Schlagwort: Irland

TikTok im Fokus der irischen Datenschutzbehörde

16. September 2021

Die umstrittene chinesische App steht schon lange wegen ihrer datenschutzrechtlichen Praktiken in der Kritik. In den USA erhielt TikTok bereits Millionenstrafen für die Datenschutzrechtsverletzungen von Kindern und Jugendlichen. Nun hat auch die irische Datenschutzbehörde DPC Ermittlungen in zwei Fällen aufgenommen. Zum einen gehe es um die Verarbeitung von persönlichen Daten von Kindern und Jugendlichen und zum anderen um die Weitergabe von Daten nach China, ließ die DPC verlautbaren.

Gegenstand der Untersuchungen

Im Fokus der Untersuchungen steht, ob TikTok die Privatsphäre seine jugendlichen Nutzer:innen ausreichend schützt. Datenschützer:innen kritisieren unter Anderem, dass TikTok seine Nutzer nicht eindeutig und vor allem nicht in einer für Kinder und Jugendliche verständlichen Weise darüber informiere, welche personenbezogenen Daten zu welchem Zweck und aus welchem Rechtsgrund erhoben werden. Außerdem untersuchen die Behörden mögliche Datenabflüsse aus Europa in Drittstaaten wie China. Denn TikTok gehört zum chinesischen Konzern ByteDance mit Sitz in Peking- und in China müsse man mit einem unbeschränktem und anlasslosen Zugriff der Behörden auf die Daten rechnen, so Datenschutzrechtler.

Streit um die Zuständigkeit

Dass die irische Datenschutzbehörde nun ermittelt, ist keinesfalls selbstverständlich, hatte sie doch noch im letzten Jahr vehement ihre Zuständigkeit abgestritten. Im letzten Jahr hatten Dänemark, die Niederlande und Frankreich Untersuchungen gegen TikTok wegen möglicher Datenschutzverletzungen eingeleitet. Gibt es keinen zentralen EU-Sitz, können schließlich Datenschutzbehörden in jedem EU-Land eigenständig ermitteln. Dann hatte TikTok jedoch einen zentralen europäischen Sitz in Datenschutzangelegenheiten in Irland angekündigt. Gegen die Niederlassung von TikTok in Irland hatte sich die DPC lange Zeit gewehrt und bezweifelt, dass sich TikTok wirklich dauerhaft in Dublin niederlassen würde- während TikTok andere Datenschutzbehörden bereits auf die Hauptniederlassung in Irland verwiesen hatte. Für TikTok war dies zweifelsohne eine begrüßenswerte Situation.

Nun besteht Klarheit bezüglich der Zuständigkeit der irischen Datenschutzbehörde. Sie hat damit ein weiteres Verfahren von immenser Tragweite und Bedeutung neben denen gegen Facebook, Google und Twitter zu bewältigen. Viele befürchten aufgrund mangelnder Ressourcen und Personal, dass auch im Verfahren gegen TikTok die Untersuchung und Ahndung von etwaigen Datenschutzverletzungen nur schleppend vorangehen wird.

Facebook: Irisches Urteil zur Aussetzung des EU-U.S. Datentransfers

28. Mai 2021

Der Oberste Gerichtshof Irlands hat entschieden, dass die irische Datenschutzbehörde Data Protection Commission (DPC) das Untersuchungsverfahren gegen Facebook fortsetzen könne.

Bisherige Entwicklung

Zuvor entschied der Europäische Gerichtshof (EuGH) im letzten Jahr (wir berichteten), dass das europäische Datenschutzabkommen mit den Vereinigten Staaten, das sog. EU-US Privacy Shield, europarechtswidrig sei. Zulässig blieb nach Ansicht des Gerichts jedoch die Übermittlung von Daten in die USA auf Basis der Standardvertragsklauseln (SCC). Dies gelte jedoch nur, sofern die Unternehmen nicht den Überwachungsgesetzen wie FISA 702 unterstehen. Darüber hinaus seien teilweise auch zusätzliche Sicherungsmaßnahmen erforderlich, um einen angemessenen Schutz der personenbezogenen Daten garantieren zu können.

Entscheidung der DPC und des irischen High Courts

Der DPC unterliegt aufgrund des europäischen Hauptsitzes des Unternehmens in Irland die Aufsicht. Dort reagierte man auf das Urteil des EuGHs mit einer Untersuchung und vorläufigen Anordnung zum Stopp der Übermittlung personenbezogener Daten auf Basis von Standardvertragsklauseln. Im ersten Verfahren konnte sich Facebook zunächst erfolgreich gegen die Untersuchung und die damit verbundene Anordnung zur Wehr setzen.

