Sehr geehrte Damen und Herren,

anlässlich einer kürzlich veröffentlichten Orientierungshilfe der Datenschutzkonferenz (DSK) zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung geben wir in unserem aktuellen Schwerpunktthema Hinweise für den datenschutzkonformen Einsatz von Direktwerbung. Außerdem informieren wir in unserem Datenschutz-Newsletter über weitere aktuelle Datenschutzthemen, beispielsweise über ein gegen eine Wohnungsbaugesellschaft verhängtes Bußgeld der Landesdatenschutzbeauftragten in Bremen in Höhe von 1,9 Millionen Euro.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Direktwerbung und Datenschutz

Werbung ist für Unternehmen ein wichtiges Mittel zur Ansprache und Gewinnung von Kunden, zur Steigerung der eigenen Bekanntheit sowie zur Absatzsteigerung. Unter den Begriff der Werbung fällt gem. Art. 2 lit. a) der UGP-Richtlinie (EU-Richtlinie 2006/114 EG über irreführende und vergleichende Werbung vom 12.12.2006) „jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern“. Nach diesem weiten Begriffsverständnis sind alle Maßnahmen eines Unternehmens umfasst, die auf die Förderung des Absatzes seiner Produkte oder Dienstleistungen gerichtet sind. Direktwerbung ist durch die unmittelbare Ansprache des Adressaten, zum Beispiel per Post, E-Mail oder Telefon, gekennzeichnet.

Maßnahmen der Direktwerbung gehen regelmäßig mit der Verarbeitung von personenbezogenen Daten der Empfänger einher. Insoweit haben verantwortliche Unternehmen die einschlägigen datenschutzrechtlichen Bestimmungen zu beachten. Am 18.02.2022 hat die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, eine Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der DSGVO veröffentlicht, in der sie sich mit den datenschutzrechtlichen Besonderheiten von Direktwerbung auseinandersetzt. Die Orientierungshilfe kann für das korrekte Vorgehen bei dem Einsatz von Direktwerbung ergänzend herangezogen werden.

Zum vollständigen Schwerpunktthema

Grundsätzliche Einigung über „transatlantischen Datenschutzrahmen“

Die Europäische Kommission und die USA haben eine grundsätzliche Einigung über einen „Trans-Atlantic Data Privacy Framework“ erzielt. Auf der Grundlage des neuen Rahmens soll eine sichere Übermittlung von Daten zwischen der EU und den teilnehmenden US-Unternehmen ermöglicht werden. Hierbei soll insbesondere ein angemessener Schutz der in die USA übermittelten Daten unter Berücksichtigung des Urteils „Schrems II“ des Europäischen Gerichtshofs (EuGH) gewährleistet werden.

Der EuGH hatte im Jahr 2020 in seinem Urteil „Schrems II“ das EU-US Privacy Shield, das bis zu diesem Zeitpunkt eine der wichtigsten Grundlagen für die Datenübermittlung in die USA gewesen ist, für unwirksam erklärt (EuGH, Urt. v 16.07.2020 – Az. C-311/18, wir berichteten in unserem Datenschutz-Newsletter im August 2020). In der Begründung seiner Entscheidung kritisierte der EuGH das Datenschutzniveau in den USA, insbesondere Rechtsvorschriften wie den CLOUD-Act, die US-Geheimdiensten einen umfassenden Zugriff auf Daten ermöglichen. Mit ähnlicher Argumentation hatte der EuGH schon die Vorgängerregelung, das Safe-Harbor-Abkommen vom 26.07.2000 (Entscheidung 2000/520/EG der Kommis­sion vom 26.07.2000), für unwirksam erklärt (EuGH, Urt. v. 06.10.2015 – Az. C-362/14).

