Sehr geehrte Damen und Herren,

am 7. Februar 2024 hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) das 50. Jubiläum des rheinland-pfälzischen Landesdatenschutzgesetzes, das am 25. Januar 1974 in Kraft trat, mit einem Festakt in Mainz gefeiert (Mitteilung v. 07.02.2024). Rheinland-Pfalz war nach Hessen und Schweden weltweit das dritte Land mit einem eigenen Datenschutzgesetz. Verschiedene der Regelungen des rheinland-pfälzischen Landesdatenschutzgesetzes finden sich auch in der Datenschutz-Grundverordnung (DSGVO) wieder; so etwa das Erfordernis einer Rechtsgrundlage, unabhängige Kontrollinstanzen sowie die Absicherung der Datenverarbeitung durch technisch und organisatorische Maßnahmen. Das ursprüngliche Datenschutzgesetz bezog sich lediglich auf die Verarbeitung von Daten durch öffentliche Stellen. Regelungen für nicht-öffentliche Stellen, insbesondere Unternehmen, wurden erst mit dem Bundesdatenschutzgesetz (BDSG) eingeführt.

„Ein halbes Jahrhundert Datenschutz in Rheinland-Pfalz: Das ist Anlass, eine große Pionierleistung zu würdigen. Das rheinland-pfälzische Datenschutzgesetz hat sich als anhaltend modern und relevant erwiesen – moderner vielleicht, als man vor 50 Jahren erwarten konnte. Viele der damals festgeschriebenen Grundsätze gelten nach wie vor. Angesichts rasanter technologischer Entwicklungen müssen, wollen und können wir zeigen, dass Antworten auf die Herausforderungen unserer Zeit gegeben werden können, die mit Datenschutz und dem Grundrecht auf informationelle Selbstbestimmung vereinbar sind. Offen und lösungsorientiert: Dass so viele Akteurinnen und Akteure aus der Politik, der Gesellschaft, der Verwaltung und der Wirtschaft das Jubiläum des Landesdatenschutzgesetzes mit uns feiern, zeigt mir, dass wir auf dem richtigen Weg sind“, so LfDI Prof. Dr. Dieter Kugelmann.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Das Verzeichnis der Verarbeitungstätigkeiten – Was ist ein Verfahren und wie viele Verfahren müssen dokumentiert werden?

Unternehmen unterliegen unter der Datenschutz-Grundverordnung (DSGVO) der sog. Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Das bedeutet, sie müssen positiv nachweisen, dass sie die datenschutzrechtlichen Bestimmungen einhalten. Hierzu ist eine umfassende Dokumentation der datenschutzrechtlich relevanten Themen erforderlich. Dieser Dokumentation dient auch die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten. Nach Art. 30 Abs. 1 S. 1 DSGVO ist jeder Verantwortliche und gegebenenfalls sein Vertreter verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen. In dem Verzeichnis müssen dabei alle Datenverarbeitungsvorgänge aufgeführt werden, bei denen eine Verarbeitung personenbezogener Daten stattfindet, soweit dies in die Zuständigkeit des Verantwortlichen fällt. Das Verzeichnis hat die Aufgabe, die wesentlichen Informationen zu den einzelnen Prozessen zusammenzufassen und zu dokumentieren. Gleichzeitig dient die Dokumentation auch der Selbstkontrolle. Die Pflichtinformationen, die das Verzeichnis enthalten muss, ergeben sich sodann aus Art. 30 Abs. 1 S. 2 DSGVO. Hierzu gehören unter anderem Name und Kontaktdaten vom Verantwortlichen und dessen Datenschutzbeauftragten, die Zwecke der Verarbeitung, eine Beschreibung der betroffenen Person und der im Rahmen des Prozesses verarbeiteten personenbezogenen Daten, die Empfänger, denen gegenüber die Daten offengelegt werden, die Übermittlung von Daten in Drittstaaten sowie die Dauer der Aufbewahrung. Das Verzeichnis ist fortlaufend zu pflegen, damit es jeweils den aktuellen Stand der Datenverarbeitung im Unternehmen wiedergibt.

