Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

unser vierter BRANDI-Datenschutzrechtstag fand am 12.05.2023 statt. Auf der Veranstaltung gab es spannende Diskussionen zu dem Thema „Datenschutz in der Cloud und Cybersicherheit“. Die Inhalte der Veranstaltung haben wir in diesem Monat in dem Schwerpunktthema unseres Datenschutz-Newsletters für Sie zusammengefasst.

Außerdem wurden in Bielefeld am 28.04.2023 die Big Brother Awards verliehen. Der Datenschutz-Negativpreis prämiert Datensünder aus Wirtschaft und Politik. Die Jury aus Datenschützern, der in diesem Jahr unter anderem der ehemalige Datenschutzbeauftragte des Landes Schleswig-Holstein Dr. Thilo Weichert sowie Prof. Dr. Peter Wedde von der Frankfurt University of Applied Science und Frank Rosengart vom „Chaos Computer Club“ angehörten, verlieh die Preise in den verschiedenen Kategorien an Microsoft, die Deutsche Post DHL Group, das Bundesfinanzministerium, die finleap connect GmbH sowie an Zoom. Kritisiert wurden unter anderem der Digitalzwang bei der Abholung von Paketen, die Übermittlung von Daten in die USA, die fehlerhafte Versendung und Offenlegung von Daten sowie das Plattformen-Steuertransparenzgesetz.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: BRANDI-Datenschutzrechtstag zum Thema „Datenschutz in der Cloud und Cybersicherheit“

Am 12. Mai 2023 war Herr Prof. Dr. Alexander Roßnagel, hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI), zu Gast bei BRANDI in Bielefeld. Zuvor war er als Seniorprofessor für Öffentliches Recht mit dem Schwerpunkt Recht der Technik und des Umweltschutzes an der Universität Kassel tätig. Im Rahmen des diesjährigen Datenschutzrechtstags zum Thema „Datenschutz in der Cloud und Cybersicherheit“ gab er im Gespräch mit Rechtsanwältinnen und Rechtsanwälten von BRANDI, darunter Herr Dr. Sebastian Meyer, Herr Dr. Christoph Rempe, Frau Dr. Laura Schulte, Herr Dr. Christoph Worms und Herr Dr. Daniel Wittig, einen spannenden Einblick in verschiedene datenschutzrechtliche Themen, aktuelle Verfahren und die tägliche Arbeit der Hessischen Datenschutzaufsichtsbehörde sowie der Datenschutzkonferenz (DSK).

Im Rahmen der Veranstaltung wurden Fragestellungen rund um die Nutzung von Cloud-Diensten sowie Cybersicherheit beleuchtet. Im ersten Teil diskutierten die Teilnehmer unter anderem über rechtliche Vor- und Nachteile von On-Premise-Lösungen und cloudbasierten Anwendungen, den Einsatz von Microsoft 365 sowie Aspekte der Vertragsverhandlungen mit den Anbietern von Cloud-Lösungen und die Absicherung von Drittstaatentransfers, darunter die Konsequenzen der Schrems-II-Rechtsprechung und den aktuellen Stand des neuen Angemessenheitsbeschlusses für die USA. Zum Einstieg referierte Herr Prof. Roßnagel zum Thema „Datenschutz in der Cloud“. Im zweiten Teil wurden im Anschluss an den Impulsvortrag „Haftungsrisiko Cybervorfälle“ von Frau Dr. Schulte die rechtliche Absicherung von Cybervorfällen, versicherungsrechtliche sowie strafrechtliche Aspekte und verschiedene Strategien zum Umgang mit Cybervorfällen thematisiert. Im dritten Teil der Veranstaltung referierten angehende Juristen im Rahmen des BRANDI-Nachwuchspreises zu verschiedenen aktuellen datenschutzrechtlichen Themen.

Zum vollständigen Schwerpunktthema

EuGH: Bloßer Datenschutzverstoß begründet keinen Schadensersatzanspruch

In dem Vorabentscheidungsverfahren UI gegen die Österreichische Post AG hat der Europäische Gerichtshof (EuGH) am 4. Mai 2023 entschieden, dass ein bloßer Verstoß gegen die DSGVO keinen Schadensersatzanspruch begründet (EuGH, Urt. v. 4.5.23 - Az. C-300/21). Der EuGH hat sich dabei in weiten Teilen der Auffassung des Generalanwalts angeschlossen (wir berichteten im Dezember 2022).

