Schlagwort: Bußgeld
7. August 2023
Berliner Datenschutzbeauftragte verhängt Sanktionen
Ein Unternehmen steht in der Kritik, da es heimlich sensible Informationen über ihre Angestellten gesammelt hat. Die Berliner Datenschutzbeauftragte, Meike Kamp, hat dieses Vorgehen als rechtswidrig erachtet und Sanktionen verhängt.
Wie bereits im Mai 2021 bekannt wurde, sammelte das Unternehmen während der Probezeit sensible Daten über seine Angestellten, darunter Informationen darüber, ob sich Mitarbeiterinnen und Mitarbeiter einer Psychotherapie unterzogen oder Interesse an der Gründung eines Betriebsrats zeigten. Diese Informationen wurden auf einer sogenannten Negativliste erfasst, die dazu diente, die Angestellten zu bewerten und darüber zu entscheiden, wem nach Ablauf der Probezeit gekündigt wird.
Verstöße gegen die DSGVO
Die Berliner Datenschutzbeauftragte hat in ihrer Untersuchung massive Verstöße gegen den Datenschutz festgestellt. Eine Vorgesetzte hatte die sensiblen Daten ohne Wissen der betroffenen Angestellten gesammelt, um diese bei der Entscheidung über eine Weiterbeschäftigung zu berücksichtigen. Insbesondere Angestellte, die eine gewerkschaftliche Organisation unterstützen oder ein erhöhtes Risiko für krankheitsbedingte Ausfälle aufwiesen, wurden als “kritisch” oder sogar “sehr kritisch” eingestuft.
Aufgrund dieser schwerwiegenden Verstöße hat die Berliner Datenschutzbeauftragte Bußgelder in Höhe von insgesamt 215.000 Euro gegen das Unternehmen verhängt. Die Negativliste wurde offenbar im März 2021 auf Anweisung der Geschäftsführung erstellt. Als eine betroffene Angestellte die Presse und die Datenschutzbeauftragte informierte, reagierte das Unternehmen und meldete sich noch am gleichen Tag bei der Behörde. Die Zusammenarbeit des Unternehmens mit den Behörden wurde als mildernder Umstand bei der Festsetzung der Bußgelder berücksichtigt.
Sensible Daten besonders schützenswert
Die Datenschutzbeauftragte betont, dass die Verarbeitung solch sensibler Daten stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen muss. Insbesondere Gesundheitsdaten zählen zu den besonders sensiblen Informationen und dürfen nur in engen Grenzen verarbeitet werden. Die DSGVO enthält in Art. 9 eine Liste mit “besonderen Kategorien personenbezogener Daten”, zu denen auch Gesundheitsdaten und Informationen über die Gewerkschaftszugehörigkeit zählen. Diese Daten dürfen nur in Ausnahmefällen und unter strengen Voraussetzungen gesammelt und verarbeitet werden, um die Rechte und die Privatsphäre der betroffenen Personen zu schützen.
Fazit
Die Verhängung dieser Bußgelder sendet ein wichtiges Signal an Unternehmen und Arbeitgeber, dass der Datenschutz eine hohe Priorität haben muss und Verstöße gegen die Datenschutzvorschriften konsequent geahndet werden. Angestellte haben ein Recht auf den Schutz ihrer persönlichen Daten, insbesondere wenn es um sensible Informationen wie den Gesundheitszustand geht.
17. Juli 2023
Die Europäische Datenschutzgrundverordnung (DSGVO) sieht vor, dass Verstöße gegen ihre Bestimmungen von den Datenschutzbehörden der EU-Mitgliedsstaaten sanktioniert werden. Die möglichen Strafzahlungen belaufen sich auf bis zu 20 Millionen EUR oder bis zu 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Bisher war es in der Verantwortung der entsprechenden nationalen Datenschutzbehörden, die Höhe der Bußgelder festzulegen. Jedes EU-Mitgliedsland traf bisher eigenständige Entscheidungen darüber, inwieweit die in der DSGVO festgelegten “bis zu-Werte” ausgeschöpft werden. Jetzt gibt es neue Vorschriften für die Berechnung von Bußgeldern: Der Europäische Datenschutzausschuss (EDSA) hat die abschließenden Leitlinien zur Festsetzung von Bußgeldern angenommen.
