Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

in den vergangenen Wochen sind  wie sich aus Medienberichten ergibt  zahlreiche Unternehmen und Behörden von der Hackergruppe Clop angegriffen worden. Die Gruppe nutze dabei eine monatelang unentdeckte Sicherheitslücke in dem Dateitransferprogramm „MOVEit Transfer“ aus. Die betroffene Software komme laut Hersteller in tausenden Organisationen weltweit zum Einsatz. Clop veröffentlicht nunmehr jede Woche weitere Namen von Unternehmen, die betroffen seien. Hierzu sollen auch Konzerne wie Sony und Shell, Regierungsstellen, Versicherungen und Banken wie die Deutsche Bank, Comdirect und ING zählen. Seit kurzem sind auch deutsche Unternehmen wie Siemens Energy und Rhenus sowie verschiedene Krankenkassen gelistet. Clop setzt bei seinen Angriffen nicht mehr auf eine Verschlüsselung der Daten (wie bei klassischen Ransomware-Angriffen), sondern zieht diese ab, überträgt sie auf ihr System und droht den Unternehmen anschließend mit der Veröffentlichung sensibler Daten, wenn diese das geforderte Lösegeld nicht zahlten. Die Forderungen von Clop sind jeweils an das betroffene Unternehmen angepasst und umfassen in Einzelfällen Beträge von mehr als 35 Millionen Euro.

Das BSI empfahl in Bezug auf die Schwachstelle in der Software MOVEit Transfer bereits im Juni 2023 die vom Hersteller vorgeschlagenen Maßnahmen umzusetzen und nach einer Kompromittierung des Systems Ausschau zu halten. Nach Auffassung des BSI besteht unmittelbarer Handlungsbedarf.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Drittstaatenübermittlungen  Neuer Angemessenheitsbeschluss für die USA

Internationale Datentransfers erfolgen im Unternehmensalltag im Zusammenhang mit der Nutzung einer Vielzahl von Online-Anwendungen. Dies gilt etwa für den Einsatz von Videokonferenzdiensten wie Microsoft Teams und Zoom, die Nutzung von Anwendungen wie Office 365 sowie die Einbindung von Cloud- und E-Mail-Services, aber auch für die Kooperation und den Austausch von Daten mit anderen Konzerngesellschaften. Vor allem die Zusammenarbeit mit amerikanischen Dienstleistern und Partnern ist für einen Großteil der Unternehmen, trotz der mit internationalen Datentransfers einhergehenden datenschutzrechtlichen Schwierigkeiten, nach wie vor von großer Relevanz. Im Rahmen der Umfrage „Datenschutz in der deutschen Wirtschaft: DSGVO & internationale Datentransfers“, die der Digitalverband Bitkom im Herbst letzten Jahres veröffentlichte, gaben fast zwei Drittel der befragten Unternehmen an, dass der Verzicht auf internationale Datenübermittlungen für sie gravierende negative Folgen hätte. Die Befragten machten zudem deutlich, wie wichtig eine belastbare Rechtsgrundlage für internationale Datentransfers ist.

Zum vollständigen Schwerpunktthema

OLG Brandenburg: Datenschutzfremder Grund bei einem Auskunftsanspruch

Das OLG Brandenburg hat am 16. Juni 2023 entschieden, dass es rechtsmissbräuchlich ist, wenn ein Kunde gegen seine Versicherung einen datenschutzrechtlichen Auskunftsanspruch geltend macht, um zu überprüfen, ob eine Beitragserhöhung rechtmäßig ist (OLG Brandenburg, Urt. v. 16.06.2023 - Az. 11 U 9/23).

