Schlagwort: Europäischer Datenschutzausschuss

Datenschutzbeauftragte auf dem Prüfstand

12. April 2023

Vor knapp einem Monat startete die europaweite Prüfaktion der europäischen Datenschutzaufsichtsbehörden, in welcher die zahlreichen Datenschutzbeauftragten inspiziert werden sollen. Mehr als 500.000 Organisationen in ganz Europa haben laut IAPP Datenschutzbeauftragte im Rahmen der Datenschutz-Grundverordnung registriert. Koordiniert durch den Europäischen Datenschutzausschuss widmet sich die Prüfaktion der Stellung und den Aufgaben der Datenschutzbeauftragten. Diese stellen einen der Eckpfeiler des Datenschutzes in Unternehmen und Behörden dar, der sich als zentrale Neuerung mit der Datenschutz-Grundverordnung nun auch in den übrigen Mitgliedstaaten etabliert hat.

Der europäische Datenschutzbeauftragte erklärte, dass 26 Datenschutzbehörden an der koordinierten Aktion teilnehmen werden. Es soll sich primär auf die Benennung und Stellung von Datenschutzbeauftragten konzentriert werden. Grundsätzlich wird beurteilt, ob die behördlichen Datenschutzbeauftragten über die in den Artikeln 37-39 der EU-Datenschutzgrundverordnung geforderte organisatorische Stellung und die für ihre Arbeit erforderlichen Ressourcen verfügen.

Die Prüfung soll mit Hilfe von Fragebögen der teilnehmenden Behörden erfolgen. In diesen sollen unter anderem Fragen zur Benennung, zum Wissen und zur Erfahrung der Datenschutzbeauftragten, zu ihren Aufgaben und Ressourcen oder zu ihrer Rolle sowie der Position in ihrer jeweiligen Organisation enthalten sein.

Es bleibt abzuwarten zu welchen Ergebnissen die Überprüfungen führen werden. In Einzelfällen könnten gegebenenfalls auch Sanktionen zu erwarten sein. Hauptziel dieser Aktion soll jedoch stets ein Mehrwert für die Stellung von Datenschutzbeauftragten sein.

Stellungnahme des Europäischen Datenschutzausschuss zum EU-U.S. Data Privacy Framework

8. März 2023

Seitdem im Jahr 2020, mit dem Urteil Schrems II, der bis dahin geltende Angemessenheitsbeschluss (Privacy Shield) für ungültig erklärt worden ist, gilt die USA als ein unsicheres Drittland für Datenübermittlungen. Ein großes Problem in diesem Kontext war unter anderem die nachrichtendienstliche Datenerhebung in den USA. Diese war gewissermaßen anforderungslos für Geheimdienste möglich. Nachdem die US-Regierung gezwungen war, im Oktober 2022 Maßnahmen zu ergreifen, folgte ein Beschlussentwurf der Europäischen Kommission. Die genannten Maßnahmen sollten die zwei Hauptprobleme der fehlenden Verhältnismäßigkeit und dem Fehlen wirksamer Rechtsbehelfe im Bezug auf Überwachungsmaßnahmen lösen. So soll insbesondere die Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten nun in die Richtung eines neuen Angemessenheitsbeschlusses führen.

Meinung des Europäischen Datenschutzausschuss

Der Europäische Datenschutzausschuss heißt die Einführung von Anforderungen an Notwendigkeit und Verhältnismäßigkeit für die nachrichtendienstliche Datenerhebung in den USA für gut.  Außerdem begrüßt er den neuen Rechtsbehelfsmechanismus für betroffene Personen aus der EU. Dennoch liegt nicht nur ein reiner Zustimmungsgedanke vor. Zu bestimmten Rechten betroffener Personen, der Weiterübermittlung personenbezogener Daten, dem Umfang der Ausnahmen sowie der vorübergehenden Massenerfassung von Daten und der praktischen Funktionsweise des Rechtsbehelfsmechanismus bleiben Fragen offen. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder unterstützt die Position des Europäischen Datenschutzausschusses ausdrücklich.

Es bleibt nun lediglich abzuwarten, wie sich ein neuer Angemessenheitsbeschluss für die Übermittlung von Daten in die USA entwickeln wird.