Die neuen einheitlichen Leitlinien des EDSA
In seiner Sitzung am 24. Mai 2023 hat der Europäische Datenschutzausschuss (engl. European Data Protection Board, EDPB) die Leitlinien zur Bußgeldzumessung gemäß der DSGVO nach einer öffentlichen Konsultation angenommen.
Die neuen Leitlinien stellen den Datenschutzaufsichtsbehörden nun einheitliche Maßstäbe und harmonisierte Rahmenbedingungen zur Verfügung, um Bußgelder festzulegen. Diese Harmonisierung betrifft jedoch ausschließlich die Berechnungsgrundlage der Bußgelder. Die endgültige Höhe der Strafen wird weiterhin individuell von der jeweiligen nationalen Aufsichtsbehörde durch die Anpassungsmöglichkeiten des Leitlinien-Modells festgelegt.
BfDI von Entscheidung überzeugt
BfDI Prof. Ulrich Kelber, der Bundesbeauftragte für Datenschutz und Informationsfreiheit begrüßt die Annahme der Leitlinien: „Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedsstaaten. Die Leitlinien sind damit der konsequente nächste Schritt in der europäischen Integration und können künftig auch Vorbild und Orientierung für die Durchsetzung anderer EU-Gesetze sein.“
Die 5 Stufen der Leitlinien
Die Leitlinien sehen ein 5-stufiges Verfahren zur Bußgeldfestlegung vor
Schritt 1 – Identifizierung sanktionierbarer Handlungen: Die Aufsichtsbehörden prüfen, ob der vorliegende Fall sanktionierbare Handlungen beinhaltet, die gegen die DSGVO verstoßen haben. Es wird geprüft, ob bußgeldbewehrte Handlungen vorliegen.
Schritt 2 – Ermittlung des Ausgangsbetrags: Der Ausgangsbetrag für die Bußgeldberechnung wird aus den Faktoren Art der Verstöße, Schwere des Verstoßes und Umsatz des Unternehmens ermittelt.
Schritt 3 – Berücksichtigung erschwerender oder mildernder Umstände: Die Aufsichtsbehörden ermitteln Umstände, die den in Schritt 2 festgestellten Betrag erhöhen oder reduzieren können, wie das Verhalten der Verantwortlichen und vergangene Verstöße gegen die DSGVO.
Schritt 4 – Festlegung der Obergrenze: Der ermittelte Bußgeldbetrag wird mit den gesetzlichen Höchstbeträgen der DSGVO (Art. 83 Abs. 4 – 6) verglichen, um die Obergrenze für das Bußgeld festzulegen.
Schritt 5 – Überprüfung und Anpassung: Im letzten Schritt bewerten die Aufsichtsbehörden das ermittelte Bußgeld hinsichtlich Wirksamkeit, Verhältnismäßigkeit und Abschreckung, um gegebenenfalls Anpassungen vorzunehmen.
4. Juli 2023
Vor rund zwei Wochen veröffentlichte die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL), dass sie eine Geldstrafe in Höhe von 40 Mil. EUR verhängt habe. Adressat der Strafe sei „Criteo“, ein Unternehmen, dass Softwarelösungen für Werbeanzeigen im Bereich des Online-Marketings anbiete.
Hintergründe
Der Grund für das Bußgeld sei gewesen, dass Criteo nicht überprüft habe, ob Personen, deren Daten es verarbeitet habe, eine Einwilligung erteilt hätten. Anlass für die Untersuchungen der Behörde bei Criteo seien Beschwerden der Organisationen Privacy International und „None of your business“ gewesen,
Das Unternehmen Criteo habe sich auf das sog. „Retargeting“ spezialisiert. Dies sei eine bestimmte Methode des Online-Marketings. Auf Webseiten von Partnern setzt Criteo eigene Cookies ein. Diese könnten Navigationsdaten der Nutzers tracken. Über die gesammelten Daten ließen sich anschließend personalisierte Werbeanzeigen schalten. Insbesondere könne dem Nutzer Werbeanzeigen zu Produkten angezeigt werden, für die er sich wahrscheinlich interessieren würde.