Nach der Konzeption der DSGVO ist die Erstellung und Führung des Verzeichnisses Aufgabe des für die Datenverarbeitung Verantwortlichen, also des Unternehmens. Der Datenschutzbeauftragte wird aber bei der Erstellung und Pflege, insbesondere im Rahmen von Risikoabwägungen und der rechtlichen Bewertung, unterstützend und beratend tätig. Das Verzeichnis ist den Aufsichtsbehörden auf Anfrage zur Verfügung zu stellen. Die Dokumentation der Prozesse muss so erfolgen, dass die Aufsichtsbehörde sich, fordert sie das Verzeichnis der Verarbeitungstätigkeiten oder einzelne Verfahrensbeschreibungen an, einen ersten Eindruck verschaffen kann, ob der Verantwortliche seinen datenschutzrechtlichen Pflichten nachkommt. Mit Hilfe des Verzeichnisses von Verarbeitungstätigkeiten kann das Unternehmen insoweit gleichzeitig nachweisen, dass die geforderte Prüfung der datenschutzrechtlichen Anforderungen für jeden Datenverarbeitungsvorgang stattgefunden hat.

Zum vollständigen Schwerpunktthema

Digital Service Act am 17.02.2024 in Kraft getreten

Am 16. November 2022 ist der Digital Service Act (DSA) in Kraft getreten. Seit dem 17. Februar 2024 ist das Gesetz vollständig anwendbar. Der DSA soll für ein sicheres und verantwortungsvolles Online-Umfeld sorgen und die Grundrechte von Nutzern im Internet umfassender schützen. Mittels des neuen Gesetzes soll vor allem besser gegen illegale Inhalte im Internet, wie Hassrede und gefälschte Produkte, vorgegangen werden können. Der DSA gilt für alle digitalen Dienste, die Verbrauchern Waren, Dienstleistungen oder Inhalte vermitteln. Hierzu zählen unter anderem Internetanbieter, Hosting-Dienste, Cloud-Dienste, Online-Marktplätze, App-Stores und Social-Media-Plattformen. Der DSA schafft verschiedene neue Pflichten für Online-Unternehmen, darunter die Pflicht zur Einrichtung einer zentralen Kontaktstelle für Behörden und Nutzer, Erläuterungspflichten in den AGB sowie die Pflicht zur jährlichen Veröffentlichung von Transparenzberichten. Hosting-Anbieter und Online-Plattformen unterliegen unter anderem noch der Pflicht zur Einrichtung eines Melde- und Abhilfeverfahrens für rechtswidrige Inhalte und Meldepflichten bei besonderen Straftaten. Darüber hinaus haben insbesondere Online-Plattformen verschiedene weitere Pflichten, die etwa den Schutz vor missbräuchlicher Verwendung, Transparenzpflichten, Werbung und den Schutz von Minderjährigen betreffen. Sehr große Online-Plattformen und Suchmaschinen unterliegen unter dem DSA darüber hinaus besonderen zusätzlichen Vorschriften, weil sie besondere Risiken mit sich bringen.

Die Bundesnetzagentur ist in Deutschland für die Überwachung der Einhaltung der Vorschriften des DSA zuständig und kann bei Verstößen die erforderlichen Maßnahmen ergreifen. Bei einem Verstoß gegen den DSA kann die zuständige Behörde Bußgelder in Höhe von bis zu 6 % des weltweiten Jahresumsatzes verhängen. Daneben können auch die Strafverfolgungs- und Marktüberwachungsbehörden sowie die Landesmedienanstalten gegen rechtswidrige Inhalte vorgehen.

(Christina Prowald)

OLG Nürnberg: Exzessive Geltendmachung des Auskunftsanspruchs nicht rechtsmissbräuchlich

Macht ein Arbeitnehmer gegen seinen ehemaligen Arbeitgeber in exzessiver Weise seinen Anspruch auf Auskunft nach Art. 15 DSGVO geltend und entsteht dem Arbeitgeber hierdurch ein erheblicher Aufwand, führt dies nach Auffassung des OLG Nürnberg nicht automatisch zum Rechtsmissbrauch (OLG Nürnberg, Urt. v. 29.11.2023 – Az. 4 U 347/21).

