Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

unser BRANDI-Datenschutzrechtstag am 12.05.2023 rückt näher und wir freuen uns auf spannende Diskussionen zu dem Thema „Datenschutz in der Cloud und Cybersicherheit“. In diesem Newsletter erhalten Sie weitere Informationen zu den Anmeldemöglichkeiten für die Veranstaltung.

Außerdem berichten wir wie gewohnt über aktuelle Geschehnisse und Entwicklungen aus dem Datenschutzrecht, unter anderem die Stellungnahme des EDSA zum Data Privacy Framework, die Schlussanträge des Generalanwalts zum Thema Schufa-Scoring und Schufa-Datenspeicherung sowie ein Bußgeld der irischen Aufsichtsbehörde gegen den Meta Konzern.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenschutzrechtliche Anforderungen bei der Nutzung von KI-Tools

Der Einsatz von Künstlicher Intelligenz (KI) gewinnt für die meisten Unternehmen immer mehr an Bedeutung. Zur Anwendung kommen unter anderem Übersetzungstools oder Anwendungen wie ChatGPT sowie verschiedene Produkte im Personalbereich, die beispielsweise den Recruiting-Prozess oder die Ressourcen-Planung unterstützen. Werden im Rahmen der Nutzung von KI-basierten Softwareanwendungen auch personenbezogene Daten, etwa von Mitarbeitern, Bewerbern, Kunden oder Geschäftspartnern verarbeitet, sind bei der Datenverarbeitung neben arbeitsrechtlichen Vorgaben auch die datenschutzrechtlichen Anforderungen insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) zu berücksichtigen. Daneben werden künftig auch die Vorschriften der Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz Anwendung finden, die derzeit noch das Gesetzgebungsverfahren durchläuft.

Zum vollständigen Schwerpunktthema

In eigener Sache: BRANDI-Datenschutzrechtstag

In unseren Datenschutz-Newslettern der vergangenen Monate haben Sie von uns bereits eine Einladung sowie Informationen zu unserem Datenschutzrechtstag am 12.05.2023 erhalten. Gemeinsam mit Ihnen und externen Experten möchten wir im Rahmen der Veranstaltung über das Thema „Datenschutz in der Cloud und Cybersicherheit“ diskutieren.

Mittlerweile ist das Anmeldeformular für die Veranstaltung auf unserer Homepage freigeschaltet. Die Möglichkeit zur Anmeldung finden Sie unter dem folgenden Link: https://www.brandi.net/news/detail/4-brandi-datenschutzrechtstag-praesenzveranstaltung-am-12052023/.

Für organisatorische Fragen im Vorfeld zu der Veranstaltung stehen wir Ihnen gerne zur Verfügung. Zudem können Sie inhaltliche Fragen, über die Sie in der Veranstaltung gerne diskutieren möchten, bereits vorab an die folgende E-Mail-Adresse schicken: WissMit-DatenschutzBI@brandi.net. Zusätzlich besteht die Möglichkeit, während der Veranstaltung Fragen zu stellen und sich aktiv an der Diskussion zu beteiligen.

Wir freuen uns auf eine zahlreiche Teilnahme an der Veranstaltung!

(Christina Prowald)

Generalanwalt: Schufa-Scoring und Schufa-Datenspeicherung

In den Vorabentscheidungsverfahren OQ gegen Land Hessen sowie UF und AB gegen Land Hessen, in dem die Schufa Holding AG jeweils als Streithelferin das Land Hessen unterstützt, hat der Generalanwalt des Europäischen Gerichtshofs (EuGH), Priit Pikamäe, am 16. März 2023 seine Schlussanträge veröffentlicht (Schlussanträge vom 16.3.2023 – Az. C-634/21 und C-26/22, C-64/22). Inhaltlich geht es einerseits um die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer Person, einen Kredit zu bedienen (Scoring) sowie andererseits um die Speicherung von Daten eine Restschuldbefreiung betreffend.