Verstöße
CNIL stellte zunächst fest, dass bei der Verwendung von Cookies zu Werbezwecke eine Einwilligung der betroffenen Person eingeholt werden müsse. Wenn ein Unternehmen auf seiner Webseite die Cookies von Criteo einsetze, müsse es eine solche Einwilligung einholen. Criteo müsse sicherstellen, dass die entsprechenden Unternehmen diese Einwilligung tatsächlich einholten und dies dokumentieren. Die Pflicht zur Einholung einer Einwilligung sei allerdings nie Vertragsbestandteil im Rahmen der Geschäftsbeziehungen zu Criteo. Damit verstoße das Marketingunternehmen gegen die Datenschutz- Grundverordnung (DSGVO).
Außerdem verstoße Criteo gegen seine Informationspflichten. Das Unternehmen informiere nicht vollständig über die Zwecke der Datenverarbeitungsvorgänge.
Zusätzlich hätten betroffene Person nicht hinreichend Gebrauch von ihrem Recht auf Widerruf der Einwilligung und Löschung personenbezogener Daten nach Art. 7 Abs. 3 und Art. 17 Abs. 1 DSGVO machen können. Den betroffenen Person seien lediglich keine Werbeanzeigen mehr gezeigt worden. Allerdings habe das Unternehmen Kennungsdaten der Nutzer weiter behalten.
Abschließend stellte die CNIL fest, dass Criteo mit seinen Geschäftspartnern keine Vereinbarung über eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO abgeschlossen habe.
Bußgeld
Die CNIL bewertete bei der Bestimmungen der Höhe des Bußgeldes negativ, dass das Unternehmen über die Daten einer sehr großen Personenanzahl verfüge. Außerdem sei, laut CNIL negativ in die Bewertung mit eingeflossen, dass das Unternehmen sich ausschließlich darauf spezialisiert habe, für eine bestimmte Zielgruppe relevante Werbung anzuzeigen. Demnach sei es das Geschäftsmodell des Unternehmens gerade personenbezogene Daten zu sammeln und zu verarbeiten.
Fazit
Alle angesprochenen Kritikpunkte konnte Criteo nach den Untersuchungen der CNIL einstellen. Dabei ist auffällig, dass das Thema Cookies weiterhin Grund für Datenschutzverstöße ist (hier berichten wir über weitere Cookie-Verstöße).
19. Juni 2023
Der Europäische Datenschutzausschuss (EDSA) veröffentlichte vor kurzem überarbeitete Leitlinien zur Berechnung von Bußgeldern (Guidelines 04/2022). Danach legte die EDSA ein fünfstufiges System zur Berechnung von Bußgeldern fest.
Schwere des Verstoßes bestimmt Bußgeld
Nach Art. 83 Abs. 1 Datenschutz-Grundverordnung (DSGVO) sollen Bußgelder wirksam, verhältnismäßig und abschreckend sein. Demzufolge seien die Bußgelder unter anderem anhand der Schwere des Verstoßes zu bemessen. Den Schweregrad eines Verstoßes teilte die EDSA aufgrund ihrer Auswirkungen in drei Niveaus ein, niedrig, mittel und schwer. Zu Verstößen mit einem niedrigen Schweregrad zählt zum Beispiel die Überschreitung der nach Art. 12 Abs. 3 DSGVO vorgesehenen Monatsfrist zur Beantwortung von Betroffenenanfragen. Zu einem Verstoß auf mittlerem Niveau zählten beispielsweise fehlende Sicherheitsvorkehrungen vor dem unautorisierten Zugriff auf Gesundheitsdaten. Dies sei der Fall, wenn in einem Unternehmen, die Mitarbeitenden Gesundheitsdaten von Kunden einzusehen könnten, ohne eine Autorisierung für diesen Zugriff zu haben. Auf der letzten Ebene des schwerwiegendsten Grades eines Verstoßes stünden beispielsweise ungefragte Telefonanrufe. So bei Anrufen eines Unternehmens bei seinen Kunden zu Werbezwecken, ohne dass eine Rechtsgrundlage für die Datenverarbeitung bestehe. Die Schwere des Verstoßes diene als Richtwert für das zu verhängende Bußgeld.