Der Kläger war ehemaliger Mitarbeiter der Beklagten und machte gegenüber dieser einen umfangreichen Auskunftsanspruch geltend. Die Beklagte erteilte zunächst über Daten, die im Stammsystem des Unternehmens hinterlegt waren, Auskunft. Der Kläger forderte daraufhin von der Beklagten, dass diese ihm sämtliche bei ihr vorliegenden Daten, wie etwa Protokoll über Vorstandssitzungen, E-Mail-Korrespondenz usw., und nicht nur die im Stammsystem hinterlegten Daten zur Verfügung stellen soll. Die Beklagte machte in der Folge geltend, dass der vom Kläger geltend gemachte Anspruch aufgrund des mit der Erfüllung einhergehenden unverhältnismäßigen Aufwands exzessiv i.S.v. Art. 12 Abs. 5 S. 2 DSGVO sei.

Das Gericht führte aus, dass der Begriff der personenbezogenen Daten weit zu verstehen ist. Der Anspruch auf Auskunft sei zudem voraussetzungslos ausgestaltet. Der EuGH habe zudem zuletzt entschieden, dass die Daten vom Verantwortlichen auch dann zur Verfügung zu stellen sind, wenn dem betreffenden Antrag ein datenschutzfremder Zweck zugrunde liegt. Der Anspruch des Klägers sei auch nicht nach Art. 12 Abs. 5 S. 2 DSGVO ausgeschlossen. Nach Wortlaut und Zweck der Vorschrift liege kein Missbrauch vor, wenn ein Betroffener das Auskunftsrecht aus datenschutzfremden Zwecken nutze. Dies gelte auch dann, wenn durch die Geltendmachung des Rechts ein hoher Aufwand beim Verantwortlichen ausgelöst werde oder der Betroffene mehrfache Auskunftsansprüche geltend mache. Exzessiv sei die Datenauskunft im vorliegenden Fall schon deshalb nicht, weil es sich um den ersten Antrag handele. Die Geltendmachung des Anspruchs sei auch nicht rechtsmissbräuchlich. Dass bei der Beklagten aufgrund der Dauer und Tätigkeit des Klägers sehr viele Daten vorliegen, stehe der Geltendmachung der Rechte des Klägers nicht entgegen.

(Christina Prowald)

OLG Köln zur datenschutzkonformen Gestaltung eines Cookie-Banners

Am 19. Januar 2024 hat das OLG Köln entschieden, dass die Schaltflächen – Zustimmen und Ablehnen – bei einem Cookie-Banner gleichwertig ausgestaltet sein müssen (OLG Köln, Urt. v. 19.01.2024 – Az. 6 U 80/23).

In der Entscheidung ging es um den Cookie-Banner der Seite WetterOnline. Dieser war so ausgestaltet, dass auf der ersten Seite des Banners lediglich die Schaltflächen „Akzeptieren“ und „Einstellungen“ zu finden waren. Die Möglichkeit zur Ablehnung der Cookies konnte erst nach Klicken auf die Einstellmöglichkeit auf der zweiten Seite des Cookie-Banners erreicht werden. In der oberen Ecke des Cookie-Banners befand sich zudem ein Button mit dem Titel „Akzeptieren & Schließen X“

Das Gericht entschied, dass dem Betroffenen durch die Gestaltung des Cookie-Banners weder auf der ersten noch auf der zweiten Seite eine gleichwertige Alternative zur Zustimmung geboten wurde. Erforderlich wäre eine einfache Möglichkeit zur Ablehnung gewesen, die auf klaren und umfassenden Informationen beruht. Der Betroffene werde hierdurch in Richtung Einwilligung gelenkt und von einer Ablehnung abgehalten. Die mit Hilfe des Cookie-Banners eingeholte Einwilligung könne deshalb nicht als freiwillig und informiert i.S.v. § 25 Abs. 1 TTDSG und Art. 4 Nr. 11 DSGVO angesehen werden. Bei der gewählten Gestaltung und Bezeichnung der Schaltflächen erschließe sich für den Durchschnittsnutzer zudem nicht, welche Funktionen sich hinter den jeweiligen Schaltflächen verbergen und wie die Ablehnung technisch nicht-notwendiger Cookies erreicht werden kann. Eine echte Wahlmöglichkeit sei gerade nicht gegeben.

