine effektiven Durchsetzungsmaßnahmen gegen Unternehmen aus Drittstaaten bestünden. So sei es durchaus möglich, Vermögenswerte in der Union – auch bei Dritten – einzufrieren oder gar Webseiten sperren zu lassen. Klagen von Betroffenen nur deswegen abzuweisen, weil die Durchsetzung von Maßnahmen aufwändig oder mit Hindernissen verbunden ist, sei nicht hinnehmbar.

noyb pocht auf effektive Durchsetzung der DS-GVO

Gleichzeitig kündigte noyb an, dass dieser Berufung noch weitere Klagen folgen könnten, die sich gegen untätige Aufsichtsbehörden richten. Es sei wichtig sicherzustellen, dass die DS-GVO durch die zuständigen Aufsichtsbehörden effektiv durchgesetzt wird, auch gegenüber Unternehmen aus Drittstaaten. Andernfalls bestünden die Grundrechte von betroffenen Personen, die durch die DS-GVO geschützt werden sollen, nur noch auf dem Papier.

Task Force zur Bearbeitung von Beschwerden gegen die Nutzung von Google- und Facebook-Services

7. September 2020

Auf gemeinsame Initiative von Deutschland und Frankreich hin gründete der Europäischen Datenschutzausschusses (EDSA) eine „Task Force“ zur einheitlichen Bearbeitung von Beschwerden gegen europäische Unternehmen, die Google Analytics und Facebook Services nutzen.

Hintergrund für das Vorgehen sind die 101 Beschwerde der NGO „noyb“ (non-of-you-business). Diese hat nach dem Schrems II Urteil des EuGH Beschwerden bei nationalen Datenschutzaufsichtsbehörden, darunter auch bei fünf Landesdatenschutzbehörden in Deutschland, eingelegt. Gegenstand der Beschwerden ist die Nutzung von Google Analytics und Facebook Connect durch europäische Unternehmen. Dem liegt wiederum die datenschutzrechtliche Frage zu Grunde, ob Google und Facebook über ihre Dienste personenbezogene Daten der Nutzer in die USA übermitteln dürfen. Davon hängt schlussendlich ab, ob europäische Unternehmen, die diese Dienste nutzen, datenschutzrechtliche Anforderungen einhalten.

Dazu sagte der BfDI Ulrich Kelber: „Der EDSA sendet mit der Task Force ein starkes Signal. Die entscheidende Frage, ob diese Google- und Facebook-Services das europäische Datenschutzrecht einhalten, kann jetzt endlich europaweit einheitlich beantwortet werden.

Tätigkeitsbericht des Landesbeauftragten Mecklenburg-Vorpommern

16. Juni 2020

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heinz Müller hat am 16.06.2020 seinen Tätigkeitsbericht für das Jahr 2019 veröffentlicht.

Das Arbeitsvolumen der Behörde sei im Vergleich zu 2018 gestiegen. Insgesamt hat der Landesbauftragte 82 Mal von der Möglichkeit Gebrauch gemacht, eine aufsichtsrechtliche Maßnahme zu verhängen. Am häufigsten wurde eine Warnung ausgesprochen, als am wirksamsten hat sich aber die Androhung von Zwangsgeldern erwiesen. Im Zusammenhang mit der Nutzung von polizeilichen Informationssystemen für private Zwecke wurden 16 Bußgeldverfahren gegen Polizeibeamte eröffnet. Die Anzahl der gemeldeten Datenpannen (108) ist im Vergleich zu 2018 fast konstant geblieben. Die geringe Zahl der anlassunabhängig durchgeführten Prüfungen (3) begründet Müller damit, dass Personal fehlt und fordert mehr Mittel für seine Behörde.

Insgesamt gingen 2019 533 Eingaben und Beschwerden bei der Behörde ein. Ein Großteil bezog sich auf die Nichtbeachtung der Betroffenenrechte. Auch zu Videoüberwachungsanlagen und Videokameras im privaten und nachbarschaftlichen Bereich gingen häufig Beschwerden beim Landesbeauftragten ein.