Konkret stritten die Parteien in dem der Entscheidung zugrundeliegenden Fall um die Wirksamkeit von Prämienerhöhungen im Rahmen einer privaten Krankenversicherung. Das Gericht stellte zunächst fest, dass der Anwendungsbereich der DSGVO schon gar nicht eröffnet sei, da der Kunde Auskunft über Informationen begehrte, bei denen es sich nicht um personenbezogene Daten handele. Die Höhe der die Neukalkulation der Prämie auslösenden Faktoren sei eine Rechengröße ohne direkten Bezug zum Kunden. Das Gericht führte weiter aus, dass der Versicherung  selbst wenn man von einer Anwendbarkeit der DSGVO ausgehen würde  ein Weigerungsrecht nach Art. 12 Abs. 5 S. 2 DSGVO zukäme. Der Wortlaut der Regelung mache deutlich, dass die Vorschrift über die explizit genannten Sachverhalte hinaus auch andere rechtsmissbräuchliche Anträge erfasse. Sinn und Zweck des Auskunftsrechts nach Art. 15 DSGVO sei es, dass Betroffene überprüfen können, ob sie betreffende Daten richtig sind und in zulässiger Weise verarbeitet werden, insbesondere auch, um gegebenenfalls weitergehende Betroffenenrechte geltend machen zu können. Dem Kunden gehe es im vorliegenden Fall aber gerade nicht um entsprechende datenschutzrechtlichen Zwecke, sondern ausschließlich um die Überprüfung der von der Versicherung vorgenommenen Prämienerhöhung und die Durchsetzung von Zahlungsansprüchen. Dem Auskunftsbegehren liege dementsprechend weder eine datenschutzrechtliche Zielsetzung noch ein anderer legitimer Zweck zugrunde, sodass er als rechtsmissbräuchlich anzusehen sei. Da es dementsprechend bereits an einem legitim Zweck fehle, komme es zudem auf das derzeit beim EuGH anhängige Vorabentscheidungsverfahren  des OLG Koblenz (OLG Koblenz, Beschl. v. 19.10.2022 - Az. 10 U 603/22; anhängig: EuGH - Az. C-672/22) und ein weiteres Vorlageverfahren des BGH (BGH, Beschl. v. 29.03.2022 - Az. VI ZR 1352/20) nicht an.

In der Sache ist die Entscheidung zu begrüßen; es bleibt allerdings weiter zu beachten, dass es für datenschutzrechtliche Auskunftsverlangen keinen besonderen Grund geben muss und daher allenfalls sehr eingeschränkt eine Prüfung stattfinden kann, ob ein legitimer Zweck für die Anfrage besteht.

(Christina Prowald)

LG Tübingen: Haftung einer Cyber-Versicherung für Hackerangriff

In seiner Entscheidung vom 26. Mai 2023 hat das LG Tübingen sich mit der Frage beschäftigt, wann eine Cyber-Versicherung für einen Hackerangriff haften muss (LG Tübingen, Urt. v. 26.05.2023 - Az. 4 O 193/21).

Es stellte fest, dass bei einem „Pass-the-Hash“-Angriff, bei dem unter Ausnutzung einer bekannten Schwachstelle des Betriebssystems von Microsoft Administratorenrechte für alle Server des Unternehmens erbeutet werden, der Umstand, dass nicht alle Server mit den aktuellen Sicherheits-Updates ausgestattet waren, einen Leistungsanspruch gegen den Versicherer unberührt lässt, weil eine mögliche Verletzung einer diesbezüglichen Anzeigeobliegenheit weder für den Eintritt oder die Feststellung des Versicherungsfalles noch für die Feststellung oder den Umfang der Leistungspflicht ursächlich sei, soweit der Versicherungsnehmer nicht arglistig gehandelt habe. Der Anwendungsbereich des § 81 Abs. 2 VVG (Herbeiführung des Versicherungsfalls durch den Versicherungsnehmer) sei nicht eröffnet, wenn die Gefahrenlage - im konkreten Fall die fehlenden Sicherheitsmaßnahmen zur Verhinderung des Angriffs - bereits bei Vertragsschluss bestand und Grundlage der Risikoprüfung des Versicherers war bzw. hätte sein können.

Das Unternehmen konnte innerhalb des Verfahrens nachweisen, dass sich die fehlenden Sicherheits-Updates weder auf den Eintritt des Versicherungsfalls noch auf das Ausmaß des Schadens ausgewirkt haben. Eine arglistige Falsch-Beantwortung der für den Vertragsschluss erforderlichen Risikofragen konnte zudem nicht festgestellt werden. Dem geschädigten Unternehmen wurde bei einer vorgetragenen Schadenssumme von 3,7 Millionen Euro, die das Unternehmen von der Versicherung verlangte, ein Anspruch in Höhe von 2,85 Millionen Euro zugesprochen.