Der Schriftzug in der oberen Ecke des Banners verstoße zudem gegen die Grundsätze von Transparenz und Freiwilligkeit der Einwilligung und führe zu deren Unwirksamkeit. Das X-Symbol sei Nutzern als Möglichkeit bekannt, um Fenster zu schließen, nicht um einzuwilligen. Dass durch den Klick auf die Schaltfläche eine Einwilligung erklärt werde, sei dem durchschnittlichen Nutzer nicht bewusst. Die Verknüpfung zwischen dem X-Symbol und der weiteren Beschriftung sei irreführend und intransparent. Die Einwilligung sei insoweit weder als unmissverständlich oder eindeutig bestätigend, noch als freiwillig i.S.v. § 25 Abs. 1 TTDSG, Art. 4 Nr. 11 DSGVO anzusehen.

(Christina Prowald)

LDI NRW erteilt Befugnis für erste deutsche Zertifizierungsstelle

Die Bonner EuroPriSe Cert GmbH hat als erste Stelle in Deutschland von der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) die Befugnis erhalten, Datenverarbeitungsprozesse von Auftragsverarbeitern zu zertifizieren (Mitteilung v. 02.02.2024). Das von der EuroPriSe Cert GmbH  ausgestellte Zertifikat „European Privacy Seal“ (EuroPriSe) soll Auftragsverarbeitern künftig bescheinigen, dass ihre Datenverarbeitungsprozesse den Anforderungen des europäischen Datenschutzrechts entsprechen.

Ende 2022 hatte die LDI NRW bereits die Zertifizierungskriterien, die Grundlage der Tätigkeit der Zertifizierungsstelle sind, genehmigt. Anschließend haben die LDI NRW und die Deutsche Akkreditierungsstelle GmbH gemeinsam das erforderliche Akkreditierungsverfahren durchgeführt. Eine Akkreditierung wird für eine Höchstdauer von fünf Jahren erteilt; eine anschließende Re-Akkreditierung ist möglich.

LDI NRW, Bettina Gayk, erklärte hierzu: „Zertifikate sind ein wichtiges Instrument, um ein hohes Datenschutz-Niveau zu gewährleisten. Wer einen zertifizierten Auftragsverarbeiter auswählt, trifft eine gute Wahl und erhält Sicherheit, dass dessen Datenschutzkonformität in einem transparenten Verfahren überprüft und überwacht wird.“

(Christina Prowald)

BayLDA: Checkliste für KI-Tools

Angesichts der zunehmenden Relevanz des Themas Künstliche Intelligenz (KI) hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) unter dem Titel „Datenschutzkonforme Künstliche Intelligenz“ eine Checkliste für die Nutzung von KI-Tools mit Prüfkriterien nach der DSGVO veröffentlicht. Die Checkliste stellt Anforderungen an die Entwicklung und den Einsatz von Anwendungen der Kategorie KI dar. Mit der Veröffentlichung möchte das BayLDA seinem Sensibilisierungsauftrag nachkommen. Das Dokument soll regelmäßig an die Entwicklungen auf deutscher und europäischer Ebene angepasst werden.

Im Rahmen der Checkliste wird zunächst erläutert, wie KI-Anwendungen arbeiten und die den Anwendungen zugrundeliegenden KI-Modelle trainiert werden. Grundsätzlich werden für das Training der Modelle in großem Umfang Trainingsdaten benötigt. Welche datenschutzrechtlichen Anforderungen im Rahmen des Trainings einzuhalten sind und welche Aspekte von den Verantwortlichen überprüft werden sollten, wird anhand einer ausführlichen Checkliste dargelegt. Dabei wird insbesondere auf die Dokumentationspflichten unter der DSGVO, konkret die Aufnahme des Prozesses in das Verzeichnis der Verarbeitungstätigkeiten und die Durchführung einer Datenschutz-Folgenabschätzung, den Grundsatz der Datensparsamkeit, die Rechtsgrundlage für die in Rede stehende Datenverarbeitung, die Umsetzung der Informationspflichten sowie die Umsetzung von Betroffenenrechten eingegangen.