Zusätzlich sei der Verstoß seiner Art nach, zu kategorisieren und der Umsatz des Unternehmens bei der Berechnung zu beachten.
Fazit
Nachdem der EDSA die neuen Leitlinien nach der öffentlichen Konsultation angenommen hatten, veröffentlichte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine Pressemitteilung. Darin sagte er, dass es mit den neuen Leitlinien erstmals „eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedstaaten“ gebe.
Es bleibt folglich zu beachten, dass sich die Leitlinien an Aufsichtsbehörden richten. Demnach sollten Verantwortliche mögliche Bußgelder nicht im Vorfeld kalkulieren, sondern versuchen Verstöße gegen die DSGVO zu verhindern.
13. Juni 2023
Die Berliner Datenschutz- und Informationsfreiheitsbeauftragte (BlnBDI) hat eine Bank mit einer Geldstrafe von 300.000 Euro belegt, da sie intransparent in Bezug auf eine automatisierte Einzelentscheidung gehandelt hat. Die Bank verweigerte einem Kunden verständliche Informationen über die Gründe für die automatisierte Ablehnung seines Kreditkartenantrags. Das Unternehmen hat eng mit der BlnBDI zusammengearbeitet und den Bußgeldbescheid akzeptiert.
Eine automatisierte Entscheidung ist eine Entscheidung, die ausschließlich von einem IT-System auf Basis von Algorithmen und ohne menschliches Eingreifen getroffen wird. Gemäß der Datenschutz-Grundverordnung (DSGVO) gelten in solchen Fällen spezielle Transparenzpflichten. Personenbezogene Daten müssen in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben das Recht, eine Erläuterung der getroffenen Entscheidung nach einer entsprechenden Bewertung zu erhalten. Wenn betroffene Personen eine Auskunft bei den Verantwortlichen beantragen, müssen diesen aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung zur Verfügung gestellt werden.
Der Sachverhalt
In diesem spezifischen Fall hat die Bank bei ihrem digitalen Kreditkartenantrag diese Vorgaben jedoch nicht beachtet. Durch ein Online-Formular forderte die Bank verschiedene Informationen über das Einkommen, den Beruf und die persönlichen Daten des Antragstellers an. Basierend auf den abgefragten Informationen und zusätzlichen Daten aus externen Quellen lehnte der Algorithmus der Bank den Antrag des Kunden ohne eine explizite Begründung ab. Der Algorithmus stützte sich dabei auf zuvor von der Bank festgelegte Kriterien und Regeln.
Aufgrund eines guten Schufa-Scores und eines regelmäßig hohen Einkommens des Kunden wurden Zweifel an der automatisierten Ablehnung laut. Obwohl der Kunde die Bank um detaillierte Informationen zum Scoring-Verfahren bat, erhielt er lediglich allgemeine und allgemeingültige Aussagen. Die Bank weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte daher nicht nachvollziehen, welche Daten und Faktoren der Ablehnung zugrunde lagen und aufgrund welcher Kriterien sein Kreditkartenantrag abgelehnt wurde. Ohne diese spezifische Begründung war es ihm nicht möglich, die automatisierte Einzelentscheidung angemessen anzufechten. Infolgedessen beschwerte er sich bei der Datenschutzbeauftragten.
Nachvollziehbarkeit ausschlaggebend
Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, äußerte sich wie folgt: “Wenn Unternehmen automatisierte Entscheidungen treffen, müssen sie diese überzeugend und nachvollziehbar begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Die Tatsache, dass die Bank in diesem Fall selbst auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, führt zu einer Geldstrafe. Eine Bank ist verpflichtet, die Kund:innen über die maßgeblichen Gründe für die Ablehnung eines Kreditkartenantrags im Zusammenhang mit automatisierten Entscheidungen zu informieren. Dies umfasst konkrete Informationen zur Datenbasis, den Entscheidungsfaktoren und den Kriterien für die Ablehnung in Einzelfällen.”