Der irische High Court wies nun alle verfahrensrechtlichen Beschwerden von Facebook gegen eine vorläufige Entscheidung über den Datenverkehr ab, die das Unternehmen im August von der DPC erhalten hatte. Die Behauptungen von Facebook, dass die Datenschutzbehörde dem Unternehmen zu wenig Zeit für eine Reaktion gegeben habe oder einen Beschluss zu früh erlassen habe, wurde zurückgewiesen. Man weise jede Forderung von Facebook zurück, erklärte der Richter David Barniville.

Grundsätzlich zulässig bleibe jedoch nach Ansicht des Gerichts die Übermittlung von Daten in die USA für Unternehmen auf Basis der Standardvertragsklauseln. Vorausgesetzt die Unternehmen unterfallen nicht den oben erwähnten Massenüberwachungsgesetzen oder es werden zusätzliche Sicherungsmaßnahmen, wie bspw. die Verschlüsselung von Daten, gewährleistet.

Kläger Schrems zeigt sich zunächst zufrieden

Der österreichische Jurist Max Schrems, der die Klage gegen Facebook erhob und sich seit Jahren im Rechtsstreit mit Facebook befindet, äußerte sich wie folgt:

„Facebook hat auf allen Ebenen verloren. Das Verfahren hat das irische Verfahren am Ende nur wieder ein paar Monate blockiert. Nach acht Jahren ist die DPC nun verpflichtet, den EU-US-Datentransfer des Unternehmens zu stoppen, wahrscheinlich noch vor dem Sommer.“

Auch die DPC begrüßte die Gerichtsentscheidung. Man könne nun die Übermittlung personenbezogener Daten von Facebook-Nutzern aus der EU in die USA untersagen.

Ausblick

Die Beschlüsse der irischen Datenschutzbehörde müssten nun noch vom Europäischen Datenschutzausschuss (EDSA) genehmigt werden. Die dortige Einspruchsfrist beträgt vier Wochen. Anschließend müsste Facebook wohl die meisten Daten aus Europa lokal speichern. Nur so könnte ein Zugriff durch US-Sicherheitsbehörden kurzfristig verhindert werden.

So bleibt die Rechtsgrundlage für einen Datentransfer personenbezogener Daten in die Vereinigten Staaten weiterhin unklar und der Einsatz von US-Dienstleistern datenschutzrechtlich bedenklich. Es bleibt abzuwarten, welche Folgen die Entscheidung des irischen Gerichts nach sich ziehen wird.

Facebook: Sind die Tage der Datenübermittlungen in die USA angezählt?

10. September 2020

Am 16.06.2020 erklärte der EuGH das Privacy Shield für ungültig und adressierte in diesem Zuge auch Datenübermittlung, die auf der Grundlage von Standardvertragsklauseln (SCCs) legitimiert werden sollen. Der Europäische Datenschutzausschuss und die deutsche Datenschutzkonferenz stellten klar, dass in jeden Einzelfall geprüft werden muss, ob ein angemessenes Datenschutzniveau im Drittland sichergestellt ist oder ob dem mit zusätzlichen Schutzmaßnahmen begegnet werden kann. Im Hinblick auf die weitreichenden Zugriffsmöglichkeiten der US-amerikanischen Sicherheitsdienste bezweifelte der EuGH, dass beim Datentransfer in die USA ein angemessenes Schutzniveaus gewährleistet werden kann.

Seitdem reißen die News rund um das Thema nicht ab. Vor kurzem reichte die von Max Schrems ins Leben gerufene Datenschutzorganisation „noyb“ 101 Beschwerden gegen europäische Unternehmen bei den jeweils zuständigen Aufsichtsbehörden ein. Herr Schrems führte das angesprochene Verfahren vor dem EuGH. Die Beschwerden richten sich gegen Unternehmen, die Google Analytics oder Facebook Connect verwenden, und ausweislich der Darstellungen auf den Webseiten für die Drittlandübermittlungen keine ausreichenden Maßnahmen ergriffen haben. Der Europäische Datenschutzausschuss richtete eine Task Force ein, um bei den Beschwerden ein einheitliches Vorgehen zu gewährleisten.

Nun erhält Facebook weiteren Gegenwind aus Irland: Wie Facebooks Kommunikationschef Clegg in einem Blogpost berichtet, hat die irische Datenschutzaufsichtsbehörde eine Untersuchung zu den Datentransfers von Facebook zwischen der EU und den USA eingeleitet und darauf hingewiesen, dass die SCCs nicht verwendet werden könnten. Wie die US-amerikansische Zeitung Politico berichtet, stellte die irische Datenschutzbehörden Facebook bereits Ende August eine vorläufige Anordnung zur Aussetzung der Datentransfers von der EU in die USA auf Grundlage der SCCs zu und bat um Antwort des Unternehmens.