Durch das neue Regelwerk und verbindliche Garantien soll nach Informationen der Europäischen Kommission und des Weißen Hauses der Zugriff von US-Geheimdiensten auf Daten „auf das beschränkt werden, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist“. Die US-Nachrichtendienste werden danach Verfahren einführen, die eine wirksame Kontrolle der neuen Standards sicherstellen. Außerdem ist ein neues zweistufiges Rechtsbehelfssystem zur Untersuchung und Beilegung von Beschwerden von Europäern über den Zugriff auf Daten durch US-Geheimdienste vorgesehen. Dazu gehört ein spezielles Gericht für die Überprüfung der Einhaltung der Datenschutzvorgaben. Außerdem sind strenge Auflagen für Unternehmen vorgesehen, die aus der EU übermittelte Daten verarbeiten, sowie spezifische Überwachungs- und Überprüfungsmechanismen.

In den nächsten Schritten werden nun auf der Grundlage der grundsätzlichen Einigung entsprechende rechtliche Dokumente erstellt. Die Verpflichtungen der USA werden in eine Durchführungsverordnung aufgenommen, die die Grundlage für einen Entwurf eines Angemessenheitsbeschlusses der Kommission zur Einführung des neuen transatlantischen Datenschutzrahmens bilden wird. Ob es in der Folge tatsächlich zu einem Angemessenheitsbeschluss der Europäischen Kommission kommen wird und ob ein solcher im Anschluss auch einer etwaigen gerichtlichen Überprüfung standhalten kann, bleibt abzuwarten. Hierfür dürfte zumindest eine deutliche Einschränkung der Überwachungsbefugnisse von US-Geheimdiensten erforderlich sein.

(Johanna Schmale)

Italienische Datenschutzbehörde: 20 Mio. Euro Bußgeld gegen Clearview wegen rechtswidriger Gesichtserkennung

Die italienische Datenschutzaufsichtsbehörde hat ein Bußgeld in Höhe von 20 Millionen Euro gegen das amerikanische Unternehmen Clearview AI wegen der unerlaubten Verwendung biometrischer Daten (Gesichtserkennung) verhängt (vgl. die Pressemitteilung der Behörde vom 09.03.2022).

Das Unternehmen Clearview AI hat sich auf die Gesichtserkennung mit Computersystemen spezialisiert, wofür große Mengen an Bilddaten und künstliche Intelligenz zum Einsatz kommen. Nach Angaben der italienischen Aufsichtsbehörde besitzt das Unternehmen Berichten zufolge eine Datenbank mit über 10 Millionen Gesichtsbildern aus der ganzen Welt, die mittels Web Scraping aus öffentlichen Webquellen extrahiert wurden. Der hochentwickelte Suchdienst des Unternehmens ermögliche es, mithilfe von KI-Systemen auf der Grundlage der aus den Bildern extrahierten biometrischen Daten Profile zu erstellen. Die Informationen könnten durch Informationen, die mit diesen Bildern verknüpft sind, zum Beispiel Bild-Tags, Standortdaten und Quell-Webseiten, angereichert werden.

Die Datenschutzbehörde kritisierte, dass Clearview AI – anders als behauptet – die Verfolgung italienischer Staatsangehöriger und sich in Italien aufhaltender Personen ermögliche. Die Ermittlungen hätten ergeben, dass die sich im Besitz des Unternehmens befindlichen personenbezogenen Daten unrechtmäßig und ohne angemessene Rechtsgrundlage verarbeitet würden. Das berechtigte Interesse des Unternehmens eigne sich nicht als Rechtsgrundlage. Das Unternehmen verstoße außerdem gegen mehrere Grundprinzipien der Datenschutz-Grundverordnung (DSGVO), unter anderem gegen den Grundsatz der Transparenz aufgrund nicht angemessener Information der Nutzer, den Grundsatz der Speicherbegrenzung aufgrund fehlender Angaben zu dem Zeitraum für die Datenspeicherung und den Grundsatz der Zweckbindung, da das Unternehmen die Daten der Nutzer zu anderen Zwecken verarbeite als denen, für die sie ursprünglich online gestellt worden waren.