Hintergrund des Verfahrens C-634/21 ist der Rechtsstreit zwischen einem Bürger und dem Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit, über den Schutz personenbezogener Daten anlässlich der Untätigkeit der hessischen Aufsichtsbehörde. Die Schufa lieferte einem Kreditinstitut einen Score-Wert in Bezug auf diesen Bürger, auf Basis dessen dem Bürger ein beantragter Kredit verwehrt wurde. Der Bürger forderte die Schufa daraufhin auf, die falschen Eintragungen zu löschen und ihm Zugang zu den entsprechenden Daten zu gewähren. Die Schufa teilte daraufhin lediglich allgemein mit, wie der Score-Wert berechnet wird. Demgegenüber erhielt der Bürger keine Informationen darüber, welche konkreten Informationen in die Berechnung eingeflossen sind, da dies aus Sicht der Schufa dem Geschäftsgeheimnis unterliege. Der Bürger erhob in der Folge Beschwerde bei der Datenschutzaufsichtsbehörde Hessen gegen die Ablehnung seines Ersuchens durch die Schufa. Der Hessische Datenschutzbeauftragte lehnte ein weiteres Tätigwerden ab, da das Vorgehen der Schufa nicht gegen das Bundesdatenschutzgesetz verstoße, woraufhin es zum Rechtsstreit kam.

Der Generalanwalt führte nunmehr aus, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung darstelle, die der betroffenen Person gegenüber rechtliche Wirkung entfalte, wenn dieser Werte an einen Dritten übermittelt werde und dieser den Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses zugrunde lege. Er verweist darauf, dass Betroffene das Recht haben, Informationen über das Bestehen einer automatisierten Entscheidungsfindung sowie Informationen über die involvierte Logik sowie die Tragweite und die Auswirkungen der Verarbeitung zu erhalten. Diese Auskunftspflicht sei dahingehend zu verstehen, dass sie auch detaillierte Erläuterungen zur der Berechnung des Score-Wertes und zu den Gründen für ein bestimmtes Ergebnis umfasse.

Hintergrund der Verfahren C-26/22 und C-64/22 sind ebenfalls Rechtsstreitigkeiten zwischen zwei Bürgern und dem Land Hessen über Anträge der Bürger gegenüber der hessischen Datenschutzbehörde auf Löschung der Eintragung einer Restschuldbefreiung bei der Schufa. Im Rahmen der die Bürger betreffenden Insolvenzverfahren war ihnen eine Restschuldbefreiung erteilt worden. Diese Information wurde amtlich im Internet veröffentlicht und nach sechs Monaten gelöscht. Die Schufa speichert Informationen über eine Restschuldbefreiung hingegen drei Jahre lang. Diese Speicherdauer hielten die Bürger für unzulässig.

Der Generalanwalt kam insoweit zu dem Schluss, dass die Praxis, personenbezogene Daten aus öffentlichen Registern für die Dauer von drei Jahren zu speichern, mit den in der DSGVO verankerten Grundsätzen nicht in Einklang stehe. Die Speicherung durch eine Wirtschaftsauskunftei könne nicht rechtmäßig sein, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern bereits gelöscht worden seien. Es sei hervorzuheben, dass die gewährte Restschuldbefreiung dem Betroffenen ermöglichen solle, wieder am Wirtschaftsleben teilzunehmen. Dieses Ziel würde jedoch vereitelt, sofern private Wirtschaftsauskunfteien berechtigt seien, entsprechende Daten über die Veröffentlichung in öffentlichen Registern hinaus zu speichern. Betroffene hätten das Recht, dass solche Daten unverzüglich gelöscht werden.

Inwieweit der EuGH sich den Schlussanträgen des Generalanwalts anschließen wird, bleibt abzuwarten. In der Regel folgt das Gericht allerdings der Argumentation des Generalanwalts.

(Christina Prowald)

VG Hannover: Mitarbeiter-Datenerhebung durch Amazon zulässig

Das VG Hannover hat am 09.02.2023 entschieden, dass der Einsatz von Handscannern zur Erfassung bestimmter Arbeitsschritte und die Verwendung der auf diese Weise erhobenen Mitarbeiterdaten als Bewertungsgrundlage für Qualifizierungsmaßnahme sowie für Feedback und Personalentscheidungen zulässig ist (VG Hannover, Urteil vom 9.2.2023 – Az. 10 A 6199/20). Das Gericht hat die Berufung zugelassen.