 

 

390 Millionen Euro Sanktionen für Meta

5. Januar 2023

Nur kurze Zeit nach dem letzten Millionenbußgeld hat die irische Datenschutzbehörde Data Protection Commission (DPC) erneut gegen den Meta-Konzern Sanktionen verhängt. Der Gesamtbetrag von 390 Millionen Euro setzt sich aus Bußgeldern gegen Facebook (210 Millionen Euro) und Instagram (180 Millionen Euro) zusammen.

Rechtsgrundlage Vertrag statt Einwilligung?

Anstoß für die Untersuchung der DPC gaben die Beschwerden eines Österreichers und eines Belgiers am 25. Mai 2018, dem Tag des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO). Nach einer Änderung der Nutzungsbedingungen sollten die personenbezogenen Nutzerdaten nicht mehr auf Basis einer Einwilligung, sondern auf vertraglicher Basis verarbeitet werden. Dazu zählte auch die Nutzung für personalisierte Werbung.

Meta argumentierte, dass mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag mit dem Nutzer zustande gekommen sei. Die Verarbeitung der Nutzerdaten im Zusammenhang mit der Bereitstellung ihrer Facebook- und Instagram-Dienste sei für die Erfüllung dieses Vertrags, einschließlich der Bereitstellung personalisierter Dienste und verhaltensorientierter Werbung, erforderlich, sodass diese Verarbeitungen gemäß Artikel 6 Abs. 1 lit. b DSGVO (die „vertragliche“ Rechtsgrundlage für die Verarbeitung) rechtmäßig gewesen seien.

Dagegen vertraten die Beschwerdeführer die Meinung, dass Meta sich weiterhin auf die Einwilligung als Rechtsgrundlage berufe. Indem Meta den Zugang zu seinen Diensten von der Zustimmung der Nutzer zu den aktualisierten Nutzungsbedingungen abhängig mache, zwinge es sie faktisch dazu, der Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbung und andere personalisierte Dienste zuzustimmen.

Jahrelange Entscheidungsfindung

In einem Beschlussentwurf vom Oktober 2021 hatte die DPC eine Geldbuße zwischen 28 und 36 Millionen Euro für angemessen erachtet. Meta habe demnach gegen seine Transparenzpflichten verstoßen, indem Nutzer nicht ausreichend über die Verarbeitungsprozesse informiert worden seien. Metas Vorgehen hinsichtlich der Rechtsgrundlage sei jedoch zulässig gewesen.

Die im Rahmen des Kooperations- und Kohärenzverfahrens beteiligten Datenschutzbehörden waren mit der Entscheidung der DPC nicht einverstanden, sodass schließlich der Europäische Datenschutzausschuss (EDSA) beteiligt wurde. Dieser widersprach der Rechtsauffassung der DPC. Er befand, dass Meta im Rahmen der personalisierten und verhaltensbezogenen Werbung nicht auf einen Vertrag als Rechtsgrundlage zurückgreifen könne.

Laut der Datenschutzorganisation noyb habe die DPC während des Verfahrens mit Meta eng zusammengearbeitet. Meta habe sogar argumentiert, dass die DPC das Vorgehen abgesegnet habe.

Wie geht es nun weiter?

Neben dem Bußgeld hat die DPC Meta dazu verpflichtet, innerhalb von drei Monaten nachzuweisen, dass die Verarbeitungstätigkeiten entsprechend der Vorgaben angepasst wurden. Wie diese Umsetzung aussehen soll, ist noch unklar. Voraussichtlich wird Meta gerichtlich dagegen vorgehen.

Darüber hinaus hat die DPC angekündigt, gegen den EDSA zu klagen. Dieser hatte ihr aufgetragen, eine weitere Untersuchung gegen Facebook und Instagram hinsichtlich der Verarbeitung besonderer Kategorien personenbezogener Daten einzuleiten. Der EDSB habe keine allgemeine Aufsichtsfunktion, die mit der der nationalen Gerichte in Bezug auf nationale unabhängige Behörden vergleichbar sei. Es stehe dem EDSB nicht frei, eine Behörde anzuweisen, unbefristete und spekulative Untersuchungen durchzuführen.

LDI Nordrhein-Westfalen genehmigt EU-weit erste Datenschutz-Zertifizierung durch Privatunternehmen

19. Oktober 2022

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) genehmigte am 7. Oktober 2022 erstmalig die Kriterien eines Unternehmens für die Zertifizierung von Auftragsverarbeitern. Mit dem Zertifikat „European Privacy Seal“ („EuroPriSe“) sollen Unternehmen zukünftig ihre DSGVO-konformen Auftragsverarbeitungen nachweisen können.