(Christina Prowald)

AG Augsburg: Footer in E-Mail ist keine unerlaubte Werbung

Das AG Augsburg hat am 9. Juni 2023 entschieden, dass es sich bei einer E-Mail, die im Footer Links zum eigenen Internetauftritt sowie zu den Social-Media-Kanälen des Unternehmens enthält, nicht um unerlaubte Werbung handelt (AG Augsburg, Urt. v. 09.06.2023 - Az. 12 C 11/23).

Das Gericht führte zunächst aus, dass der Begriff der Werbung nach dem allgemeinen Sprachgebrauch alle Maßnahmen eines Unternehmens, die auf die Förderung des Absatzes seiner Produkte oder Dienstleistungen gerichtet sind, umfasse und weit zu verstehen sei. Der bloße Verweis auf die Internetpräsenzen eines Unternehmens im Anschluss an die Kontaktdaten des Mitarbeiters ohne die Verknüpfung mit einem Produkt oder anderen werbenden Angaben stelle jedoch keine Werbung dar. Das Gericht stellte fest, dass ein entsprechender Verweis nicht der Absatzförderung, sondern Informationszwecken diene. Die Entscheidung ist vor allem deshalb interessant, weil die Gerichte in der Vergangenheit häufig dazu geneigt haben, den Begriff der Werbung sehr weit auszulegen.

(Christina Prowald)

BfDI begrüßt Meta-Entscheidung des EuGH

Der EuGH hat am 4. Juli 2023 entschieden, dass eine nationale Wettbewerbsbehörde im Rahmen der Prüfung, ob eine beherrschende Stellung missbraucht wird, einen Verstoß gegen die DSGVO feststellen kann (EuGH, Urt. v. 04.07.2023 - Az. C-252/21).

Hintergrund des Verfahrens ist die Praxis von Meta, Daten und Aktivitäten von Facebook-Nutzern sowohl innerhalb als auch außerhalb des sozialen Netzwerks bei Tochterfirmen und über Schnittstellen auf anderen Webseiten zu sammeln, sie den Facebook-Konten der Nutzer zuzuordnen und zu detaillierten Nutzerprofilen zu verknüpfen, insbesondere um Werbenachrichten zu personalisieren. Aus Sicht des Bundeskartellamts missbraucht Meta auf diese Weise seine marktbeherrschende Stellung, weshalb die Wettbewerbsbehörde Meta verbot, die Nutzung des sozialen Netzwerks von der Verarbeitung ihrer Off-Facebook-Daten abhängig zu machen und diese ohne Einwilligung zu verarbeiten. Seinen Beschluss begründete das Bundeskartellamt dabei mit Metas Verstoß gegen die DSGVO. Im Laufe des weiteren Verfahrens wurde sodann seitens des OLG Düsseldorf unter anderem die Frage aufgeworfen, ob das Bundeskartellamt prüfen darf, ob eine Datenverarbeitung den Anforderungen der DSGVO entspricht.

Der EuGH hat nunmehr entschieden, dass es sich für eine Wettbewerbsbehörde im Rahmen der Prüfung, ob ein Unternehmen eine beherrschende Stellung missbraucht, als notwendig erweisen könne, ebenfalls zu prüfen, ob das Verhalten des Unternehmens mit anderen als den wettbewerbsrechtlichen Vorschriften vereinbar ist. Gleichzeitig stellte er klar, dass vorrangig die Datenschutzaufsichtsbehörden mit der Feststellung von Datenschutzverstößen befasst seien. Aus diesem Grund müsse die Wettbewerbsbehörde die zuständige Datenschutzaufsichtsbehörde vor einer eigenen Entscheidung in Bezug auf datenschutzrechtliche Fragestellungen einbinden und etwaige Entscheidungen oder Untersuchung der Datenschutzaufsichtsbehörde berücksichtigen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, begrüßt das Urteil in seiner Bedeutung für den Datenschutz und äußerte: „Es freut mich, dass der EuGH anerkennt, dass die Einhaltung von Datenschutzanforderungen wettbewerbsrelevant ist und Kartellbehörden erlaubt, zum Schutz des Wettbewerbs auch die Vereinbarkeit des Verhaltens von Unternehmen mit Datenschutzrecht zu prüfen. Ich gratuliere dem Bundeskartellamt zu diesem Erfolg.“

(Christina Prowald)

EDSB: Nutzung von Clouddiensten am EuGH

Der Europäische Datenschutzbeauftragte (EDSB) hat am 13. Juli 2023 entschieden, dass die Nutzung von Cloud-Videokonferenzdiensten durch den EuGH datenschutzrechtlich zulässig ist (Pressemitteilung v. 14.07.2023). In seinem Beschluss stellte er fest, dass die Nutzung von Cisco Webex und damit verbundener Dienste die Anforderungen der DSGVO erfüllt.