Mit Bescheid von Oktober 2020 wurde Amazon im Rahmen eines datenschutzrechtlichen Kontrollverfahrens untersagt, Quantitäts- und Qualitätsdaten ihrer Beschäftigten ununterbrochen zu erheben und diese zur Erstellung von Leistungsprofilen, Prozessanalysen und Feedbackgespräche zu nutzen, da die ununterbrochene Erhebung der Leistungsdaten aus Sicht der Behörde gegen datenschutzrechtliche Bestimmungen verstoße. Amazon wandte hiergegen ein, dass die Daten dazu benötigt werden, um auf Schwankungen in einzelnen Prozesspfaden durch Verschiebungen reagieren zu können. Außerdem würden die Daten benötigt, um Stärken und Schwächen der Mitarbeiter bei der Einsatzplanung berücksichtigen und objektives und individuelles leistungsbezogenes Feedback geben zu können. Das Unternehmen habe insoweit ein berechtigtes Interesse an der Datenverarbeitung.

Das VG Hannover ist der Auffassung, dass kein datenschutzrechtlicher Verstoß, insbesondere nicht gegen § 26 BDSG, vorliegt. Die Datenverarbeitung sei für die Steuerung der Logistikprozesse, die Steuerung der Qualifizierung und Schaffung von Bewertungsgrundlagen für individuelles Feedback und Personalentscheidung erforderlich. Der Eingriff in das Recht auf informationelle Selbstbestimmung der Beschäftigten stehe auch nicht außer Verhältnis zu den schützenswerten Interessen des Unternehmens und sei insoweit angemessen. Das Gericht verweist insofern darauf, dass die Datenerhebung nicht heimlich erfolgt, es sich lediglich um eine Leistungskontrolle handelt und die Daten insbesondere für die Steuerung der Logistikabläufe benötigt werden. Die Möglichkeit objektiven Feedbacks sei von vielen Beschäftigten zudem positiv bewertet worden.

(Christina Prowald)

ArbG Oldenburg: Schadensersatz für verspätete Auskunft

Das Arbeitsgericht Oldenburg hat am 9. Februar 2023 entschieden, dass eine verspätete Beantwortung eines Auskunftsbegehrens einen Schadensersatzanspruch nach Art. 82 DSGVO i.H.v. 10.000 Euro begründet (ArbG Oldenburg, Urteil vom 9.2.2023 – Az. 3 Ca 150/21, BeckRS 2023, 3950).

In dem zugrundeliegenden Fall hatte ein Arbeitnehmer gegenüber seiner ehemaligen Arbeitgeberin seinen Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht und eine Kopie der über ihn verarbeiteten Daten verlangt. Die Arbeitgeberin verweigerte zunächst die Auskunftserteilung und legte dem Kläger erst 20 Monate später im Rahmen eines arbeitsgerichtlichen Prozesses einzelne Unterlagen vor. Der Kläger machte darauf einen Anspruch auf immateriellen Schadensersatz wegen der Nichterfüllung der Auskunftspflicht geltend, wobei er nicht näher darlegte worin der Schaden liegen soll.

Das Arbeitsgericht sprach dem Kläger in der Folge immateriellen Schadensersatz zu, da die Beklagte ihrer Auskunftspflicht nicht innerhalb eines Monats nachgekommen sei. Aufgrund des hohen Auskunftsinteresses des Klägers sowie des langen Zeitraums der Nichterfüllung hielt das Gericht einen Schadensersatz i.H.v. 10.000 Euro für angemessen. Das Gericht war der Auffassung, der Kläger habe den Schaden nicht näher darlegen müssen. Bereits eine Verletzung der DSGVO führe zu einem auszugleichenden immateriellen Schaden. Der Anspruch nach Art. 82 DSGVO habe einen präventiven Charakter und diene der Abschreckung.