Anschließend wird der Umstand, dass die Nutzung von KI-Tools mit verschiedenen Risiken – unter anderem für die Rechte und Freiheiten der von der Datenverarbeitung Betroffen – verbunden ist, thematisiert. Es wird darauf hingewiesen, dass die Risiken mit wirksamen Maßnahmen (Art. 25, 32, 35 DSGVO) eingedämmt werden müssen. Hierzu seien in einem ersten Schritt die mit der konkreten Anwendung einhergehenden Risiken zu identifizieren und zu dokumentieren. Anschließend habe eine Auseinandersetzung mit den jeweiligen Risiken im Rahmen der Erstellung einer Datenschutz-Folgenabschätzung zu erfolgen.

Zuletzt erfolgt eine Auseinandersetzung mit dem Einsatz von KI-Anwendungen. Die datenschutzrechtlich relevanten Punkte werden wiederum anhand einer Checkliste dargestellt. Hierbei werden verschiedene, bereits hinsichtlich des Trainings von KI-Modellen relevante Aspekte wieder aufgegriffen und in den Kontext der Nutzung der KI-Tools gestellt.

(Christina Prowald)

BlnBDI: Herausgabe von Mitgliederlisten

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat sich zur Herausgabe von Mitgliederlisten eines Vereins oder einer Partei an einzelne Mitglieder geäußert und die Wichtigkeit des Schutzes besonderer Kategorien von personenbezogenen Daten herausgestellt. (Mitteilung v. 13.02.2024). Die Offenlegung der Daten sei aus datenschutzrechtlicher Sicht insbesondere dann brisant und eine Datenweitergabe regelmäßig untersagt, wenn die Information über die Mitgliedschaft Rückschlüsse auf besonders sensible personenbezogene Daten, wie etwa eine politische Haltung, eine Gewerkschaftszugehörigkeit oder die Gesundheit, zulasse.

Um die Datenweitergabe zu rechtfertigen, könne der Verein aber eine Einwilligung der Mitglieder in die Herausgabe ihrer Daten einholen. Diese müsse alle Wirksamkeitsvoraussetzungen erfüllen und für die Betroffenen insbesondere freiwillig sein. Alternativ komme die Herausgabe an einen Treuhänder in Betracht. In diesem Fall könne durch eine rechtliche Bindung und technische Qualifikationen sichergestellt werden, dass die Daten datenschutzkonform verarbeitet werden.

BlnBDI, Meike Kamp, äußert: „Wenn Personen Vereine mit ihrer Mitgliedschaft unterstützen, die sich beispielsweise für die freie Entfaltung der sexuellen Identität einsetzen oder meinungsstark für die Rechte von Frauen eintreten, lässt sich daraus der Schluss ziehen, dass sie die Ziele des Vereins und die dazugehörigen politischen Positionen teilen. Gleichwohl kann es sein, dass Mitglieder ihre Mitgliedschaft und Kontaktdaten geheim halten möchten, weil sie um ihre Sicherheit fürchten müssen oder die persönliche Situation es nicht erlaube, dass sie sich öffentlich zu den Zielen des Vereines bekennen können. Mitglieder von politisch aktiven Vereinen und Parteien haben daher ein Recht darauf, dass Informationen zur Mitgliedschaft vertraulich behandelt und nicht leichtfertig offenbart werden – auch nicht gegenüber anderen Mitgliedern.“

(Christina Prowald)

Safer Internet Day 2024: TLfDI räumt mit Datenschutzirrtümern auf

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, hat den Safer Internet Day genutzt, um über einige Datenschutzirrtümer aufzuklären (Mitteilung v. 06.02.2024). Eingangs macht er in seinen Erläuterungen deutlich, dass der Datenschutz die Digitalisierung nicht verhindern, sondern sie rechtskonform ausgestalten will. Die DSGVO habe das Datenschutzrecht innerhalb der EU weitgehend harmonisiert, wodurch der Datenverkehr innerhalb Europas deutlich vereinfacht worden sei.