Neben der Verhängung des Bußgeldes forderte die italienische Behörde das Unternehmen auf, die Daten, die sich auf Personen in Italien beziehen, zu löschen. Sie verbot außerdem die weitere Erhebung und Verarbeitung der Daten durch das Gesichtserkennungssystem des Unternehmens. Darüber hinaus wies sie das Unternehmen an, einen Vertreter in der EU zu benennen, um die Ausübung der Rechte der Betroffenen zu erleichtern.

(Johanna Schmale)

Datenschutzbeauftragte Bremen: 1,9 Mio. Euro Bußgeld gegen Wohnungsbaugesellschaft

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen hat gegen die Wohnungsbaugesellschaft BREBAU GmbH ein Bußgeld in Höhe von 1,9 Millionen Euro verhängt (vgl. die Pressemitteilung der Behörde vom 03.03.2022).

Die Aufsichtsbehörde kritisierte, dass das Unternehmen mehr als 9.500 Daten über Mietinteressentinnen und -interessenten verarbeitet habe, ohne dass es hierfür eine Rechtsgrundlage gab. Informationen über „Haarfrisuren, den Körpergeruch und das persönliche Auftreten“ seien für den Abschluss von Mietverhältnissen nicht erforderlich. Bei mehr als der Hälfte der Fälle habe es sich um Daten gehandelt, die nach der DSGVO besonders schützenswert sind. So seien auch Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und den Gesundheitszustand verarbeitet worden. Die Behörde wirft dem Unternehmen außerdem vor, Anträge Betroffener auf Transparenz über die Verarbeitung ihrer Daten bewusst konterkariert zu haben.

Nach Auffassung der Behörde hätte aufgrund der erheblichen Rechtsverstöße auch eine deutlich höhere Geldbuße angemessen gewesen sein können. Die BREBAU GmbH habe in dem Verfahren jedoch umfassend mit der Behörde kooperiert, sich um eine Schadensminderung und eigene Aufklärung des Sachverhalts sowie darum bemüht, dass sich entsprechende Verstöße nicht wiederholen, weshalb die Höhe des Bußgeldes erheblich reduziert werden konnte.

(Johanna Schmale)

LDI NRW: Hinweise zur Erfassung von Kundenkontaktdaten

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat aktualisierte Hinweise zur Erfassung von Kundenkontaktdaten zwecks Rückverfolgbarkeit von Infektionsketten in Zusammenhang mit dem Coronavirus auf ihrer Homepage veröffentlicht.

In den Hinweisen weist die Aufsichtsbehörde darauf hin, dass die aktuell in Nordrhein-Westfalen gültige Coronaschutzverordnung eine generelle Pflicht zur Kontaktdatenerfassung zur Rückverfolgbarkeit von Personen für bestimmte Wirtschaftsbereiche nicht vorsieht. Die Verarbeitung von Kontaktdaten von Kunden, Gästen und Veranstaltungsteilnehmenden zur Verhinderung der Verbreitung des Coronavirus kann jedoch gemäß § 28, 28a des Gesetzes zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen (IfSG) durch die Städte und Gemeinden angeordnet werden. Existiert eine solche behördliche Anordnung, ist die Erfassung der Kontaktdaten zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 S. 1 lit. c), Abs. 3 DSGVO zulässig.

Die Behörde erläutert unter anderem, dass sich die Erlaubnis nur auf die Kontaktdaten und Angaben zum Zeitraum und Ort des Aufenthaltes bezieht, soweit dies zur Nachverfolgung von Kontaktpersonen zwingend notwendig ist. Verantwortliche haben außerdem sicherzustellen, dass die Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist und dass sie nach Ablauf der Aufbewahrungsfrist datenschutzkonform vernichtet werden. Die Behörde weist auch auf die Einhaltung der Grundsätze der Zweckbindung, der Datenminimierung und der Informationspflichten hin. Musterformulare zu dem Thema, beispielsweise bezüglich der Informationspflichten, stellt die LDI NRW auf ihrer Homepage zur Verfügung.

(Johanna Schmale)