Bedeutung

Die EuroPriSe GmbH ist europaweit das erste Unternehmen, das eine Genehmigung für seinen Kriterienkatalog erhalten hat. Im Genehmigungsverfahren hat die LDI NRW „gemäß dem europäischen Datenschutzrecht geprüft, ob die Kriterien, nach denen die Zertifikate an Auftragsverarbeiter erteilt werden sollen, tatsächlich die Einhaltung der DSGVO bei der Verarbeitung personenbezogener Daten sicherstellen – und damit die Persönlichkeitsrechte wahren.“

Allerdings befreit ein Zertifikat weder die Verantwortlichen und Auftragsverarbeiter noch die Aufsichtsbehörden von ihren Pflichten aus der DSGVO. Die Zertifizierung bleibt ein freiwilliges Instrument (vgl. Art. 42 Abs. 3 DSGVO), welches lediglich für einen Zeitraum von drei Jahren mit Aussicht auf Verlängerung erteilt werden kann (vgl. Art. 42 Abs. 3 S. 1 DSGVO).

Zertifizierungsverfahren nach Art. 42 DSGVO

Das Zertifizierungsverfahren nach Art. 42 DSGVO ist aufwendig und erfordert die Zusammenarbeit der Deutschen Akkreditierungsstelle GmbH (DAkkS) und der zuständigen Aufsichtsbehörde. Für eine Zertifizierung muss zudem die Empfehlung des Europäischen Datenschutzausschusses (EDSA) eingeholt und umgesetzt werden, damit eine einheitliche Anwendung der DSGVO in der EU gewährleistet werden kann.

Bewertung und Ausblick

Die Vorteile eines solchen Zertifikats sind vielfältig und beschränken sich nicht nur auf Marketing-Zwecke. Anwendungsbereiche werden von der DSGVO an verschiedenen Stellen explizit erwähnt. So kann ein Zertifikat für den Nachweis der DSGVO-Anforderungen beispielsweise bei der Beurteilung der Erfüllung der Pflichten des Verantwortlichen, Garantien des Auftragsverarbeiters, Datenübertragungen an ein Drittland oder auch bei der Datenschutz-Folgenabschätzung als Faktor herangezogen werden. Eine Zertifizierung kann Verantwortlichen und Auftragsverarbeitern also in vielen Bereichen den Nachweis der Pflichterfüllung erleichtern. Laut LDI NRW sei ein zentrales Ziel Transparenz, da Zertifikate als bewährtes Instrument den Markteilnehmenden einen „raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen“ lieferten.

Es bleibt abzuwarten, wie die Aufsichtsbehörden solche Zertifikate in Zukunft bei ihren Bewertungen von Verarbeitungsvorgängen einfließen lassen werden und ob sich die erhoffte Vereinfachung des Nachweises für Datenverarbeiter auch tatsächlich einstellt. Für den Markt bedeutet diese erste Genehmigung jedenfalls einen Meilenstein, der voraussichtlich den Weg für weitere Zertifizierungen nach Art. 42 DSGVO ebnen wird.

Neue Verordnung zur Bekämpfung sexuellen Missbrauchs von Kindern sorgt für Kritik

3. August 2022

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber kritisierte in einer Stellungnahme einen neuen Verordnungsentwurf der Europäischen Kommission zur Prävention und Bekämpfung sexuellen Missbrauchs von Kindern. Aus seiner Sicht biete die Verordnung keinen wirklichen Schutz für Kinder und ermögliche zugleich die anlasslose und flächendeckende Überwachung der privaten Kommunikation.  

Die neue Verordnung

Anlass der neuen Verordnung ist die hohe Anzahl an verschicktem Bildmaterial, das sexuellen Missbrauch von Kindern beinhaltet. Bisher müssen Online-Dienste, nicht melden, wenn ihre Nutzer entsprechendes Bildmaterial verbreiten. Die neue Verordnung soll sie jetzt stattdessen zum Löschen und Melden von einschlägigem Bildmaterial verpflichten. Außerdem sollen künftig die Chats der Online-Dienste besser kontrolliert werden. Die Dienste sollen dafür neue Technologien einsetzen, um den Missbrauch von Kindern aufdecken zu können. Insbesondere könnte es, mit Einführung der neuen Verordnung, dazu kommen, dass die verschlüsselte Kommunikation in Chats aufgehebelt wird.