Hinsichtlich der Höhe des zugesprochenen Schadensersatzes stellt die Entscheidung einen Ausreißer da. Auch die Auffassung des Gerichts, dass eine bloße Verletzung einer Norm der DSGVO ausreiche, um einen Schadensersatzanspruch zu begründen, ist nicht nachvollziehbar. Der Generalanwalt des Europäischen Gerichtshofs führte im Oktober 2022 aus, dass die bloße Verletzung einer Norm als solche nicht ausreiche, wenn mit dieser kein Schaden einhergehe (wir berichteten in unserem Datenschutz-Newsletter im Dezember 2022). Ohne einen Schaden würde der Schadensersatz die Funktion des Ausgleichs nachteiliger Folgen nicht mehr erfüllen und hätte eher die Rechtsnatur einer Sanktion. Weiter arbeitete er heraus, dass ein immaterieller Schaden eine gewisse Erheblichkeitsschwelle überschreiten müsse.

(Christina Prowald)

Google Analytics 4

Am 30. Juni 2023 wird Google sein Analysetool Universal Analytics, auch Google Analytics 3 genannt, einstellen. Das Nachfolgemodell Google Analytics 4 ist bereits seit dem 14. Oktober 2020 auf dem Markt und wird zukünftig das einzige Analysetool von Google sein. Google Analytics 4 ist ein Analysewerkzeug, das Webseitenbetreiber zur Auswertung der Nutzeraktivitäten verwenden können.

Die neueste Version arbeitet mit Maschinellem Lernen, also Algorithmen zur besseren Datenanalyse und Vervollständigung fehlender Datensätze durch sogenanntes „Modeling“. Neben der Notwendigkeit, die sich aus der operativen Einstellung von Universal Analytics ergibt, empfiehlt es sich auch aus datenschutzrechtlicher Sicht zum aktuellen Angebot zu wechseln. Mit Google Analytics 4 reagierte Google auf die Bedenken europäischer Datenschützer und implementierte die automatische Anonymisierung der IP-Adressen als standardisierte Voreinstellung. Beim Vorgängermodell musste dieser Schritt noch manuell vorgenommen werden. Ein weiterer, wesentlicher Fortschritt ist das Verkürzen der IP-Adressen auf Servern innerhalb der Europäischen Union. Zuvor wurden die IP-Adressen auf Servern in den Vereinigten Staaten gekürzt. Besonders dieser Umstand war den Datenschutzrechtlern ein Dorn im Auge. Google strebt es an ohne den Einsatz von Cookies zu arbeiten und die Datenanalyse durch den Einsatz von Maschinellem Lernen zu ermöglichen. Konkret soll dies durch die Bildung von Kleingruppen der Nutzer umgesetzt werden, deren Gruppenverhalten dann, ohne Bezug zum jeweiligen Nutzer durch Verwendung von Cookies, durch das Maschinelle Lernen bestimmt werden kann. Ob diese Vorgehensweise dazu führt, dass keine Individualisierung mehr möglich ist und damit keine personenbezogenen Daten mehr verarbeitet werden, was die Anwendbarkeit der DSGVO entfielen ließe, bleibt abzuwarten.

Diese Neuerungen führen jedoch nicht dazu, dass keine Einwilligung mehr eingeholt werden sollte. Es gilt weiterhin die Anforderung an den Webseitenbetreiber sich die Einwilligung des Nutzers durch ein sogenanntes Consent-Tool einzuholen. Zudem empfiehlt es sich einen Vertrag über die Auftragsverarbeitung iSd. Art. 28 DSGVO abzuschließen. In Ihrem Google-Konto findet sich eine vorgefertigte Version eines solchen Vertrages. Zuletzt empfiehlt es sich die Veränderungen auch in die eigene Datenschutzerklärung aufzunehmen.