Darüber hinaus stellt der Landesbeauftragte im Tätigkeitsbericht seine Arbeit bei der Datenschutzkonferenz im IT-Planungsrat vor und das Gemeinschaftsprojekt Medienscouts MV, bei dem Jugendlichen und Kindern Risiken der „digitalen Welt“ aufgezeigt werden. Im Bericht wird außerdem Bezug auf das Informationsportal „Neutrale Schule“ des Landesverbandes der AfD und die Untersagung des Betriebs der Website durch den Landesbeauftragten Bezug genommen. Auch die umfangreiche Stellungnahme zum Entwurf eines Gesetzes über die Sicherheit und Ordnung in Mecklenburg-Vorpommern (SOG M-V) sei ein wichtiges Thema in 2019 gewesen.

Unzulässige Melderegisterauskünfte: Wahlwerbung für Kleinkinder

1. Juli 2019

Bei der baden-württembergischen Landesdatenschutzbehörde sind vermehrt Beschwerden gegen Meldebehörden im Zusammenhang mit der Wahlwerbung im Rahmen der Europa- und Kommunalwahlen im Mai eingegangen. In einigen Fällen sollen Kleinkinder und Säuglinge personalisierte Wahlwerbung erhalten haben.

Grundsätzlich können Parteien bei Meldebehörden unter bestimmten Voraussetzungen Daten von Wahlberechtigten zum Zwecke der Wahlwerbung erfragen (§ 50 Abs. 1 Bundesmeldegesetz). Dies ist aus datenschutzrechtlicher Sicht zulässig, soweit die Betroffenen dagegen keinen Widerspruch eingelegt haben. Teilweise haben Meldebehörden aber auch Daten von Nichtwahlberechtigten und Personen, für die eine Übermittlungssperre eingetragen war, weitergegeben. Laut Datenschutzbehörde war diese Datenverarbeitung nicht zulässig, sodass es sich um Datenpannen bei den Behörden handelt.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink hob in einer Pressemittelung den dringenden Handlungsbedarf bei Meldebehörden hervor und drückte sein Verständnis für den Unmut der Bürger aus. Daneben betonte er aber auch die Bedeutung des Auskunftsrechts der Parteien in diesem Zusammenhang: „Parteien nehmen im demokratischen Willensbildungsprozess eine hervorgehobene Rolle ein und sind deshalb melderechtlich privilegiert“.

Piratenpartei reicht Beschwerde ein

7. Januar 2013

Die Spitzenkandidatin der Piratenpartei für die nierdersächsichen Landtagswahlen, Katharina Nocun, hat in ihrem Blog geschrieben, dass der Bundesbeauftragte für Datenschutz und Informationsfreiheit gegenüber dem ihm übergeordneten Bundesministerium nicht unabhängig sei. Die Unabhängigkeit sei aber nach EU-Recht zwingend erforderlich. Zur Feststellung des Verstoßes gegen EU-Recht hat sie mit der Unterstützung der Piratenpartei in Niedersachen Beschwerde gegen die Bundesregierung bei der EU-Kommission eingereicht.

Weiter schrieb die Spitzenkandidatin Nocun, dass es die Bundesregierung in den letzten Jahren verschlafen habe, die Überwachung des Datenschutzrechtes unabhängig von staatlicher Einflussnahme auszugestalten. Vielmehr unterläge der Bundesbeauftrage für Datenschutz und Informationsfreiheit  den Weisungen des Bundesinnenministeriums.

Für den Fall, dass sich die EU-Kommission der Beschwerde annimmt, müsste sie diese dem Europäischen Gerichtshof vorlegen und ggf. ein Vertragsverletzungsverfahren einleiten.

 

Kategorien: Allgemein
Schlagwörter: ,