Scharfe Kritik

In seiner Stellungnahme empfahl der BfDI, dass die Europäische Kommission den Verordnungsentwurf noch einmal überarbeiten solle. Mit der jetzigen Version der Verordnung bestehe ein Risiko für den Schutz der in der EU-Grundrechte Charta garantierten Freiheitsrechte. Der Gesetzgeber müsse insbesondere den Schutz des Fernmeldegeheimnisses und ebenso des Datenschutzrechts wahren. Dabei kritisierte der BfDI ausdrücklich die geplanten Chatkontrollen. Außerdem seien die einzusetzenden Technologien anfällig für Fehler und bieten keine angemessene Bekämpfungsmaßnahme. Stattdessen können diese selbst eine Sicherheitslücke darstellen, wenn beispielswiese Kriminelle sie missbräuchlich nutzen.

In einer gemeinsamen Stellungnahme hatten zuvor der Europäische Datenschutzbeauftragte (EDSB) und der Europäische Datenschutzausschuss (EDSA) bereits die Wichtigkeit des Rechts auf Privatleben und des Datenschutzes hervorgehoben. Zugleich betonten EDSB und EDSA, dass sexueller Missbrauch an Kinder ein schwerwiegendes und abscheuliches Verbrechen sei. Jegliche Maßnahmen zur Bekämpfung dieses Verbrechens müssen allerdings erforderlich und angemessen sein. Die neue Verordnung bringe die Gefahr eines allgemeinen und wahllosen Scannens von Inhalten auf Online-Plattformen mit sich. 

Hierzu sagte der BfDI, dass man die anlasslose Massenüberwachung „(…) ansonsten nur aus autoritären Staaten (…)“ kenne.

EDSA Cookie Banner Task Force

7. Oktober 2021

Am 27. September 2021 gab der Europäische Datenschutzausschuss (EDSA) bekannt, dass er eine “Cookie-Banner” Task Force eingerichtet hat. Ziel und Aufgabe dieser Task Force ist, die Beschwerden, die die Organisation None of Your Business (NOYB) im Zusammenhang mit Cookie-Bannern auf Webseiten bei mehreren EU-Datenschutzbehörden eingereicht hat und daraus resultierenden Antworten, zu koordinieren,.


Im Mai 2021 hatte NOYB über 500 Beschwerdeentwürfe und formelle Beschwerden an Unternehmen in der EU bezüglich der Verwendung ihrer Cookie-Banner geschickt. Die Beschwerden scheinen sich bei den meisten Webseiten auf das Fehlen einer Schaltfläche “Alle ablehnen” zu konzentrieren sowie auf die Art und Weise, wie Cookie-Banner ein trügerisches Design verwenden, um die Betroffenen dazu zu bringen, der Verwendung von nicht notwendigen Cookies zuzustimmen. Ein weiterer häufig genannter Beschwerdegrund ist die Schwierigkeit, Cookies abzulehnen, im Gegensatz zu der einfachen Möglichkeit, ihnen zuzustimmen.


Der EDPB erklärte, dass die Task Force in Übereinstimmung mit Art. 70 (1) (u) DSGVO eingerichtet wurde und das Ziel verfolgt, die Zusammenarbeit, den Informationsaustausch und die besten Praktiken zwischen den Datenschutzbehörden zu fördern. Die Einsatzgruppe soll sich über rechtliche Analysen und mögliche Verstöße austauschen, die Aktivitäten auf nationaler Ebene unterstützen und die Kommunikation vereinfachen.

Eilanordnung der Hamburgischen Datenschutzaufsichtsbehörde gegen WhatsApp

16. Juli 2021

Der Europäische Datenschutzausschuss erließ seine erste verbindliche Eilentscheidung gemäß Art.66 Abs. 2 DSGVO auf Antrag der HmbBfDI (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit), nachdem diese die vorläufige Maßnahme gegen Facebook erlassen hatte. Die Maßnahme, die auf der Grundlage von Art. 66 Abs. 1 DSGVO angeordnet wurde, hatte das Verbot der Verarbeitung von WhatsApp-Nutzerdaten durch Facebook zum Gegenstand. Nach Ansicht der HmbBfDI wurde dies mit der diesjährigen von WhatsApp in die Wege geleiteten Änderung der Nutzungsbedingungen und Datenschutzbestimmungen für europäische Nutzer begründet.