Die Entscheidung wurde auf Basis der überarbeiteten Vereinbarung zwischen dem EuGH und Cisco, durch die sichergestellt wurde, dass personenbezogene Daten ausschließlich in der EU bzw. dem EWR verarbeitet werden, getroffen. Der EDSB ermutigte die Beteiligten, sich weiterhin zu verpflichten, die datenschutzrechtlichen Vorgaben bei der Nutzung von Cloud-Diensten einzuhalten und verwies insoweit insbesondere auf gründliche Bewertungen und Analysen potentieller Risiken im Zusammenhang mit drittstaatlichen Gesetzen. Wojciech Wiewiórowski, EDSB, äußerte: „Die EU-Organe, Einrichtungen, Ämter und Behörden müssen bei ihrer täglichen Arbeit die Grundrechte des Einzelnen und insbesondere die Datenschutzbestimmungen wahren, wenn sie Videokonferenz-Tools verwenden. Dies gilt umso mehr, als die Nutzung dieser Instrumente die Übermittlung personenbezogener Daten in Länder außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) beinhalten kann, was zu erhöhten Risiken für die Rechte und Freiheiten des Einzelnen führen kann. Ich begrüße es, dass der Gerichtshof die Führung übernommen hat, um signifikante Änderungen von Cisco zu erreichen; wir hoffen, dass dieser Erfolg als Beispiel für andere EU-Organe, Einrichtungen, Ämter und Behörden dienen kann.“

Der EDSB kündigte außerdem an, in den nächsten Monaten einschlägige Ratschläge und Leitlinien bereitstellen zu wollen.

(Christina Prowald)       

LfD Niedersachsen: Bußgeld wegen E-Mail-Newsletter ohne Abmeldemöglichkeit

Aus dem 28. Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen für das Jahr 2022 ergibt sich, dass die Behörde ein Bußgeld in Höhe von 50.000 Euro gegen ein Unternehmen verhängte, weil das E-Mail-Newslettersystem des Unternehmens aufgrund einer technischen Störung über einen relevanten Zeitraum keine Abmeldungen zuließ (28. Tätigkeitsbericht der LfD). Da seitens des Unternehmens eine Vielzahl an Newslettern versendet wurde, erhielten Betroffene eine erhebliche Zahl an unerwünschten Werbe-E-Mails. Betroffene, die eine Abmeldung über die Service-Mitarbeiter des Unternehmens zu erreichen versuchten, blieben ebenfalls erfolglos. Neben dem Umstand, dass Werbewidersprüche damit im Ergebnis nicht beachtet wurden, kam das Unternehmen zudem dem Auskunftsbegehren eines Betroffenen nicht nach. Das Bußgeld wurde seitens des Unternehmens akzeptiert.

(Christina Prowald)

LfD Niedersachsen: Koordinierte Prüfung von Medienwebseiten

Gemeinsam mit den Datenschutzaufsichtsbehörden mehrerer deutscher Bundesländer hat die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) eine koordinierte Prüfung der Webseiten von insgesamt 49 Medienunternehmen vorgenommen (Pressemitteilung v. 10.07.2023). Dabei wurden insbesondere auch die neuen Regelungen des TTDSG berücksichtigt sowie die Nutzung sog. Pur-Abo-Modelle untersucht. Die umfassende rechtliche Bewertung wurde in einem entsprechendem Beschluss der Datenschutzkonferenz veröffentlicht, aus dem sich ergibt, dass „Pur-Abo-Modelle“ unter Berücksichtigung der datenschutzrechtlichen Anforderungen grundsätzlich zulässig sind (wir berichteten im Mai 2023).