Er erklärt weiter, dass die Regelungen der DSGVO nicht nur dann einzuhalten sind, wenn personenbezogene Daten elektronisch verarbeitet werden. In den Anwendungsbereich fallen vielmehr auch geordnete, strukturierte Papierakten und schriftliche Aufzeichnungen. Außerdem macht er deutlich, dass mit der Pseudonymisierung von personenbezogenen Daten der Anwendungsbereich der DSGVO nicht entfällt, da die pseudonymisierten Daten mit zusätzlichen Hilfsmitteln wieder in ihre Ausgangsdaten zurückgeführt werden können. Etwas Anderes gelte im Fall der Anonymisierung, bei der keine Möglichkeit mehr bestehe, die ursprünglichen Daten wiederherzustellen. Darüber hinaus stellt er klar, dass mit einer Einwilligung des Betroffenen nicht jede beliebige Datenverarbeitung erlaubt ist. Eine Einwilligung sei grundsätzlich zweckgebunden. Über den in Bezug genommenen Zweck hinaus dürften die Daten des Betroffenen nicht auf Basis der Einwilligung verarbeitet werden.

In Bezug auf die Meldepflicht nach Art. 33 Abs. 1 S. 1 DSGVO erklärt er, dass nicht nur „große Datenpannen“ gegenüber der Aufsichtsbehörde zu melden sind. Die Meldepflicht entfalle nur dann, wenn auszuschließen sei, dass die Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten geführt habe. Da die Fälle, in denen wirklich kein Risiko bestehe, sehr selten seien, sei in der Regel auch bei kleineren Vorkommnissen eine Meldung an die Aufsichtsbehörde unumgänglich. Er macht insoweit auch deutlich, dass die vom Verantwortlichen implementierten technischen und organisatorischen Maßnahmen einer regelmäßigen Überprüfung mit Blick auf ihre Angemessenheit zu unterziehen sind. Die aktuelle Angemessenheit richte sich dabei jeweils nach dem Stand der Technik. Insbesondere ein Datenschutzvorfall führe dazu, dass bestehende Abläufe und Maßnahmen einer erneuten Überprüfung unterzogen werden müssten.

Schließlich weist er auch darauf hin, dass der Gesetzgeber den Datenschutz nicht einfach abschaffen kann. Betroffene hätten unter Berücksichtigung ihres Rechts auf informationelle Selbstbestimmung, das sich aus dem allgemeinen Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG herleite sowie des in Art. 8 der Charta der Grundrechte der Europäischen Union Rechts auf Schutz der sie betreffenden personenbezogenen Daten grundsätzlich einen Anspruch auf Datenschutz.

(Christina Prowald)

Niederlande: Bußgeld i.H.v. 10 Millionen Euro gegen Uber verhängt

Am 11. Dezember 2023 hat die niederländische Datenschutzaufsichtsbehörde (AP) ein Bußgeld in Höhe von 10 Millionen Euro gegen Uber Technologies, Inc. und Uber B.V. wegen der Verletzung von Informationspflichten und Verstoßes gegen den Transparenzgrundsatz verhängt (Mitteilung v. 31.01.2024). Inhaltlich ging es zum einen um das Versäumnis des Unternehmens, die vollständigen Einzelheiten über die Aufbewahrungsfristen für Daten europäischer Fahrer offenzulegen. Zum anderen kritisierte die Aufsichtsbehörde, dass das Unternehmen keine Informationen zu den Drittstaaten, in die die Daten der Nutzer weitergegeben werden, zur Verfügung stellte. In den Datenschutzbestimmungen wurde insoweit insbesondere nicht angegeben, wie lange die Daten aufbewahrt werden und welche Maßnahmen zur Absicherung von Drittstaatenübermittlungen ergriffen werden. Weiter wurde festgestellt, dass Uber die Bemühungen der Fahrer, die ihnen aus datenschutzrechtlicher Sicht zustehenden Rechte wahrzunehmen, behinderte. Das Unternehmen machte es Fahrern unnötig kompliziert, Auskunftsanträge zu stellen. Das Formular, das für entsprechende Anträge genutzt werden sollte, befand sich in der App versteckt und war über verschiedene Menüs verteilt. Die Antworten, die Nutzer in Bezug auf ihre Anfragen erhielten, waren zudem nicht übersichtlich und in der Folge schwer zu interpretieren.