Spannend sind in diesem Zusammenhang die Aussagen von noyb: Sie verweisen auf einen Brief, in dem sich Facebook auf eine andere Rechtsgrundlage für die Übermittlung beruft, die nicht Gegenstand der vorläufigen Anordnung ist (siehe hier auf Seite 3-4). Die Übermittlung soll danach rechtmäßig sein, weil sie zur Erfüllung eines zwischen den Facebook-Nutzern und Facebook geschlossenen Vertrages erforderlich sei. Max Schrems ist hingegen der Ansicht, “die angebliche Anordnung gegen Facebook [sei] ein weiterer Schritt, der das Problem absichtlich nicht lösen” wird. noyb hat angekündigt, einen Antrag auf eine einstweilige Verfügung einzureichen, um sicherzustellen, dass die DPC hinsichtlich aller rechtlichen Grundlagen für Datenübermittlungen tätig wird.

Eine endgültige Entscheidung der der irischen Behörde steht noch aus. Politico geht davon aus, dass mit einer solchen frühestens im Oktober gerechnet werden kann, nachdem Facebook auf die Anordnung geantwortet hat und die Entscheidung mit anderen EU Aufsichtsbehörden koordiniert wurde.

Bis dahin will sich Facebook nach Aussage des Kommunikationschefs Clegg “weiterhin Daten in Übereinstimmung mit dem jüngsten EuGH-Urteil übermitteln bis weitere Handlungsanweisungen erfolgen”. Er weist auf die Gefahren für die europäische Wirtschaft hin, wenn ein internationaler Datentransfer behindert wird. Clegg betont, dass Facebook die Bemühungen der Europäischen Kommission und dem US-amerikanischen Handelsministerium um ein “Privacy Shield enhanced” begrüßt.

Neues zur Cookie-Richtlinie

30. Mai 2012

Deutschland:

Auch wenn zwischenzeitlich sowohl vom Bundesrat, als auch von der SPD-Fraktion, ein Entwurf zur Änderung des Telemediengesetzes in den Bundestag eingebracht wurde, ist die E-Privacy Richtlinie (= Cookie-Richtlinie) in Deutschland bisher nicht umgesetzt worden, da die Vorschläge bei der schwarz-gelben Regierungsmehrheit nicht auf Zustimmung stießen. Obwohl Deutschland ein Vertragsverletzungsverfahren droht, da die Richtlinie bereits bis Mai letzten Jahres hätte umgesetzt sein müssen, zeichnet sich eine zeitnahe Änderung des TMG somit weiterhin nicht ab. Nichtsdestotrotz hält der Bundesbeauftragte für den Datenschutz, Peter Schaar, die E-Privacy Richtlinie nach Medienberichten für unmittelbar in Deutschland anwendbar. Eine unmittelbare Anwendung von EU-Richtlinien in Mitgliedsländern, ohne die im Normalfall notwendige Umsetzung in nationales Recht, ist möglich, wenn die Umsetzungsfrist abgelaufen ist, die Richtlinie unbedingt und hinreichend bestimmt ist. Diese Vorraussetzungen sieht Schaar als gegeben an, und folgert daraus, dass die deutschen Datenschutzbehörden ihre Aufsichtsmaßnahmen direkt auf die E-Privacy Richtlinie stützen könnten.

EU:

Basierend auf den bereits skizzierten Einschätzungen ihres Vorsitzenden Jakob Kohnstamm hat auch die Artikel-29-Gruppe eigene Best Practice Empfehlungen für den datenschutzkonformen Einsatz von Cookies im Rahmen des Behavorial Targetings veröffentlicht.

UK:

Ende Mai 2012 ist eine einjährige Übergangsfrist abgelaufen, innerhalb derer das ICO (Information Commissioner’s Office) keine formalen Maßnahmen wegen Verstößen gegen die in den Data Protection Act aufgenommenen Bestimmungen der Cookie-Richtlinie ergreifen wollte. Von nun an drohen bei schweren Verstößen Strafen bis zu 500.000 £. Um solch drastische Sanktionen zu vermeiden, beantwortet das ICO die am häufigsten gestellten Fragen rund um die datenschutzkonforme Implementierung von Cookies in einem Video und stellt ausführliche Leitlinien zum Cookieeinstatz zur Verfügung. Auch die ICC (International Commerce Chamber) hält eigene Informationsmaterialien zu dem Thema bereit. Wie eine solche Umsetzung aussehen kann, zeigt beispielsweise die Website der BBC, welche sich für eine Leiste am oberen Bildrand entscheidet. Aboutcookies.org  wählt hingegen eine dauerhaft präsente Box am unteren Bildschirmrand.

Irland:

In Irland wurde die Cookie-Richtlinie durch S.I. No. 336 of 2011 umgesetzt. Der irische Data Protection Commissioner hat gegenüber der Website the Sociable in Bezug auf diese Umsetzung ausgeführt, dass keine gesonderte Einwilligung für den Einsatz von seitenfremden Analysewerkzeugen, wie z.B. Google Analytics, notwendig ist, solange der Website-Betreiber die Information bereitstellt, dass auch Cookies von Drittanbietern gesetzt werden.