Im Rahmen der Untersuchung wurden auf verschiedenen Webseiten zahlreiche Datenschutzverstöße mit Blick auf die Nutzung von Cookies und anderen Trackingtechnologien festgestellt. Die Unternehmen wurden über diesen Umstand informiert und hatten Gelegenheit, die Forderungen hinsichtlich der datenschutzkonformen Ausgestaltung der Einwilligungsbanner einschließlich des integrierten Pur-Abo-Modells umzusetzen. Gerügt wurde dabei insbesondere der Umstand, dass Cookies bereits vor der Einwilligungsabfrage gesetzt wurden sowie fehlende Informationen, ein unzureichender Einwilligungsumfang, eine Manipulation der Nutzer und das Fehlen einer Schaltfläche zum Ablehnen der Cookies. Nachdem die Unternehmen über die Verstöße informiert wurden, haben alle Verantwortlichen Anpassungen vorgenommen und die Verstöße konnten größtenteils beseitigt werden. Zum Abschluss erhielten die Unternehmen zudem ein umfassendes Abschlussschreiben, innerhalb dessen die noch verbleibenden datenschutzrechtlichen Defizite dargelegt wurden. Die LfD hat sich gleichzeitig eine erneute Überprüfung vorbehalten.

(Christina Prowald)

LfD MV: Bedenken gegen den Wächtermodus bei Tesla

Die Elektrofahrzeuge des amerikanischen Herstellers Tesla verfügen über einen sogenannten Wächtermodus (Sentry Mode), bei deren Aktivierung das Fahrzeug die Umgebung aufzeichnet und selbstständig die Kamera aktiviert, wenn sich beispielsweise Personen oder andere Fahrzeuge dem Wagen nähern. Die entsprechenden Aufnahmen werden dann beispielsweise auf einem USB-Stick gespeichert und können später vom Fahrzeugbesitzer zur Beweisführung genutzt werden. Aus dieser Gestaltung ergeben sich offensichtliche Missbrauchsmöglichkeiten, da die für die Betroffenen nicht erkennbare Anfertigung von Aufnahmen im öffentlichen Raum zu erheblichen Beeinträchtigungen der Privatsphäre führt.

Die Aufsichtsbehörde in Mecklenburg-Vorpommern hat jetzt in einer Stellungnahme gegen diese Funktion zutreffend datenschutzrechtliche Bedenken geäußert und darauf verwiesen, dass die Situation mit dem Einsatz von Dashcams vergleichbar ist. Unter Verweis auf die Rechtsprechung des BGH (Urt. v. 15.05.2018, Az. VI ZR 233/17) kommt alleine eine kurzzeitige und anlassbezogene Aufzeichnung in Betracht. Nicht jede Aufnahme durch den Wagen genügt diesen Anforderungen, außerdem ist nicht die umgehende Löschung der Daten nach kurzer Speicherdauer sichergestellt. Es wird daher gefordert, dass die Funktion von den Fahrzeugbesitzern deaktiviert werden muss.

Anlass für die Stellungnahme der Aufsichtsbehörde waren gehäufte Beschwerden über die Funktion durch Betroffene. In der Vergangenheit hatte auch die Verbraucherzentrale Bundesverband (vzbv) den Wächtermodus schon erfolgreich angegriffen (LG Berlin, Urt. v. 21.03.2023, Az. 52 O 242/22).

(Dr. Sebastian Meyer)

SDTB: Verbot von Facebook-Fanpage

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB), Dr. Juliane Hundert, hat es der Staatskanzlei Sachsen am 5. Juli 2023 nach Art. 58 Abs. 2 lit. f) DSGVO untersagt, die Facebook Fanpage des Freistaats Sachsen weiter zu betreiben (Pressemitteilung v. 07.07.2023). Für die Umsetzung der Anordnung habe die Staatskanzlei vier Wochen Zeit. Außerdem verwarnte die STB die Sächsische Staatskanzlei nach Art. 58 Abs. 2 lit. b) DSGVO wegen Verstoßes gegen die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und gegen die Pflicht, keine Daten ohne entsprechende Rechtsgrundlagen zu verarbeiten, nach § 25 Abs. 1 S. 1 TTDSG und Art. 5 Abs. 1 lit. a) DSGVO.