Hintergrund ist folgender: Im Januar hatte WhatsApp neue Datenschutzbestimmungen angekündgt. Nachdem diese bei den Nutzern auf große Kritik stießen, wurde das von WhatsApp angekündigte Ultimatum bis Mai verlängert und WhatsApp versuchte, die angestrebten Änderungen zu erklären. Letztendlich blieb die Erklärung aus und WhatsApp zog auch im Mai noch keine der angekündigten Konsequenzen. Diese umfassten unter anderem, dass alle, die bis Mai den Bedingungen nicht zugestimmt hätten, WhatsApp nicht mehr hätten nutzen können.

Nun entschied der EDPB im Rahmen des Eilverfahrens, dass die Voraussetzungen für den Nachweis des Vorliegens eines Verstoßes und einer Dringlichkeit nicht erfüllt seien.
Auf der Grundlage der vorgelegten Beweise kam der Europäische Datenschutzausschuss zwar zu dem Schluss, dass eine hohe Wahrscheinlichkeit besteht, dass Facebook bereits Nutzerdaten von WhatsApp als (gemeinsamer) Verantwortlicher für den gemeinsamen Zweck der Sicherheit und Integrität von WhatsApp und den anderen Facebook-Unternehmen verarbeitet. Angesichts der verschiedenen Widersprüche, Unklarheiten und Unsicherheiten, die in den nutzerorientierten Informationen von WhatsApp, in einigen schriftlichen Verpflichtungserklärungen von Facebook und in den schriftlichen Stellungnahmen von WhatsApp festgestellt wurden, entschied sich der Europäische Datenschutzausschuss jedoch dazu, dass er nicht in der Lage ist, mit Sicherheit feststellen zu können, welche Verarbeitungen tatsächlich durchgeführt werden.

Zum Vorliegen der Dringlichkeit vertrat der Europäische Datenschutzausschuss die Auffassung, dass Art.61 Abs. 8 DSGVO nicht anwendbar war. Denn der HmbBfDI konnte nicht nachweisen, dass die irische Datenschutzbehörde es versäumt hat, Informationen im Rahmen eines förmlichen Amtshilfeersuchens gemäß Art. 61 DSGVO bereitzustellen; da Facebook (wie auch WhatsApp) seinen europäischen Sitz in Irland hat, ist die dortige Datenschutzbehörde für das Unternehmen zuständig.

Der Europäische Datenschutzausschuss meldete zudem erhebliche Zweifel an der Rechtsgrundlage an, auf die sich Facebook bei der Nutzung der WhatsApp-Daten für eigene oder gemeinsame Verarbeitungen stützen möchte. Er greift damit wesentliche Teile der Argumentation des HmbBfDI auf.  In Anbetracht der hohen Wahrscheinlichkeit diverser Verstöße, insbesondere im Hinblick auf die Sicherheit und Integrität von WhatsApp und der anderen Facebook-Unternehmen, war der Europäische Datenschutzausschuss der Ansicht, dass diese Angelegenheit zügig weiter untersucht werden muss.

Europäischer Datenschutzausschuss veröffentlicht Empfehlung über zusätzliche Maßnahmen für Übermittlungen in Drittstaaten

12. November 2020

Nachdem der EuGH in seiner “Schrems II-Entscheidung” den EU-US-Privacy-Shield für unwirksam erklärte, setzen viele Unternehmen auf die EU-Standardvertragsklauseln als Grundlage für die Übermittlungen in Drittstaaten. Sowohl der EuGH als auch der Europäische Datenschutzausschuss (EDSA) hatten aber betont, dass alleine die Nutzung der Standarvertragsklauseln regelmäßig nicht ausreichend ist, um ein angemessenes Schutzniveau zu gewährleisten, wenn in dem Drittstaat ein behördlicher Zugriff auf die übermittelten Daten droht. Stattdessen müssten zusätzliche technische oder organisatorische Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten.

In der Zwischenzeit war gerätselt worden, welche zusätzlichen Maßnahmen damit gemeint sein könnten. Nun hat sich der EDSA zu dieser Frage geäußert und entsprechende Empfehlungen geäußert (bisher nur auf englischer Sprache vorliegend).