In dem der Entscheidung zugrundeliegenden Ausgangsverfahren machte der Kläger gegen die Österreichische Post AG einen Schadensersatzanspruch nach Art. 82 DSGVO in Höhe von 1.000 € geltend. Die Beklagte hatte ab dem Jahr 2017 Informationen über die politische Affinität der österreichischen Bevölkerung gesammelt und ohne die Einwilligung ihrer Kunden verarbeitet sowie anhand verschiedener Merkmale „Zielgruppenadressen“ definiert. Der Kläger, der ebenfalls von der Datenverarbeitung betroffen war, machte geltend, dass er über die Datenverarbeitung verärgert sei und forderte insoweit Schadensersatz von der Österreichischen Post. Die ihm zugeschriebene Parteiaffinität sei eine Beleidigung und beschämend sowie kreditschädigend. Um zu klären, ob das Vorbringen des Klägers für den Zuspruch von Schadensersatz ausreicht, legte der OGH dem EuGH die Fragen vor, ob einer bloßer Verstoß gegen die DSGVO ausreicht, um einen Schadensersatzanspruch zu begründen und ob es Voraussetzung für den Zuspruch eines immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht.

Der EuGH führte aus, dass nicht jeder Verstoß gegen die DSGVO einen Schadensersatzanspruch eröffne. Vielmehr habe der in der DSGVO vorgesehene Schadensersatzanspruch drei Anknüpfungspunkte, die kumulativ vorliegen müssten: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Für dieses Verständnis sprächen sowohl der Wortlaut des Art. 82 DSGVO sowie auch die Erwägungsgründe. Weiter stellte das Gericht allerdings fest, dass der Schadensersatzanspruch nicht auf immaterielle Schäden beschränkt sei, die eine Erheblichkeitsschwelle überschritten hätten. Ein solches Erfordernis ergebe sich zum einen nicht aus der DSGVO und sei zum anderen mit dem weiten Verständnis des Schadensbegriffs nicht vereinbar. Die Höhe des jeweiligen Schadensersatzes sei unter Berücksichtigung der jeweiligen Umstände des Einzelfalls zu bestimmen, wobei der Äquivalenz- sowie der Effektivitätsgrundsatz zu beachten seien. Im Hinblick auf das Erheblichkeitserfordernis ist der EuGH in seiner Entscheidung von den Schlussanträgen des Generalanwalts abgewichen.

(Christina Prowald)

EuGH: Umfang des Auskunftsanspruchs - Übermittlung einer Kopie

Am 4. Mai 2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass das Recht, eine „Kopie“ seiner personenbezogenen Daten zu erhalten, so zu verstehen ist, dass der Betroffene eine originalgetreue und verständliche Reproduktion all seiner Daten erhält (EuGH, Urt. v. 4.5.2023 - Az. C-487/21).

In dem Ausgangsverfahren hatte der Kläger einen Auskunftsanspruch gegen CRIF, eine Kreditauskunftei, geltend gemacht und um Zurverfügungstellung einer Kopie seiner Daten gebeten. Der Kläger erhielt daraufhin eine Liste seiner personenbezogenen Daten in aggregierter Form. Er war der Auffassung, er hätte eine Kopie sämtlicher seine Daten enthaltender Dokumente erhalten müssen und legte deshalb Beschwerde bei der österreichischen Datenschutzbehörde ein. Diese war der Auffassung, dass CRIF ihrer Auskunftspflicht ordnungsgemäß nachgekommen sei, woraufhin es zu einer gerichtlichen Auseinandersetzung kam. Das Bundesverwaltungsgericht Österreich fragte sich insbesondere, ob die Verpflichtung, eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, erfüllt sei, wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten als Tabelle in aggregierter Form übermittelt, oder ob sie auch die Übermittlung von Auszügen aus Dokumenten oder gar ganzen Dokumenten sowie von Auszügen aus Datenbanken umfasst, in denen diese Daten wiedergegeben werden und legte dem EuGH verschiedene Fragen zur Regelung des Art. 15 Abs. 3 S. 3 DSGVO vor.