Die SDTB führte aus, dass hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen der Nutzung einer Facebook Fanpage nach wie vor eine gemeinsame Verantwortlichkeit bestehe. Die Staatskanzlei sei insoweit verpflichtet, die Einhaltung der datenschutzrechtlichen Vorschriften positiv nachzuweisen. Dies sei ihr jedoch nicht gelungen. Insbesondere auch aufgrund ihrer Vorbildwirkung müssten sich öffentliche Stellen wie die Staatskanzlei an Recht und Gesetz halten. Um Rechtsverletzungen zu unterbinden, müsse die Seite abgeschaltet werden. Auch wenn die Staatskanzlei zur Öffentlichkeitsarbeit verpflichtet sei, dürfe dies nur auf rechtmäßige Weise geschehen. Eine Nutzung von Facebook ohne Rechtsverstoß sei allerdings nicht möglich. Darüber hinaus kritisierte Dr. Juliane Hundert auch den Verstoß gegen das TTDSG, da seitens Facebook ohne ausreichende Rechtsgrundlage Cookies gesetzt, Daten übermittelt und hochangereicherte personenbezogene Werbeprofile erstellt würden. Gegen den Bescheid kann innerhalb eines Monats Klage beim VG Dresden erhoben werden.

Dr. Juliane Hundert machte deutlich: „Das Verfahren gegen die Sächsische Staatskanzlei ist exemplarisch. Auch andere öffentliche Stellen im Freistaat Sachsen nutzen Facebook und sind zu rechtmäßigem Handeln verpflichtet. Sie sollten sich nicht hinter dem Verfahren gegen die Sächsische Staatskanzlei verstecken, sondern aktiv und umgehend die datenschutzwidrige Nutzung ihrer Facebook-Fanpages beenden.“

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Professor Ulrich Kelber, hatte zuvor bereits im Februar 2023 erklärt, dass der Betrieb einer Facebook Fanpage nicht datenschutzkonform möglich sei und das Bundespresseamt angewiesen, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen (wir berichteten im März 2023). Das Bundespresseamt hat in der Folge Klage gegen den Bescheid beim Verwaltungsgericht Köln erhoben.

(Christina Prowald)

Schweden: Bußgeld wegen Nutzung von Google Analytics

Am 3. Juli 2023 hat die schwedische Datenschutzbehörde (IMY) vier Unternehmen die weitere Nutzung von Google Analytics untersagt (Pressemitteilung v. 03.07.2023). Eines der Unternehmen habe die Nutzung des Analysetools vor kurzem selbst eingestellt, während die übrigen drei Unternehmen angewiesen wurden, den Dienst ebenfalls nicht länger zu nutzen. Gegen zwei der vier Unternehmen wurde außerdem ein Bußgeld verhängt.

IMY hatte zuvor überprüft, wie die Unternehmen CDON, Coop, Dagens Industri and Tele 2 den Dienst Google Analytics für Webstatistiken nutzten und inwieweit hierbei personenbezogene Daten in die USA übermittelt wurden. Anstoß der Untersuchung waren verschiedene Beschwerden der Organisation None of Your Business (NYOB) über die datenschutzwidrige Übermittlung von personenbezogenen Daten in die Vereinigten Staaten. Die schwedische Datenschutzbehörde kam zu dem Schluss, dass es sich bei den im Rahmen der Nutzung von Googly Analytics übermittelten Daten um personenbezogene Daten handele, da die Daten mit anderen übermittelten eindeutigen Daten verknüpft werden könnten. Die von den vier Unternehmen ergriffenen Absicherungsmaßnahmen hätten zudem nicht ausgereicht, um ein der EU bzw. dem EWR entsprechendes Schutzniveau zu gewährleisten. Die Unternehmen hätten die Datenübermittlungen zwar auf die Standardvertragsklauseln gestützt, darüber hinaus jedoch keinen ausreichenden zusätzlichen Sicherheitsmaßnahmen ergriffen. IMY verhängte deshalb zusätzlich ein Bußgeld in Höhe von 12 Millionen Schwedische Kronen gegen Tele2 und in Höhe von 300.000 Schwedische Kronen gegen CDON, da diese nicht die gleichen umfassenden Schutzmaßnahmen wie Coop und Dagens Industri ergriffen hatten.

Justiziarin Sandra Arvidsson äußerte, dass die Entscheidungen anderen Organisationen, die Google Analytics verwenden, als Orientierung dienen könnten.

(Christina Prowald)

Norwegen: Verbot verhaltensbasierter Werbung auf Facebook und Instagram

Die norwegische Datenschutzbehörde hat am 14. Juli 2023 ein vorübergehendes Verbot von verhaltensbezogener Werbung auf Facebook und Instagram, die auf der Überwachung und dem Profiling von Nutzern in Norwegen basiert, gegen den Meta-Konzern verhängt (Mitteilung v. 17.07.2023). Das Verbot soll zunächst bis Oktober beziehungsweise so lange gelten, bis Meta nachweisen kann, dass die gesetzlichen Bestimmungen eingehalten werden. Falls Meta der Entscheidung der norwegischen Aufsichtsbehörde nicht nachkommt, droht dem Unternehmen eine Zwangsstrafe von bis zu einer Million Norwegische Kronen pro Tag.