Die Datenschutzbeauftragte stellte fest, dass die Bank in diesem konkreten Fall gegen Art. 22 III, Art. 5 I lit. a und Art. 15 I DSGVO verstoßen hat. Bei der Festlegung der Höhe des Bußgeldes berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank sowie die absichtliche Ausgestaltung des Antragsprozesses und der Informationserteilung. Als mildernden Umstand bewertet wurde unter anderem, dass das Unternehmen den Verstoß eingeräumt hat, bereits Änderungen an den Prozessen umgesetzt hat und weitere Verbesserungen angekündigt hat.
26. Januar 2023
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) leitete ein Bußgeldverfahren gegen das Unternehmen “PimEyes” ein. Grund hierfür sei, so der LfDI BaWü die datenschutzwidrige Speicherung biometrischer Daten durch das Unternehmen.
Verarbeitung durch PimEyes
PimEyes ist eine sog. Reverse Suchmaschine. Die Nutzer können alle möglichen Webseiten nach vorhandenen Bildern der eigenen Person durchsuchen lassen. Der LfDI BaWü betonte, dass es sich bei den verarbeiteten Bildern um personenbezogene Daten handele. Diese seien überdies personenbezogene Daten besonderer Kategorie gem. Art. 9 DSGVO. Konkret verarbeite PimEyes biometrische Daten, d.h. persönliche Erkennungsmerkmale, wie etwa die Gesichtsform oder Augenfarbe.
Zur Datenschutzkonformität seiner Dienstleistung, konnte sich PimEyes zunächst ausführlich äußern. Der LfDI BaWü gab bekannt, dass er im Rahmen der Untersuchung unteranderem Fragen zu den implementierten technischen und organisatorischen Maßnahmen gestellt habe.
Das Unternehmen habe vorgebracht, dass es nur Bilder verwende, die im Internet öffentlich zugänglich seien. Mit Hilfe der Bilder seien keine Personen identifizierbar, sodass es an einem Personenbezug fehle. Darüber hinaus sei es möglich betroffene Personen, sofern sie dies wollen, aus der Fotodatenbank auszuschließen. Um diese sog. „Opt-Out“ Möglichkeit wahrzunehmen, müssen die betroffenen Person einen Identitätsnachweis und ein Bild vorlegen. Der Missbrauch von Bildern durch Dritte, verbiete das Unternehmen in seinen Allgemeinen Geschäftsbedingungen.
Biometrische Daten
In seiner Pressemitteilung betonte der LfDI BaWü, dass die Verarbeitung personenbezogener Daten besonderer Kategorie verboten sei. Ausschließlich in den nach Art. 9 Abs. 2 DSGVO normierten Fällen sei die Verarbeitung ausnahmsweise erlaubt.
Demnach habe sich die Frage gestellt, auf welcher Rechtsgrundlage PimEyes die Bilder verarbeite. Für eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO fehle es schon an der Einwilligung der betroffenen Personen. Soweit PimEyes freizugängliche Bilder von Internetseiten verarbeite, stelle sich insoweit die Frage, wann und wie es eine Einwilligung der betroffenen Person einhole. Sofern die betroffenen Person ihre Bilder selbst öffentlich gemacht habe, könne die Ausnahme nach Art. 9 Abs. 2 lit. e DSGVO in Betracht kommen. Allerdings sei es wahrscheinlicher, dass Dritte die Bilder betroffenen Personen veröffentlicht haben. Für eine Verarbeitung im öffentlichen Interesse nach Art. 9 Abs. 2 lit. g DSGVO fehle die erforderliche Beauftragung durch eine öffentliche Stelle.
Fazit
Aus Sicht der Landesbehörde seien viele Fragen im Rahmen der Untersuchung offen geblieben, sodass sie im Ergebnis ein Bußgeldverfahren gegen PimEyes eröffnet habe.