Der EuGH befasst sich in seinem Urteil mit Inhalt und Umfang des Auskunftsanspruchs. Dabei stellt er fest, dass Art. 15 Abs. 3 S. 3 DSGVO so zu verstehen sei, dass der Betroffene eine originalgetreue und verständliche Reproduktion all seiner Daten erhalte. Hierzu gehörten auch Kopien von Dokumenten oder Auszüge aus Datenbanken, soweit die Zurverfügungstellung entsprechender Kopien unerlässlich sei, um dem Betroffenen die wirksame Ausübung seiner Rechte zu ermöglichen, soweit hierbei die Rechte und Freiheiten anderer berücksichtigt sind. Der EuGH führt aus, dass unter dem Begriff „Kopie“ nach dem gewöhnlichen Sinn nicht nur eine allgemeine Beschreibung oder ein Verweis auf bestimmte Kategorien zu verstehen sei. Der Begriff „Kopie“ beziehe sich aber nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die in ihm enthalten sind und die vollständig sein müssen. Die Kopie müsse insoweit alle personenbezogenen Daten enthalten, die Gegenstand der Datenverarbeitung sind. Weiter weist der EuGH darauf hin, dass der Betroffene nicht nur überprüfen können müsse, ob seine Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden. Insbesondere dann, wenn personenbezogene Daten aus anderen Daten generiert würden oder auf fehlenden Angaben beruhten, sei der jeweilige Kontext erforderlich, um eine transparente und verständliche Auskunft zu erhalten.

(Christina Prowald)       

EuGH: Datenverarbeitung nicht automatisch unzulässig bei fehlendem Verfahrensverzeichnis oder fehlender Vereinbarung zur gemeinsamen Verantwortlichkeit

Der Europäische Gerichtshof (EuGH) hat am 4. Mai 2023 entschieden, dass ein fehlendes Verarbeitungsverzeichnis oder eine fehlende Vereinbarung zur gemeinsamen Verantwortlichkeit nicht automatisch dazu führt, dass eine Datenverarbeitung wegen Verstoßes gegen den Grundsatz der Rechenschaftspflicht unzulässig ist und der einzelne Betroffene ein Recht auf Löschung seiner Daten hat (EuGH, Urt. v. 4.5.2023 - Az. C-60/22).

Der EuGH verwies darauf, dass die Einhaltung der in Art. 26 DSGVO vorgesehenen Pflicht zum Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit und die Pflicht des Art. 30 DSGVO zur Erstellung eines Verfahrensverzeichnisses nicht zu den in Art. 6 Abs. 1 DSGVO genannten Gründen für die Rechtmäßigkeit der Verarbeitung zählten. Ein Verstoß gegen die in den Art. 26 und 30 DSGVO genannten Pflichten könne dementsprechend keine „unrechtmäßige Verarbeitung“ i.S.v. Art. 17 und 18 DSGVO darstellen. Das Fehlen einer entsprechenden Vereinbarung oder eines entsprechenden Verzeichnisses belege für sich genommen nicht, dass die Rechte und Grundfreiheiten von der Datenverarbeitung betroffener Personen verletzt wurden.

(Christina Prowald)

Generalanwalt EuGH: Verschuldenserfordernis in Bußgeldverfahren

In dem Vorabentscheidungsverfahren Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin, hat der Generalanwalt des Europäischen Gerichtshofs (EuGH), Manuel Campos Sánchez-Bordona, am 27. April 2023 seine Schlussanträge veröffentlicht (Schlussanträge v. 27.04.2023 - Az. C-807/21). Inhaltlich geht es vor allem um das Verschuldenserfordernis in Bußgeldverfahren.

Deutsche Wohnen war im Jahr 2017 von der Datenschutzaufsichtsbehörde Berlin im Rahmen einer Vor-Ort-Kontrolle darauf hingewiesen worden, dass die Konzerngesellschaften personenbezogene Daten der Mieter in einem Archivsystem speicherten, ohne dass nachvollzogen werden könne, inwieweit eine ordnungsgemäße Speicherung und Löschung der Daten sichergestellt sei. Außerdem wurde Deutsche Wohnen zur Löschung bestimmter Daten aufgefordert. Dieser Aufforderung kam Deutsche Wohnen nicht nach und erhielt in der Folge nach einer weiteren Kontrolle durch die Aufsichtsbehörde ein Bußgeld in Höhe von knapp 14,4 Millionen Euro. Im Laufe der darauffolgenden gerichtlichen Auseinandersetzung legte das Kammergericht Berlin dem EuGH die Frage vor, inwieweit ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und ob für die Verhängung eines Bußgeldes die Feststellung einer durch eine natürliche und identifizierte Person begangenen Ordnungswidrigkeit erforderlich ist. Außerdem stellte das Gericht die Frage, ob der Verstoß schuldhaft begangen sein muss oder auch bereits ein objektiver Pflichtenverstoß ausreichend ist.