Nicht nur technische und organisatorische, auch vertragliche Maßnahmen möglich

Zunächst gibt der EDSA den betroffenen Unternehmen eine Prozessempfehlung an die Hand. Dabei geht es vor allem um die Identifizierung der relevanten Datenübermittlungen und deren rechtliche Grundlage. Dies dient als Basis für die Einschätzung, ob überhaupt zusätzliche technische und organisatorische Maßnahmen getroffen werden müssen.

Kern der Empfehlung ist aber die Anlage 2, in welcher – durchaus umfangreich – nicht nur zusätzliche technische und organisatorische Maßnahmen, sondern auch mögliche vertragliche Vereinbarungen vorgestellt werden. Der EDSA versucht diese Maßnahmen anschaulich auf konkrete Sachverhalte zu beziehen und stellt genau dar, welche Anforderungen diese Maßnahmen erfüllen müssen. Die möglichen Maßnahmen reichen von wirksamen Verschlüsselungen über eine vertragliche Verstärkung der Betroffenenrechte bis hin zu konzerninternen Richtlinien und der Aufstellung von Spezialistenteams, welche mögliche Behördenzugriffe auf dem Rechtsweg verhindern sollen.

Vorgeschlagene Maßnahmen auch praktikabel?

So umfangreich und detailliert der EDSA die möglichen Maßnahmen beschreibt, mit denen im Verhältnis zwischen den beteiligten Parteien trotz eines drohenden behördlichen Zugriffs auf die Daten deren Sicherheit gewährleistet werden soll, muss sich doch erst noch herausstellen, wie praktikabel diese Empfehlungen sind. Können konzernintern entsprechende Maßnahmen sicherlich zeitnah umgesetzt werden, stellt sich doch die Frage, wie dies gegenüber marktbeherrschenden Dienstleistern möglich sein soll. Hier erscheint die Initiative der Dienstleister erforderlich zu sein, die vertraglichen Grundlagen anzupassen und entsprechende interne Prozesse einzuleiten. Ob dies jedoch aus wirtschaftlicher Sicht sinnvoll ist, wenn gleichzeitig zwischen der EU und den USA über eine neue datenschutzrechtliche Grundlage für Datentransfers verhandelt wird, steht ebenfalls auf einem anderen Blatt.

Nichtsdestotrotz sollten betroffene Unternehmen die Empfehlungen des EDSA nicht unberücksichtigt lassen und prüfen, welche der vorgeschlagenen Maßnahmen im Einzelfall umgesetzt werden können. Die bestehende Rechtsunsicherheit kann dadurch vielleicht nicht gänzlich beseitigt werden, dennoch sind die Empfehlungen sicherlich ein Schritt in die richtige Richtung.

Task Force zur Bearbeitung von Beschwerden gegen die Nutzung von Google- und Facebook-Services

7. September 2020

Auf gemeinsame Initiative von Deutschland und Frankreich hin gründete der Europäischen Datenschutzausschusses (EDSA) eine „Task Force“ zur einheitlichen Bearbeitung von Beschwerden gegen europäische Unternehmen, die Google Analytics und Facebook Services nutzen.

Hintergrund für das Vorgehen sind die 101 Beschwerde der NGO „noyb“ (non-of-you-business). Diese hat nach dem Schrems II Urteil des EuGH Beschwerden bei nationalen Datenschutzaufsichtsbehörden, darunter auch bei fünf Landesdatenschutzbehörden in Deutschland, eingelegt. Gegenstand der Beschwerden ist die Nutzung von Google Analytics und Facebook Connect durch europäische Unternehmen. Dem liegt wiederum die datenschutzrechtliche Frage zu Grunde, ob Google und Facebook über ihre Dienste personenbezogene Daten der Nutzer in die USA übermitteln dürfen. Davon hängt schlussendlich ab, ob europäische Unternehmen, die diese Dienste nutzen, datenschutzrechtliche Anforderungen einhalten.

Dazu sagte der BfDI Ulrich Kelber: „Der EDSA sendet mit der Task Force ein starkes Signal. Die entscheidende Frage, ob diese Google- und Facebook-Services das europäische Datenschutzrecht einhalten, kann jetzt endlich europaweit einheitlich beantwortet werden.