Der Vorsitzende der AP, Aleid Wolfsen, erklärte: „Die Fahrer haben das Recht zu erfahren, wie Uber mit ihren persönlichen Daten umgeht. Uber hat dies jedoch nicht klar genug erklärt. Uber hätte seine Fahrer in dieser Hinsicht besser und sorgfältiger informieren müssen. Transparenz ist ein wesentlicher Bestandteil des Schutzes personenbezogener Daten. Wenn Sie nicht wissen, wie mit ihren persönlichen Daten umgegangen wird, können sie nicht feststellen, ob sie benachteiligten oder ungerecht behandelt werden. Und sie können nicht für ihre Rechte eintreten.“

Das Bußgeld wurde verhängt, nachdem sich mehr als 170 Fahrer bei der französischen Menschenrechtsorganisation Ligue des droits de l’Homme et du citoyen beschwerten, die ihrerseits Beschwerde bei der französischen Datenschutzaufsichtsbehörde einreichte. Diese leitete die Beschwerde an die zuständige niederländische Behörde weiter. Bei der Festsetzung des Bußgelds wurden insbesondere die Größe des Unternehmens sowie die Schwere und der Umfang der Verstöße berücksichtigt. Uber hat bereits Einspruch gegen die Entscheidung der AP eingelegt. Seitens der AP wurde festgestellt, dass Uber die Prozesse zwischenzeitlich bereits verbessert hat.

(Christina Prowald)

Frankreich: Bußgeld i.H.v. 10 Millionen Euro gegen Yahoo EMEA Ltd. verhängt

Die französische Aufsichtsbehörde (CNIL) verhängte am 29. Dezember 2023 ein Bußgeld in Höhe von 10 Million Euro gegen Yahoo Emea Limited, weil das Unternehmen die Wahl von Nutzern, die die Setzung technisch nicht notwendiger Cookies auf der Webseite des Unternehmens ablehnten, nicht umsetzte und es den Nutzern des E-Mail-Programms außerdem nicht ermöglichte, ihre Zustimmung in die Setzung von Cookies frei zu widerrufen (Mitteilung v. 18.01.2024).

CNIL reagierte mit seiner Entscheidung auf die Beschwerden von 27 Yahoo-Nutzern. Die Aufsichtsbehörde führte auf Grundlage der Beschwerden mehrere Online-Überprüfungen der Webseite „Yahoo.com“ sowie des E-Mail-Programms „Yahoo! Mail“ durch und kam zu dem Ergebnis, dass das Unternehmen seinen Verpflichtungen aus Artikel 82 des Gesetzes über Informatik und Freiheit nicht nachkam. Im Rahmen ihrer Überprüfung stellte CNIL fest, dass die Nutzer über den Cookie-Banner auf eine Seite geleitet wurden, die aus zahlreichen Schaltflächen bestand, mittels derer die Zustimmung zur Nutzung von Cookies eingeholt werden sollte. Außerdem kam die Aufsichtsbehörde zu dem Ergebnis, dass auch bei fehlender Zustimmung rund 20 technisch nicht notwendige Cookies auf dem Endgerät des Nutzers abgelegt werden. CNIL kritisierte außerdem, dass der Nutzer sein E-Mail-Postfach nicht mehr nutzen kann, wenn er seine Einwilligung in die Setzung technisch nicht notwendiger Cookies widerruft. Eine Verknüpfung eines Dienstes mit dem Setzen von nicht notwendigen Cookies sei zwar vom Grundsatz her zulässig, aber nur dann, wenn die Einwilligung gleichwohl freiwillig erfolgt. Es dürfen insoweit keine Nachteile für den Nutzer an dessen Einwilligung bzw. den Widerruf der Einwilligung genknüpft werden. Eine alternative Möglichkeit zur weiteren Nutzung des Postfachs stellte das Unternehmen den Nutzern aber nicht zur Verfügung. CNIL war der Auffassung, dass die Nutzer unter den gegebenen Umständen ihre Einwilligung nicht frei widerrufen konnten.