24. Januar 2023
Am Dienstag, den 17. Januar 2023, fand vor dem Europäischen Gerichtshof die mündliche Verhandlung im Fall “Deutsche Wohnen” (C-807/21) statt. Das Unternehmen war von der Berliner Beauftragten für Datenschutz und Informationsfreiheit mit einem Bußgeld von 14,5 Millionen Euro wegen der unangemessenen Speicherung von Mieterdaten bestraft worden. Der EuGH wird sich nun mit der Frage beschäftigen, ob eine juristische Person in Deutschland nach EU-Recht direkt für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) bestraft werden kann, ohne dass eine Verletzung durch eine identifizierte natürliche Person festgestellt werden muss. Diese Anforderungen sind in der DSGVO nicht vorgesehen.
Der Europäische Gerichtshof hat in der mündlichen Verhandlung ein besonderes Interesse daran gezeigt, wie die Regelungen in Deutschland die europäische Harmonisierung beeinflussen. Da der Fall von großer Bedeutung ist, hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vor der Verhandlung mit einer rechtlichen Stellungnahme positioniert.
Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Vorsitzende der Datenschutzkonferenz für das Jahr 2023: „Die Entscheidung in diesem Verfahren wird für Deutschland eine grundlegende Weichenstellung bedeuten. Sie wird daher von den deutschen Datenschutzaufsichtsbehörden mit Spannung erwartet.“
Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Sanktionierung von Datenschutzverstößen durch Unternehmen ist in Deutschland gegenüber anderen EU-Mitgliedstaaten derzeit deutlich erschwert. Dies widerspricht dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und steht nicht im Einklang mit der DSGVO. Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen. Das Verfahren vor dem EuGH wird hoffentlich in dieser Frage die erforderliche Rechtssicherheit für Unternehmen und Aufsichtsbehörden schaffen.“
19. Januar 2023
Die französische Datenschutzbehörde „Commission nationale de l‘informatique et des libertés“ (CNIL) veröffentliche vergangene Woche eine Pressemitteilung, derzufolge sie ein Bußgeld gegen die Social-Media Plattform TikTok in Höhe von 5 Millionen Euro verhängt habe. Der Grund für das hohe Bußgeld sei der rechtswidrige Umgang mit Cookies gewesen.
Schlechter Banner, schlechte Informationen
Die CNIL monierte, dass die Nutzer der Webseite „tiktok.com“ Cookies nicht so leicht ablehnen wie akzeptieren können. Zusätzlich informiere TikTok die Nutzer nur unzureichend über die verschiedenen Cookies, die das Unternehmen auf der Webseite einsetze.
Die französische Behörde gab bekannt, dass sie zwischen Mai 2020 und Juni 2022 die TikTok-Webseite auf ihre Cookie-Konformität hin untersucht habe. Demnach sei Gegenstand der Untersuchung die von TikTok UK und TikTok Ireland betriebene Webseite gewesen. Die Behörde habe die Webseite als nicht registrierter Nutzer besucht.
Konkret sei der CNIL aufgefallen, dass das eingesetzte Banner lediglich einen „Akzeptieren“-Button beinhaltet habe. Das Ablehnen der Cookies sei hingegen nur durch die Betätigung mehrerer Schaltflächen möglich gewesen. Dabei sei es problematisch, dass die Nutzer aufgrund des komplizierten Abwahl-Mechanismus Cookies rasch akzeptierten. Außerdem habe das Unternehmen weder auf dem Banner noch auf der per Link aufrufbaren Unterseite ausreichende Informationen für die Nutzer zur Verfügung gestellt.
Verstoß gegen Art. 82 Datenschutzgesetz
Im Ergebnis habe CNIL einen Verstoß gegen Art. 82 des französischen Datenschutzgesetz festgestellt.