Der Generalstaatsanwalt führt aus, dass es mit dem Unionsrecht vereinbar sei, Deutsche Wohnen als Täterin und Schuldnerin der verhängten Sanktion anzusehen. Die unmittelbare Sanktion juristischer Personen stelle einen Schlüsselmechanismus dar, um die Wirksamkeit der DSGVO zu gewährleisten. Aus den Vorschriften der Art. 4, 58 und 83 DSGVO ergebe sich ganz selbstverständlich, dass juristische Personen unmittelbarer Adressat von Geldbußen sein können. Wenn zusätzlich die Feststellung einer Ordnungswidrigkeit einer natürlichen Person gefordert würde, könnte dies dazu führen, dass Verstöße aus dem Anwendungsbereich des Sanktionssystems der DSGVO hinausfielen, die nach der DSGVO einer juristischen Person zuzurechnen seien.

Der Generalanwalt erkennt, dass die Anwendung von § 30 OWiG zu einer ungerechtfertigten Schwächung oder Einschränkung im Sanktionssystem der DSGVO führen kann. Allerdings verweist der Generalanwalt auch darauf, dass die Vorschrift des Art. 83 DSGVO gegen ein System der verschuldensunabhängigen Verantwortlichkeit im Bereich von Sanktionen spricht. Dies bedeute, dass Art. 83 Vorsatz oder Fährlässigkeit hinsichtlich des geahndeten Verstoßes voraussetze, also hierzu auch von den Aufsichtsbehörden im Rahmen des Bußgeldverfahrens Feststellungen zu treffen sind.

(Christina Prowald)

BGH: Auslistungsbegehren gegen Google

Der Bundesgerichtshof (BGH) hat mit Urteil vom 23. Mai 2023 über Auslistungsbegehren gegen den Internet-Suchdienst von Google entschieden (Pressemitteilung v. 23.05.2023). Der Volltext der Entscheidung liegt bislang noch nicht vor.

Hintergrund der Entscheidung ist ein Fall, in dem sich zwei Personen aus der Finanzdienstleistungsbranche durch verschiedene Online-Artikel in Misskredit gebracht sahen, weil in den Berichten angeblich unrichtige Behauptungen zu ihrem Anlagemodell aufgestellt wurden. Die beiden Betroffenen forderten Google auf, die Links zu den Artikeln zu entfernen, was Google jedoch ablehnte. Daraufhin erhoben die Betroffenen Klage gegen Google. Der BGH wandte sich sodann hinsichtlich der Auslegung des Rechts auf Löschung an den EuGH. Dieser entschied im Dezember 2022, dass Suchmaschinenbetreiber Links zu Falschinformationen auch ohne entsprechendes Urteil löschen müssen (wir berichteten im Januar 2023). Wer einen Eintrag auf Google entfernen lassen möchte, müsse lediglich nachweisen, dass die jeweiligen Informationen unrichtig seien. Zur Erbringung dieses Nachweises sei nicht zwingend eine gerichtliche Entscheidung erforderlich.

Der BGH hat nunmehr auf Basis der Entscheidung des EuGH bezüglich der von den Klägern beanstandeten Verweise auf die vermeintlich unrichtigen Online-Artikel die klageabweisenden Entscheidungen der Vorinstanzen bestätigt. Begründend wurde angeführt, dass es zum einen bei einem Artikel an dem notwendigen Bezug zu der Person des Klägers fehle und die beiden Kläger es zum anderen versäumt hätten, gegenüber der Beklagten den Nachweis zu führen, dass die in Rede stehenden Informationen offensichtlich unrichtig seien. Weiter entschied der BGH hinsichtlich verschiedener, ebenfalls beanstandeter Vorschaubilder, dass die Beklagte zur Auslistung verpflichtet sei. Eine Anzeige der allein nicht aussagekräftigen Fotos der Kläger ohne jeden Kontext sei nicht gerechtfertigt.