Bei der Festsetzung des Bußgelds wurde berücksichtigt, dass das Unternehmen die Entscheidung des Nutzers nicht respektierte und Maßnahmen ergriff, um die Nutzer davon abzuhalten, ihre Einwilligung zu widerrufen.

(Christina Prowald)

Frankreich: Bußgeld i.H.v. 100.000 Euro gegen PAP verhängt

Ein weiteres Bußgeld in Höhe von 100.000 Euro hat die CNIL am 31. Januar 2024 gegen das Unternehmen PAP wegen der Nichteinhaltung von Aufbewahrungsfristen für Daten und Mängeln bei der Datensicherheit verhängt (Mitteilung v. 13.02.2024).

Das Unternehmen PAP ist Herausgeber der Seite pap.fr, über die Privatpersonen Immobilienanzeigen einsehen und veröffentlichen können. Im Rahmen einer Untersuchung stellte die Aufsichtsbehörde Verstöße gegen die Aufbewahrungsfristen von Daten, die Bereitstellung von Informationen, die vertragliche Grundlage der Zusammenarbeit von PAP mit einem Auftragsverarbeiter und die Datensicherheit fest. Die Aufsichtsbehörde kritisierte insoweit, dass das Unternehmen für bestimmte Kundenkonten eine Aufbewahrungsfrist von zehn Jahren festlegte, ohne dass diese Frist nach den Bestimmungen des Verbrauchkodex, auf die sich das Unternehmen berief, gerechtfertigt war. Außerdem verfügte das Unternehmen über eine unvollständige Datenschutzerklärung. Es fehlte hierbei an Erläuterungen zu den Rechtsgrundlagen, den eingesetzten Auftragsverarbeitern, den Aufbewahrungsfristen und dem Beschwerderecht gegenüber der Aufsichtsbehörde. CNIL stellte außerdem fest, dass eine Vereinbarung zur Auftragsverarbeitung zwischen PAP und einem eingesetzten Dienstleister nicht den in Art. 28 DSGVO vorgeschriebenen Anforderungen entsprach. Durch verschiedene Sicherheitsmängel sah die Aufsichtsbehörde die Daten der Betroffenen außerdem einem erhöhten Risiko von Angriffen und Datenlecks ausgesetzt.

(Christina Prowald)

In eigener Sache: 5. BRANDI-Datenschutzrechtstag 2024

Wir laden Sie herzlich zu unserem 5. BRANDI-Datenschutzrechtstag am 24. Mai 2024 ein. Die Präsenzveranstaltung findet in diesem Jahr in Paderborn am Heinz Nixdorf Museumsforum in den Räumlichkeiten der Fachhochschule der Wirtschaft statt. Daneben haben Sie auch in diesem Jahr die Möglichkeit, passiv online an unserem Datenschutzrechtstag teilzunehmen.

Für die Veranstaltung konnten wir erneut einen renommierten Experten gewinnen. In diesem Jahr werden wir unter anderem mit Thilo Weichert, der als langjähriges Jurymitglied über die Verleihung der jährlichen Big-Brother-Awards mitentscheidet, diskutieren. Herr Dr. Weichert ist einer der bekanntesten deutschen Datenschutzexperten und ehemaliger Leiter der Datenschutzaufsichtsbehörde in Schleswig-Holstein (ULD).

Freuen Sie sich auf einen spannenden Impulsvortrag von Herrn Dr. Weichert sowie Diskussionen zu aktuellen und praxisrelevanten Themen. In diesem Jahr findet auch wieder unsere BRANDI-Nachwuchsrunde statt, in der angehende Juristen in Kurzvorträgen interessante datenschutzrechtliche Themen für Sie aufbereiten.

Sie haben bereits jetzt die Möglichkeit, sich über unser Anmeldeformular für die Veranstaltung anzumelden. Die Möglichkeit zur Anmeldung finden Sie unter dem folgenden Link: Anmeldung  Über die weiteren Details und näheren Inhalte der Veranstaltung informieren wir Sie zeitnah.

(Christina Prowald)