Das Datenschutzgesetz ist ein nationales Regelungswerk, dass die Öffnungsklauseln der Datenschutz-Grundverordnung (DSGVO) umsetzt. Art. 82 des Datenschutzgesetzes legt Regelungen zur Speicherung und zum Auslesen bereits gespeicherter Informationen im Endgerät des Nutzers fest. Dabei ist eine vorherige Information über das Auslesen und Speichern erforderlich. Zusätzlich bedarf es für beide Vorgehensweisen eine Einwilligung.
Die Norm ähnelt der deutschen Regelung des § 25 TTDSG. Diese findet in Deutschland neben der DSGVO für die Gestaltung von Cookie-Bannern und ihrem Einsatz Anwendung.
5. Januar 2023
Nur kurze Zeit nach dem letzten Millionenbußgeld hat die irische Datenschutzbehörde Data Protection Commission (DPC) erneut gegen den Meta-Konzern Sanktionen verhängt. Der Gesamtbetrag von 390 Millionen Euro setzt sich aus Bußgeldern gegen Facebook (210 Millionen Euro) und Instagram (180 Millionen Euro) zusammen.
Rechtsgrundlage Vertrag statt Einwilligung?
Anstoß für die Untersuchung der DPC gaben die Beschwerden eines Österreichers und eines Belgiers am 25. Mai 2018, dem Tag des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO). Nach einer Änderung der Nutzungsbedingungen sollten die personenbezogenen Nutzerdaten nicht mehr auf Basis einer Einwilligung, sondern auf vertraglicher Basis verarbeitet werden. Dazu zählte auch die Nutzung für personalisierte Werbung.
Meta argumentierte, dass mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag mit dem Nutzer zustande gekommen sei. Die Verarbeitung der Nutzerdaten im Zusammenhang mit der Bereitstellung ihrer Facebook- und Instagram-Dienste sei für die Erfüllung dieses Vertrags, einschließlich der Bereitstellung personalisierter Dienste und verhaltensorientierter Werbung, erforderlich, sodass diese Verarbeitungen gemäß Artikel 6 Abs. 1 lit. b DSGVO (die „vertragliche“ Rechtsgrundlage für die Verarbeitung) rechtmäßig gewesen seien.
Dagegen vertraten die Beschwerdeführer die Meinung, dass Meta sich weiterhin auf die Einwilligung als Rechtsgrundlage berufe. Indem Meta den Zugang zu seinen Diensten von der Zustimmung der Nutzer zu den aktualisierten Nutzungsbedingungen abhängig mache, zwinge es sie faktisch dazu, der Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbung und andere personalisierte Dienste zuzustimmen.
Jahrelange Entscheidungsfindung
In einem Beschlussentwurf vom Oktober 2021 hatte die DPC eine Geldbuße zwischen 28 und 36 Millionen Euro für angemessen erachtet. Meta habe demnach gegen seine Transparenzpflichten verstoßen, indem Nutzer nicht ausreichend über die Verarbeitungsprozesse informiert worden seien. Metas Vorgehen hinsichtlich der Rechtsgrundlage sei jedoch zulässig gewesen.
Die im Rahmen des Kooperations- und Kohärenzverfahrens beteiligten Datenschutzbehörden waren mit der Entscheidung der DPC nicht einverstanden, sodass schließlich der Europäische Datenschutzausschuss (EDSA) beteiligt wurde. Dieser widersprach der Rechtsauffassung der DPC. Er befand, dass Meta im Rahmen der personalisierten und verhaltensbezogenen Werbung nicht auf einen Vertrag als Rechtsgrundlage zurückgreifen könne.
Laut der Datenschutzorganisation noyb habe die DPC während des Verfahrens mit Meta eng zusammengearbeitet. Meta habe sogar argumentiert, dass die DPC das Vorgehen abgesegnet habe.
Wie geht es nun weiter?
Neben dem Bußgeld hat die DPC Meta dazu verpflichtet, innerhalb von drei Monaten nachzuweisen, dass die Verarbeitungstätigkeiten entsprechend der Vorgaben angepasst wurden. Wie diese Umsetzung aussehen soll, ist noch unklar. Voraussichtlich wird Meta gerichtlich dagegen vorgehen.