Neue Leitlinien des Europäischen Datenschutzausschusses zur datenschutzrechtlichen Einwilligung

13. Mai 2020

Mit Wirkung zum 04. Mai 2020 hat der Europäische Datenschutzausschuss (EDSA) neue Richtlinien zur Einwilligung nach der Datenschutz-Grundverordnung erlassen und veröffentlicht (bisher liegen die neuen Leitlinien nur in englischer Sprache vor). Dabei handelt es sich um eine aktualisierte Fassung des “Working Papers” WP 259 rev. 01 der Artikel-29-Datenschutzgruppe. Diese Aktualisierungen betreffen vor allem den Betrieb von Webseiten und dort einzuholende Einwilligungen der Nutzer.

Der EDSA sah sich zu einer Aktualisierung dieser Leitlinien veranlasst, da das Thema “Einwilligung” noch immer zahlreiche praktische und rechtliche Schwierigkeiten mit sich bringt. Dabei geht es laut EDSA insbesondere um zwei Punkte, die weiterer Klarstellung bedürften: zum einen die Wirksamkeit von Einwilligung bei der Nutzung sog. “Cookie Walls”, zum anderen das im WP 259 rev. 01 dargestellte Beispiel 16 zum Scrollen und Wischen auf einer Website als mögliche Einwilligung.

“Cookie Walls” unzulässig

Zunächst stellt der EDSA klar, dass eine Einwilligung dann nicht als “freiwillig” abgegeben (im Sinne des Art. 4 Nr. 11 DS-GVO) angesehen werden könne, wenn der Verantwortliche die Nutzung eines Services von der Erteilung einer Einwilligung abhängig macht und darauf verweist, die betroffene Person könne den Service andernfalls auch bei einem anderen Anbieter nutzen (Rn. 38). Eine solche Einwilligung sei wegen einer fehlenden echten Wahlmöglichkeit nicht freiwillig, denn sie sei vom Verhalten anderer Marktteilnehmer sowie von der Beurteilung des Betroffenen abhängig, ob das andere Angebot als tatsächlich gleichwertig angesehen wird. Zudem würde dies den Verantwortlichen dazu verpflichten, Marktveränderungen zu beobachten, um Änderungen in Bezug auf gleichartige Angebote feststellen zu können. Im Ergebnis dürften Verantwortliche die Nutzung eines Services nicht davon abhängig machen, dass der Nutzer eine Einwilligung in die Verarbeitung seiner Daten für zusätzliche Zwecke erteilt. Sog. “Cookie Walls” seien demnach unzulässig (Rn. 39).

Scrollen und Wischen nicht als Einwilligung geeignet

Die zweite Klarstellung des EDSA bezieht sich auf das Beispiel 16, welches die Artikel-29-Datenschutzgruppe im WP 259 rev. 01 gegeben hatte. Demnach stelle das Scrollen oder Wischen auf einer Webseite keine eindeutig bestätigende Handlung dar (Rn. 68). Der Hinweis durch den Verantwortlichen, das fortgesetzte Srollen oder Wischen würde durch den Verantwortlichen als Einwilligung aufgefasst, könne schwierig zu erkennen sein, sodass er durch den Betroffenen übersehen werden könne. Diese Auffassung hat der EDSA nun bestätigt und klargestellt, dass ein solches Scrollen oder Wischen “unter keinen Umständen” eine unmissverständlich abgegebene Willensbekundung (siehe Art. 4 Nr. 11 DS-GVO) darstelle. Ein solches Verhalten könne deshalb nicht als Einwilligung angesehen werde, weil es sich nicht leicht von sonstigem Nutzerverhalten unterscheiden lasse. Zudem könne der Betroffene in einem solchen Fall seine Einwilligung nicht “so einfach wie die Erteilung der Einwilligung” widerrufen, wie dies Art. 7 Abs. 3 S. 4 DS-GVO fordert.

Ulrich Kelber, Bundesdatenschutzbeauftragter und selbst Mitglied des EDSA, unterstützte diese Klarstellungen. Es sei problematisch, dass einige Internetseiten durch ihre Gestaltung den Nutzenden Tracking aufdrängten, und er hoffe, dass die Klarstellungen zu einem Umdenken bei solchen Anbietern sorgt. Es sei erforderlich, dass diese den Nutzenden endlich datenschutzfreundliche Alternativen anbieten.

Pages:  1 2
1 2