(Christina Prowald)

OLG Frankfurt: Unterlassungsanspruch von Privatpersonen

Am 30. März 2023 hat das OLG Frankfurt entschieden, dass ein Betroffener, dessen Daten in unzulässiger Weise an einen Dritten übermittelt wurden, keinen Unterlassungsanspruch hat (OLG Frankfurt, Urt. v. 30.03.2023 - Az. 16 U 22/22, GRUR-RS 2023, 9321). Ein solcher Anspruch aus Art. 82 DSGVO sei nur dann gegeben, wenn der Betroffene einen Schaden erlitten habe und die Verletzungshandlung oder der pflichtwidrig geschaffene Zustand noch andauerten. Ein Rückgriff auf Unterlassungsansprüche aus dem nationalen Recht sei nicht möglich.

In dem zugrundeliegenden Fall machte der Kläger unter anderem wegen der Einbindung verschiedener Tools ohne entsprechende Einwilligung in einen Online-Shop einen Unterlassungsanspruch gegen den Betreiber des Online-Shops geltend. Der Kläger forderte die Beklagte auf, es zu unterlassen, die Webseite mit bestimmten Diensten in der Weise auszuliefern, dass bei Seitaufruf Daten an den jeweiligen Betreiber der Dienste übermittelt werden, sofern dies ohne Einwilligung erfolge. Die Vorinstanz wies die Klage ab.

Das OLG Frankfurt hat sich der Auffassung der Vorinstanz angeschlossen und begründete seine Entscheidung damit, dass die DSGVO keinen Individualanspruch auf Unterlassung vorsehe. Ein Anspruch auf Unterlassung der Übermittlung von Daten an Dritte könne sich auch nicht aus Art. 17 DSGVO ergeben. Ein möglicher Anspruch aus Art. 82 DSGVO scheide schon deshalb aus, weil es an der Entstehung eines Schadens fehle. Ein Rückgriff auf Vorschriften aus dem nationalen Recht sei ebenfalls nicht möglich, da die Vorschriften der DSGVO eine abschließende Regelung bildeten. Eine Öffnungsklausel für diesen Fall sei nicht gegeben.

(Christina Prowald)

LG Köln: Einbindung von Google Analytics auf Telekom-Webseite unzulässig

Das LG Köln hat am 23. März 2023 entschieden, dass die Einbindung von Google Analytics auf der Webseite der Telekom unzulässig ist, da es insoweit zu einer nicht ausreichend abgesicherten Übermittlung von Daten in die USA komme (LG Köln, Urt. v. 23.03.2023 - Az. 33 O 376/22).

Das Gericht stellte zunächst fest, dass es sich bei den übermittelten IP-Adressen um personenbezogene Daten handele. Weiter führte es aus, dass in den USA kein angemessenes Datenschutzniveau gewährleistet sei. Die Datenübermittlung könne nicht durch den alleinigen Abschluss von Standarddatenschutzklauseln gerechtfertigt werden, da hierdurch kein der DSGVO entsprechendes Datenschutzniveau gewährleistet werde und die Klauseln nicht vor einem behördlichen Zugriff in den USA schützten. Zusätzliche Absicherungsmaßnahmen lägen aber nicht vor. Da Betroffene im Rahmen der Datenschutzhinweise nicht über die Übermittlung ihrer Daten an Google informiert wurden, scheide auch eine Einwilligung als Rechtsgrundlage für die Datenübermittlung aus.

Das Gericht kritisierte außerdem den von der Telekom verwendeten Cookie-Banner. Es verwies darauf, dass die Freiwilligkeit der Einwilligung voraussetze, dass der Verbraucher bei der Abgabe der Einwilligung eine echte Wahlmöglichkeit habe und nicht einseitig durch die Ausgestaltung des Cookie-Banners in Richtung einer Einwilligung gelenkt werde. Während die Möglichkeit zum Akzeptieren der Cookies deutlich und als Blickfang gestaltet war, wurde die Ablehnmöglichkeit innerhalb des Fließtextes versteckt. Eine solche Gestaltung reicht nach Auffassung des Gerichts in Größe, Form und Gestaltung nicht aus, um als gleichwertige Auswahlmöglichkeit angesehen zu werden. Ein Button „Einstellungen ändern“ sei zudem kein unmissverständlicher Hinweis auf eine alternative Möglichkeit zur Ablehnung. Soweit sich Verbraucher einem „Alles akzeptieren“ Button und einer unspezifischen Konfigurationsmöglichkeit gegenübersähen, werde durch Klick auf den Button „Alles akzeptieren“ keine freie Wahl zwischen zwei Willenserklärungen getroffen.