Darüber hinaus hat die DPC angekündigt, gegen den EDSA zu klagen. Dieser hatte ihr aufgetragen, eine weitere Untersuchung gegen Facebook und Instagram hinsichtlich der Verarbeitung besonderer Kategorien personenbezogener Daten einzuleiten. Der EDSB habe keine allgemeine Aufsichtsfunktion, die mit der der nationalen Gerichte in Bezug auf nationale unabhängige Behörden vergleichbar sei. Es stehe dem EDSB nicht frei, eine Behörde anzuweisen, unbefristete und spekulative Untersuchungen durchzuführen.
28. Dezember 2022
Kurz nach Weihnachten, am 27. Dezember 2022 wurde eine neue Richtlinie zu „Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (im Folgenden: „Cybersicherheits-Richtlinie“ oder „Richtlinie“) veröffentlicht. Ziel dieser neuen Richtlinie ist der „Aufbau von Cybersicherheitskapazitäten“ und die „Eindämmung von Bedrohungen für Netz- und Informationssysteme[n]“.
Die Adressaten der neuen Regelungen
Die neue Richtlinie 2022/2555 zu Maßnahmen im Bereich der Cybersicherheit ersetzt die bisherige Richtlinie 2016/1148 „über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“. Die neue Cybersicherheits-Richtlinie betrifft im Vergleich mehr Unternehmen. Zu den Adressaten zählen Unternehmen verschiedener Sektoren. Die Richtlinie erfasst Unternehmen des Gesundheitswesens wie Unternehmen der digitalen Infrastruktur und u.a. Unternehmen des verarbeitenden Gewerbes. Die neuen Regelungen betreffen dabei sog. mittlere Unternehmen. Es handelt sich um Betriebe, die mehr als 50 Mitarbeiter beschäftigen und einen Jahresumsatz von mehr als 10. Millionen Euro erzielen.
Grundsätzlich muss die Cybersicherheits-Richtlinie von den Mitgliedstaaten der europäischen Union bis Oktober 2024 umgesetzt werden. Dann müssen die adressierten Unternehmen damit rechnen, dass die neuen Verpflichtungen wirksam werden.
Risikomanagement
Im Wesentlichen sind die betroffenen Unternehmen nach Art. 21 der Richtlinie dazu verpflichtet „technische, operative und organisatorische Maßnahmen“ zu ergreifen. Diese Maßnahmen sollen vor Gefahren für die Sicherheit von Netz- und Informationssystemen schützen. Insoweit sollen die adressierten Unternehmen „gefahrenübergreifende“ Maßnahmen implementieren, deren Ziel der Schutz der Netz- und Informationssystemen und ihrer Umwelt sind. Demnach ist u.a. die Bewältigung von Sicherheitsvorfällen und die Aufrechterhaltung des Betriebs zu beachten.
Außerdem sind die adressierten Unternehmen nach Art. 23 der Richtlinie 2022/2555 dazu verpflichtet unverzüglich die zuständigen Behörden über einen Sicherheitsvorfall zu unterrichten. Zusätzlich müssen sie die Empfänger ihrer Dienstleistungen über einen solchen Vorfall informieren.
Effektive Durchsetzung
Darüber hinaus erhalten die zuständigen Behörden weitreichende Befugnisse, um eine effektive Durchsetzung der Cybersicherheits-Richtlinie zu garantieren. Mithin können die zuständigen Behörden u.a. die Unternehmen vor Ort kontrollieren und gezielte Sicherheitsprüfungen vornehmen. Zusätzlich legt die Richtlinie neue Bußgelder fest. Demnach können Geldbußen mit einem Höchstbetrag von mindestens 10 Mil. Euro oder von mindestens 2% des globalen Jahresumsatzes verhängt werden.
Bessere Cybersicherheit
Insgesamt hat die europäische Union das Ziel, die Cybersicherheit im Binnenmarkt zu stärken. Folglich veröffentliche die europäische Kommission am 22. September 2022 einen Entwurf zum sog. „Cyber Resilience Act“. Dieser soll Vorgaben zur Cybersicherheit für Produkte mit digitalem Element schaffen.