Bereits Ende des vergangenen Jahres stellte die irische Datenschutzbehörde fest, dass Meta illegale verhaltensbezogene Werbung genutzt hat. Trotz verschiedener Anpassungen seitens Meta hat der EuGH im Juli 2023 erneut festgestellt, dass Metas verhaltensbezogene Werbung nach wie vor nicht gesetzeskonform ist. Die norwegische Datenschutzbehörde ist nunmehr aufgrund dieses Umstands tätig geworden. Sie äußerte, dass ihre Entscheidung kein Verbot von Facebook oder Instagram in Norwegen bedeute. Es solle vielmehr sichergestellt werden, dass die Dienste sicher genutzt werden könnten und die Rechte der Betroffenen gewahrt würden. Obwohl der Hauptsitz von Meta sich in Dublin befindet, kann auch eine andere Datenschutzbehörde tätig werden, soweit dringender Handlungsbedarf besteht. Die norwegische Datenschutzbehörde kündigte bereits an, dass man die Angelegenheit nach dem Sommer gegebenenfalls auch an den Europäischen Datenschutzausschuss (EDSA) weitergeben werde, der sodann über eine Verlängerung der Maßnahme entscheide.

Tobias Judin, Leiter der Abteilung Internationales der norwegischen Datenschutzbehörde, äußerte, dass die invasive kommerzielle Überwachung zu Marketingzwecken heute eine der größten Gefahren für den Datenschutz im Internet sei. Wenn Meta entscheide, welche Werbung Betroffenen gezeigt werde, entscheide das Unternehmen gleichzeitig, was dem Betroffenen nicht gezeigt werde. Dies könne die Meinungs- und Informationsfreiheit in der Gesellschaft beeinträchtigen.

(Christina Prowald)

USA: Federal Trade Commission gegen Amazon und OpenAI

Die Federal Trade Commission (FTC) und das Justizministerium (DOJ) haben in einem umfangreichen Verfahren gegen Amazon sowie zwei Tochtergesellschaften ein Bußgeld in Höhe von 25 Millionen Dollar verhängt und Amazon zur Datenlöschung verpflichtet, weil das Unternehmen gegen die COPPA-Regel verstoßen habe (Pressemitteilung v. 31.05.2023). Die von FTC und DOJ vorgeschlagenen Anordnungen müssen zunächst von einem Bundesgericht genehmigt werden, bevor sie in Kraft treten.

Die Behörde wirft Amazon vor, dass das Unternehmen Alexa-Sprachaufzeichnungen von Kindern entgegen eigener Angaben dauerhaft speichere und den Löschanträgen von Eltern nicht nachkomme. Außerdem seien die Daten zu eigenen Zwecken, unter anderem zum Training von Algorithmen, verwendet worden und durch unnötige Zugriff gefährdet gewesen. Die Behörde stellte fest, dass Amazon es versäumt habe, ein wirksames System einzurichten, mittels dessen sichergestellt ist, dass das Unternehmen Eltern in angemessener Weise über die Löschung informiert und den Löschungsbegehren von Nutzern nachkommt. Außerdem seien Probleme bei der Löschung von Geolokalisierungsdaten von Amazon nicht behoben worden.

Laut Presseberichten hat die FTC außerdem eine Ermittlung gegen den ChatGPT-Betreiber OpenAI eingeleitet (Bericht v. 13.07.2023). Es werde geprüft, ob OpenAI gegen Verbraucherschutzgesetze verstoßen habe, indem es den Ruf und die Daten von Personen in Gefahr brachte. Die Washington Post bezieht sich dabei auf eine 20-seitige Vorladung der Behörde. Inhaltlich gehe es dabei um die Sammlung, Verwendung und den Schutz von Nutzerdaten, das Training der KI-Systeme sowie einen Vorfall, im Rahmen dessen Unterhaltungen und Finanzinformationen von Nutzern für jeden einsehbar waren.

(Christina Prowald)