(Christina Prowald)

LG Heidelberg: Mitverantwortlichkeit von Google Ireland bei Löschungsansprüchen

Das LG Heidelberg ist der Auffassung, dass Google Ireland für die Anzeige von Suchergebnissen mitverantwortlich ist und deshalb im Falle von Löschbegehren ebenfalls in Anspruch genommen werden kann (LG Heidelberg, Urt. v. 31.03.2023 - Az. 6 S 1/22, GRUR-RS 2023, 6833).

Das Gericht stellte fest, dass die Tätigkeiten einer Suchmaschine, die der EuGH als Verarbeitungen personenbezogener Daten einstuft, zwischen der Google LLC und Google Ireland aufgeteilt seien. Während die Google LLC Daten finde, indexiere, speichere und eine Reihenfolge festlege, stelle Google Ireland innerhalb des EWR und der Schweiz nach den Google-Nutzungsbedingungen den Nutzern die Informationen zur Verfügung. Google Ireland sei unter Berücksichtigung des weiten Verarbeitungsbegriffs insoweit als Mitbetreiberin der Suchmaschine und Mitverantwortliche anzusehen.

(Christina Prowald)

Irland: Bußgeld i.H.v. 1,2 Milliarden Euro gegen Meta verhängt

Am 12. Mai 2023 hat die Irische Aufsichtsbehörde „Data Protection Commission“ (DPC) ihre Untersuchungen gegen die Meta Platforms Ireland Limited abgeschlossen und unter anderem ein Bußgeld in Höhe von 1,2 Milliarden Euro gegen das Unternehmen verhängt (Pressemitteilung v. 22.05.2023). Bei der Sanktion der DPC handelt es sich um das höchste Bußgeld, das bislang verhängt wurde.

Im Rahmen der Untersuchung ging es um die Frage, auf Basis welcher Rechtsgrundlage Meta personenbezogene Daten im Zusammenhang mit der Bereitstellung seines Facebook-Dienstes in die USA übermittelt. Die DPC hat nun entschieden, dass Meta gegen Art. 46 Abs. 1 DSGVO verstoßen hat, als es nach der Schrems II-Entscheidung des EuGH weiterhin personenbezogene Daten aus der EU bzw. dem EWR in die USA übermittelte. Außerdem stellte sie in ihrer Entscheidung fest, dass die von Meta verwendeten Standardvertragsklauseln in Kombination mit den zusätzlich vom Unternehmen ergriffenen Absicherungsmaßnahmen nicht ausreichend sind, um die vom EuGH festgestellten Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen zu beseitigen.

Die Untersuchung wurde bereits im August 2020 eingeleitet und anschließend durch einen Beschluss des High Court of Ireland bis Mai 2021 ausgesetzt. Im Juli 2022 legte die DPC sodann einen Entscheidungsentwurf vor, der im Rahmen des nach Art. 60 DSGVO vorgeschriebenen Kooperationsverfahrens mit den Aufsichtsbehörden der übrigen Mitgliedstaaten abgestimmt wurde. Da keine Einigung in Hinblick auf die Maßnahmen, die gegen Meta verhängt werden sollten, erzielt werden konnte, wurde der Europäische Datenschutzausschuss (EDSA) in einem Streitbeilegungsverfahren nach Art. 65 konsultiert. Die DPC entschied nunmehr auf Basis der Entscheidung des EDSA, dass Meta verpflichtet wird, künftige Datenübermittlungen in die USA innerhalb von fünf Monaten auszusetzen und seine Datenverarbeitungsprozesse in Einklang mit Kapitel V der DSGVO zu bringen, indem die rechtswidrigen Verarbeitungen innerhalb von sechs Monaten eingestellt werden. Außerdem verhängt sie ein Bußgeld in Höhe von 1,2 Milliarden Euro gegen Meta.

Meta hat bereits angekündigt, gegen die Entscheidung der DPC vorzugehen, und wies darauf hin, dass es sich bei den thematisierten Fragen nicht um ein Einzelproblem von Facebook, sondern um einen grundlegenden Rechtskonflikt zwischen den amerikanischen Vorschriften über den Zugang zu Daten und den europäischen Datenschutzrechten handele (Mitteilung v. 22.05.2023).