(Lukas Ingold)

EU: Pläne zur Vermeidung von Cookie-Hinweisen

Auf Ebene der Europäischen Union gibt es erste Überlegungen, zukünftig eine Option zu schaffen, auf die von einem Großteil der Bevölkerung als störend empfundenen Cookie-Hinweise zu verzichten. Angedacht ist ein Konzept, bei dem Nutzer ihre Präferenzen speichern können und die hinterlegten Informationen eine Abfrage zur Nutzung von Cookies im Einzelfall ersetzen. Im deutschen Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) gibt es bereits ein vergleichbares Modell, das sich allerdings in der Praxis noch nicht durchsetzen konnte. Im Vorgriff auf die weiterhin ausstehende E-Privacy-Verordnung verweist § 25 TTDSG auf „anerkannte Dienste der Einwilligungsverwaltung“, was allerdings noch in einer nationalen Rechtsverordnung näher zu definieren wäre. Wenn es gelänge, ein solches Konzept auf europäischer Ebene zu etablieren, wäre dies sicherlich einfacher umsetzbar als ein nationaler Sonderweg. Bisher gibt es hierzu aber nur erste Überlegungen, über die das Magazin Euractiv berichtet hat, sowie – für Deutschland – den Referentenentwurf der Einwilligungsverwaltungs-Verordnung – EinwVO).

(Dr. Sebastian Meyer)

EDSA: Stellungnahme zum Data Privacy Framework

Am 28. Februar 2023 hat der Europäische Datenschutzausschuss (EDSA) seine Stellungnahme zum Entwurf des Angemessenheitsbeschlusses zum EU-U.S. Data Privacy Framework veröffentlicht.

US-Präsident Joe Biden hatte am 7. Oktober 2022 ein Dekret unterzeichnet, welches auf US-amerikanischer Seite die rechtliche Grundlage für einen neuen Rechtsrahmen zur Datenübermittlung in die USA schafft (wir berichteten in unserem Datenschutz-Newsletter im November 2022). In der Folge legte die Europäische Kommission im Dezember 2022 sodann den Entwurf eines Angemessenheitsbeschlusses für die USA vor und leitete das Verfahren zur Annahme des Angemessenheitsbeschlusses ein (wir berichtete in unserem Jahresausblick 2023).

Der EDSA begrüßt in seiner Stellungnahme die Verbesserungen im Vergleich zu den Vorgängerregelungen, darunter die Einführung von Anforderungen an Notwendigkeit und Verhältnismäßigkeit nachrichtendienstlicher Datenerhebung sowie den neu geschaffenen Rechtsbehelfsmechanismus für betroffene Personen aus der EU mit Blick auf die Zugriffsmöglichkeiten amerikanischer Sicherheitsbehörden. Kritisch äußerte sich der EDSA hinsichtlich einer möglichen Massenerfassung von Daten (sog. „Bulk Collection“). Da es aus Sicht des EDSA bei mehreren Punkten noch weiteren Klärungsbedarf gibt, bat der EDSA die Europäische Kommission um weitergehende Untersuchungen und Klarstellung der benannten Punkte. Hierzu gehören etwa bestimmte Rechte von Betroffenen, die Weiterübermittlung personenbezogener Daten sowie die praktische Funktionsweise des Rechtsbehelfsmechanismus.

Die Vorsitzende der DSK, Marit Hansen, äußerte sich wie folgt zu der Stellungnahme: „Die Daten vieler EU-Bürgerinnen und EU-Bürger werden in die USA übermittelt. Für einen umfassenden Grundrechtsschutz ist es wichtig, dass das Schutzniveau auch in diesen Fällen gleichwertig mit dem in der EU garantierten Datenschutzniveau ist. Der Europäische Datenschutzausschuss hat unter Beteiligung deutscher Aufsichtsbehörden das in dem EU-U.S. Data Privacy Framework beschriebene Schutzniveau sorgfältig geprüft. Ich begrüße den erzielten Fortschritt und hoffe, dass die verbliebenen offenen Punkte, die wir gemeinsam aufgezeigt haben, nun ebenfalls geklärt werden.“

Die Stellungnahme des EDSA ist notwendige Voraussetzung für die Verabschiedung des Angemessenheitsbeschlusses. Die seitens des EDSA kritisierten Punkte müssen von der Europäischen Kommission allerdings nicht berücksichtigt werden. Inwieweit die Europäische Kommission nunmehr auf Basis der Stellungnahme des EDSA noch Änderungen an dem Angemessenheitsbeschluss vornehmen wird, bleibt abzuwarten.