(Christina Prowald)

Großbritannien: Bußgeld gegen TikTok wegen der Verarbeitung von Daten von Minderjährigen

Die britische Aufsichtsbehörde „Information Commissioner’s Office (ICO)“ hat am 4. April 2023 ein Bußgeld in Höhe von 12,7 Millionen Pfund (14,5 Millionen Euro) gegen die TikTok Information Technologie UK Limited wegen der rechtswidrigen Nutzung der personenbezogenen Daten von Kindern verhängt (Mitteilung der ICO v. 4.4.2023).

Im Jahr 2020 habe das Unternehmen es zugelassen, dass bis zu 1,4 Millionen Kinder unter 13 Jahren ein TikTok-Konto erstellen konnten, obwohl dies nach den eigenen Regeln der Video-App unzulässig war. Außerdem seien Daten von Kindern ohne Einwilligung der Eltern genutzt worden. Tiktok habe keine ausreichenden Kontrollen zur Identifizierung und Entfernung von Konten Minderjähriger durchgeführt. Zudem seien den Nutzern der Plattform keine angemessenen und leicht verständlichen Informationen zur Datenverarbeitung zur Verfügung gestellt worden.

John Edwards, der britische Informationsbeauftragte, äußerte sich wie folgt: „Es gibt Gesetze, die sicherstellen sollen, dass unsere Kinder in der digitalen Welt genauso sicher sind wie in der realen Welt. TikTok hat sich nicht an diese Gesetze gehalten.“ Diese Vorgaben seien nach Einschätzung der Aufsichtsbehörde nicht eingehalten wurden. „TikTok hätte es besser wissen müssen. TikToK hätte es besser machen müssen. Unser Bußgeld in Höhe von 12,7 Millionen Pfund spiegelt die schwerwiegenden Auswirkungen wider, die ihre Versäumnisse gehabt haben könnten. Sie haben nicht genug getan, um zu überprüfen, wer ihre Plattform nutzt, oder um ausreichende Maßnahmen zu ergreifen, um die minderjährigen Kinder, die ihre Plattform nutzen, zu entfernen.“

(Christina Prowald)

Österreich: Entscheidung gegen Clearview AI

Am 10. Mai hat die österreichische Aufsichtsbehörde eine Entscheidung gegen das Gesichtserkennungsunternehmen Clearview AI erlassen (Mitteilung v. 12.05.2023).

Das Unternehmen besitzt eine Datenbank mit Gesichtsbildern, die durch Web Scraping aus öffentlichen Webquellen wie Websites und sozialen Netzwerken extrahiert werden. Es vermarktet den Zugang zu seiner Datenbank in Form einer Suchmaschine, in der eine Person mithilfe eines Fotos gesucht werden kann. Die Dienstleistung wird dabei insbesondere Strafverfolgungsbehörden angeboten. Die unter Verwendung von KI-Systemen auf Grundlage von biometrischen Daten erstellten Profile können zudem mit weiteren Informationen angereicht werden, die mit den jeweiligen Bildern verknüpft sind.

In dem zugrundeliegenden Verfahren fand der Beschwerdeführer heraus, dass seine Daten ebenfalls von Clearview AI verarbeitet wurden und legte daraufhin Beschwerde gegenüber der österreichischen Aufsichtsbehörde ein. Diese stellt nun fest, dass Clearview AI gegen verschiedene datenschutzrechtliche Vorschriften, darunter die Grundsätze der Rechtmäßigkeit und Transparenz der Verarbeitung, den Grundsatz der Zweckbindung und den Grundsatz der Datenminimierung verstoßen habe. Außerdem fehle es an einer Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten. Auch in Bezug auf die Verarbeitung sonstiger personenbezogener Daten fehle es an einer belastbaren Rechtsgrundlage, da auch kein überwiegendes berechtigtes Interesse des Unternehmens an der Datenverarbeitung vorliege. Clearview AI wurde deshalb angewiesen, die Daten des Beschwerdeführers zu löschen und einen Vertreter in der Europäischen Union zu benennen.

In anderen europäischen Ländern, darunter Italien und Frankreich, hat es in der Vergangenheit ebenfalls Untersuchungen und Beschlüsse gegen das Unternehmen gegeben.

(Christina Prowald)