(Christina Prowald)

BfDI: 31. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2022

Am 15.03.2023 hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, seinen 31. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2022 veröffentlicht. Herr Kelber berichtet zunächst, dass das Jahr 2022 besonders ereignisreich gewesen sei und die nationale sowie internationale Zusammenarbeit der Datenschutzbehörden einen immer größeren Stellenwert einnehme. Schwerpunktmäßig habe sich die Behörde mit dem Beschäftigtendatenschutz, dem Transfer von Daten in Drittstaaten sowie dem Umgang mit Bußgeldern und dem Auskunftsrecht befasst. Die Beratung und Kontrolle von Behörden und Unternehmen bildete nach Angaben des BfDI einen weiteren Tätigkeitsschwerpunkt im Jahr 2022. Darüber hinaus erreichten 10.658 Meldungen von Datenschutzverstößen sowie 6.619 Anfragen und Beschwerden von Bürgerinnen und Bürgern die Behörde. Dies entspricht in etwa den Zahlen aus den Vorjahren.

Im Berichtszeitraum sind seitens der Europäischen Union zudem verschiedene Rechtsakte im Bereich der Digitalisierung beschlossen worden, mit denen sich der BfDI intensiv auseinandergesetzt hat. Hierzu gehören etwa die KI-Verordnung, der Data Governance Act sowie der Data Act. Der Bundesbeauftragte setzte sich auch mit zahlreichen weiteren Einzelthemen wie der Corona-Warn-App, dem Betrieblichen Eingliederungsmanagement, dem Zensus 2022, neuen Wegen personalisierter Werbung sowie Videokonferenzdiensten auseinander.

Im Rahmen des Tätigkeitsberichts spricht Herr Kelber auch verschiedene datenschutzrechtliche Empfehlungen zu einzelnen Themengebieten aus, darunter den Erlass eines Beschäftigtendatenschutzgesetzes, in dem etwa der Einsatz von KI im Beschäftigungskontext, die Grenzen der Verhaltens- und Leistungskontrolle sowie typische Datenverarbeitungen im Bewerbungs- und Auswahlverfahren klar geregelt werden sowie die Abschaltung der Facebook Fanpage der Bundesregierung.

BfDI: Einschätzung zu TrustPID

Seit Mai 2022 haben Vodafone und Telekom in Deutschland ein Testprojekt zur technischen Machbarkeit eines Vorhabens namens TrustPID durchgeführt. Die von mehreren großen Telekommunikationsanbietern entwickelte und derzeit im Aufbau befindliche Plattform soll eine Alternative zu der derzeit verbreiteten personalisierten Werbung auf Basis von Drittanbieter-Cookies bieten. Nutzer sollen im Rahmen des Dienstes anhand von IP-Adressen und Mobilfunknummern erkannt werden.

Bei Aufruf einer Partnerwebseite wird der Nutzer – getrennt vom Cookie-Banner – gebeten, in die Übermittlung seiner IP-Adresse an seinen Mobilfunkanbieter einzuwilligen. Dieser ermittelt auf Basis der IP-Adresse die Rufnummer des Nutzers und erstellt eine eindeutige, pseudonyme Netzwerkkennung für TrustPID. Der Anbieter TrustPID erzeugt aus diesem Pseudonym wiederum Marketing-Kennungen (Token) für die Partnerwebseiten. Diese Token können schließlich für personalisiertes Online-Marketing verwendet werden.

Der BfDI hat Vodafone und Telekom im Rahmen des Projekts beraten und konnte auf diesem Wege verschiedene datenschutzrechtliche Verbesserungen erreichen. Insbesondere konnte eine transparentere Gestaltung der Nutzereinwilligung erreicht werden. Entgegen verschiedener Meldungen in der Presse, handelt es sich bei TrustPID nach Angaben des BfDI nicht um einen „Super-Cookie“, da gerade eine Alternative zur cookie-basierten personalisierten Werbung geschaffen werden soll.

Der BfDI äußerte sich allerdings auch dahingehend, dass man den neuen Dienst durchaus zwiespältig sehen könne. Telekommunikationsanbietern komme eine besondere Vertrauensstellung zu, die nur schwer mit einem Nutzertracking vereinbar sei. Zudem müsse die Zusammenführung des Token mit weiteren Daten des Nutzers wie Log-In-Daten bei Diensten von Anbietern im Web, die eine Repersonalisierung und anschließend ein detailliertes Tracking ermöglichen, verhindert werden.

Am 10. Februar 2023 hat die Europäische Kommission dem Vorhaben von Deutscher Telekom, Orange, Vodafone und Telefónica zur Gründung einer gemeinsamen Werbetracking-Plattform unter kartellrechtlichen Gesichtspunkten zugestimmt. Nach der Freigabe erfolgt nunmehr eine datenschutzrechtliche Bewertung der zuständigen europäischen Datenschutzaufsichtsbehörden.

(Christina Prowald)

Großbritannien: Datenschutzreform

Am 8. März 2023 hat die Staatssekretärin für Wissenschaft, Innovation und Technologie, Michelle Donelan, einen neuen Gesetzentwurf ins englische Unterhaus eingebracht. Der neue Gesetzentwurf über Datenschutz und digitale Informationen (Nr. 2) befindet sich momentan in der zweiten Lesung. Der ursprüngliche Gesetzentwurf, der am 18.07.2022 eingebracht worden war, wurde zuvor am selben Tag zurückgezogen.

Mittels des Gesetzes soll nach Auffassung von Michelle Donelan ein einfacher, klarer und unternehmensfreundlicher Rahmen, der nicht schwierig oder kostspielig umzusetzen sein wird, unter Übernahme der Elemente der DSGVO, die als besonders sinnvoll erachtet werden und mit mehr Flexibilität für Unternehmen geschaffen werden. Im Ergebnis führt dies allerdings dazu, dass die Wertungen aus der EU künftig nicht mehr automatisch auf Großbritannien übertragbar sind, wodurch mitunter auch Handelshemmnisse entstehen können.

Michelle Donelan äußerte sich wie folgt: „Dieser neue Gesetzesentwurf, der von Anfang an gemeinsam mit der Wirtschaft entwickelt wurde, stellt sicher, dass eine äußerst wichtige Datenschutzregelung auf die Bedürfnisse des Vereinigten Königreichs und unsere Gewohnheiten zugeschnitten ist.“

(Christina Prowald)

Irland: Bußgeld i.H.v. 17 Millionen Euro gegen Meta (Facebook)

Die irische Datenschutzbehörde (DPC) hat am 15. März 2023 ein Bußgeld in Höhe von 17 Millionen Euro gegen die Meta Platforms Ireland Limited (ehemals Facebook Ireland Limited) wegen unzureichender technischer und organisatorischer Maßnahmen im Zusammenhang mit dem Schutz der Daten von EU-Nutzern verhängt (Pressemitteilung vom 15.03.2023).

Die Entscheidung der DPC ist Ergebnis einer Untersuchung von zwölf Meldungen zu Datenschutzverletzungen aus dem Jahr 2018. Im Rahmen der vorangegangenen Untersuchung konnten Verstöße gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO festgestellt werden. Meta habe es insbesondere versäumt, geeignete technische und organisatorische Maßnahmen zu ergreifen, die es dem Unternehmen ermöglichen, die Sicherheitsmaßnahmen, die es in der Praxis zum Schutz der Daten von EU-Nutzern ergriffen hat, nachzuweisen.

Da es sich bei den in Rede stehenden Fällen jeweils um grenzüberschreitende Sachverhalte handelte, unterlag die Entscheidung dem Mitentscheidungsverfahren nach Art. 60 DSGVO. Zwei der eingeschalteten europäischen Aufsichtsbehörden erhoben in der Folge Einwände gegen den Beschlussentwurf der DPC. Im Rahmen weiterer Gespräche konnte jedoch letztlich ein Konsens erzielt werden.

(Christina Prowald)